文章目錄
- 認證機制
-
- 【1】認證
- 【2】HTTP的認證機制有哪些
-
-
- Basic認證(不常用)
- Digset認證(不常用)
- SSL用戶端認證(不常用——貴)
- 雙因素認證
- 基于表單認證(常用)
-
- 【3】Cookie應用管理Session會話
- 【4】總結
- 【5】伺服器端對ID和密碼等資訊儲存方式
認證機制
- Web網頁要設定成通路權限,确認電腦前是否是user在使用
- 對于現在的網絡認證機制——采用基于表單的認證
- 表單認證:采用Cookie應用管理Sessions會話
【1】認證
- 核對登陸者身份
(1)密碼
(2)動态令牌
(3)數字證書
(4)生物認證
(5)IC卡
【2】HTTP的認證機制有哪些
- Basic認證
- Digeset認證
- SSL認證
- FormBase認證
Basic認證(不常用)
- Web伺服器與通信用戶端之間進行的認證
- 不常用,安全性低(明文密碼傳輸),效率低
Digset認證(不常用)
- 質詢/響應方式(challenge/response),但不會像Basic一樣發送明文密碼
- 發送給對方的是響應摘要和由質詢碼産生的計算結果——安全性提升
SSL用戶端認證(不常用——貴)
- 利用SSL用戶端認證避免使用者ID和密碼被盜
- 利用HTTPS的用戶端證書完成認證
- 分發用戶端證書給用戶端,用戶端安裝
雙因素認證
- SSL用戶端認證往往和基于表單認證結合使用
- 認證的過程中,除了提供ID和密碼,還要提供其他持有資訊
(1)SSL用戶端認證:用來認證用戶端計算機
(2)基于表單認證:密碼用來确認是使用者本人的行為
基于表單認證(常用)
- 基于表單的認證方式并不是在HTTP協定中定義的
- Web網站各自實作自己的表單認證(實作方式不同),因為Web網站的認證功能能夠滿足其安全級别的标準規範并不存在。
【3】Cookie應用管理Session會話
- 基于表單認證的規範尚未明确,一般會使用cookie技術管理session會話
- 利用cookie技術彌補HTTP協定中不存在的狀态管理功能
- 基于表單認證本身是通過伺服器端的Web應用,将用戶端發送過的使用者ID和密碼與之前登陸過的儲存的資訊進行比對進行認證
- 步驟:
(1)用戶端将使用者ID和密碼放入到封包中
(2)伺服器會發放用以識别使用者的Session ID,通過從用戶端發送過來的登入資訊進行身份驗證,然後将使用者的驗證狀态和Session ID記錄在伺服器端
(3)用戶端接收Session ID,将其作為cookie儲存到本地,下次向伺服器發送請求時,浏覽器會自動發送cookie,這樣session ID就發送到了伺服器,進而對session ID對使用者進行識别和驗證
【4】總結
- 認證采用:基于表單認證
- Web網站各自實作自己的基于表單認證
- 利用Cookie應用管理會話
【5】伺服器端對ID和密碼等資訊儲存方式
- 給密碼加鹽(salt):添加額外資訊
- 散列(hash):函數計算出散列值後儲存
給密碼加鹽:由伺服器随機生成一個足夠長字元串,添加到密碼後面或者前面,兩個使用者設定了同一個密碼,但salt不同
生成散列值:利用散列函數,攻擊者很難利用自己手中的密碼特征庫進行破解
關注公衆号:<小楊的健解之路>
回複:"圖解http"擷取《圖解HTTP》pdf