【圖解HTTP】——确認通路使用者的身份：認證機制

文章目錄

• 認證機制
• • 【1】認證
  • 【2】HTTP的認證機制有哪些
  • • • Basic認證（不常用）
      • Digset認證（不常用）
      • SSL用戶端認證（不常用——貴）
      • 雙因素認證
      • 基于表單認證（常用）
  • 【3】Cookie應用管理Session會話
  • 【4】總結
  • 【5】伺服器端對ID和密碼等資訊儲存方式

認證機制

• Web網頁要設定成通路權限，确認電腦前是否是user在使用
• 對于現在的網絡認證機制——采用基于表單的認證
• 表單認證：采用Cookie應用管理Sessions會話

【1】認證

• 核對登陸者身份

（1）密碼

（2）動态令牌

（3）數字證書

（4）生物認證

（5）IC卡

【2】HTTP的認證機制有哪些

• Basic認證
• Digeset認證
• SSL認證
• FormBase認證

Basic認證（不常用）

• Web伺服器與通信用戶端之間進行的認證
• 不常用，安全性低（明文密碼傳輸），效率低

  

Digset認證（不常用）

• 質詢/響應方式（challenge/response），但不會像Basic一樣發送明文密碼

  

• 發送給對方的是響應摘要和由質詢碼産生的計算結果——安全性提升

  

SSL用戶端認證（不常用——貴）

• 利用SSL用戶端認證避免使用者ID和密碼被盜
• 利用HTTPS的用戶端證書完成認證
• 分發用戶端證書給用戶端，用戶端安裝

  

雙因素認證

• SSL用戶端認證往往和基于表單認證結合使用
• 認證的過程中，除了提供ID和密碼，還要提供其他持有資訊

（1）SSL用戶端認證：用來認證用戶端計算機

（2）基于表單認證：密碼用來确認是使用者本人的行為

基于表單認證（常用）

• 基于表單的認證方式并不是在HTTP協定中定義的
• Web網站各自實作自己的表單認證（實作方式不同），因為Web網站的認證功能能夠滿足其安全級别的标準規範并不存在。

【3】Cookie應用管理Session會話

• 基于表單認證的規範尚未明确，一般會使用cookie技術管理session會話
• 利用cookie技術彌補HTTP協定中不存在的狀态管理功能
• 基于表單認證本身是通過伺服器端的Web應用，将用戶端發送過的使用者ID和密碼與之前登陸過的儲存的資訊進行比對進行認證

  

• 步驟：

（1）用戶端将使用者ID和密碼放入到封包中

（2）伺服器會發放用以識别使用者的Session ID，通過從用戶端發送過來的登入資訊進行身份驗證，然後将使用者的驗證狀态和Session ID記錄在伺服器端

（3）用戶端接收Session ID，将其作為cookie儲存到本地，下次向伺服器發送請求時，浏覽器會自動發送cookie，這樣session ID就發送到了伺服器，進而對session ID對使用者進行識别和驗證

【4】總結

• 認證采用：基于表單認證
• Web網站各自實作自己的基于表單認證
• 利用Cookie應用管理會話

【5】伺服器端對ID和密碼等資訊儲存方式

• 給密碼加鹽（salt）：添加額外資訊
• 散列（hash）：函數計算出散列值後儲存

給密碼加鹽：由伺服器随機生成一個足夠長字元串，添加到密碼後面或者前面，兩個使用者設定了同一個密碼，但salt不同

生成散列值：利用散列函數，攻擊者很難利用自己手中的密碼特征庫進行破解

關注公衆号：<小楊的健解之路>
回複："圖解http"擷取《圖解HTTP》pdf