認證
确認通路者身份,核對密碼,動态令牌,數字證書,生物認證(指紋虹膜),IC卡等資訊
HTTP認證方式
- BASIC 認證(基本認證)
- DIGEST 認證(摘要認證)
- SSL 用戶端認證
- FormBase 認證(基于表單認證)
BASIC 認證
雖然是使用Base64編碼方式,但這不是加密處理方式,很不安全,而且無法登出認證
DIGEST認證
使用質詢響應方式,将受到的質詢嗎計算生成響應嗎傳回,但也隻是隐藏起了密碼等資訊,一樣可以使用者僞裝,不安全,使用也不靈活
SSL用戶端認證
單純的ID密碼認證可能洩露,并不能保證用戶端也一緻,HTTPS用戶端證書可以完成這個認證。
通常是結合表單認證一起使用,表單認證提供密碼等資訊确認本人所為,認證證書來認證用戶端計算機。
基于表單認證
用戶端會向伺服器上的 Web 應用程式發送登入資訊(Credential),按登入資訊的驗證結果認證。
Session管理及Cookie應用
為減輕跨站腳本攻擊(XSS)造成的損失,建議事先在 Cookie内加上 httponly 屬性Session ID 應使用難以推測的字元串,且伺服器端也需要進行有效期的管理,保證其安全性