认证
确认访问者身份,核对密码,动态令牌,数字证书,生物认证(指纹虹膜),IC卡等信息
HTTP认证方式
- BASIC 认证(基本认证)
- DIGEST 认证(摘要认证)
- SSL 客户端认证
- FormBase 认证(基于表单认证)
BASIC 认证
虽然是使用Base64编码方式,但这不是加密处理方式,很不安全,而且无法注销认证
DIGEST认证
使用质询响应方式,将受到的质询吗计算生成响应吗返回,但也只是隐藏起了密码等信息,一样可以用户伪装,不安全,使用也不灵活
SSL客户端认证
单纯的ID密码认证可能泄露,并不能保证客户端也一致,HTTPS客户端证书可以完成这个认证。
通常是结合表单认证一起使用,表单认证提供密码等信息确认本人所为,认证证书来认证客户端计算机。
基于表单认证
客户端会向服务器上的 Web 应用程序发送登录信息(Credential),按登录信息的验证结果认证。
Session管理及Cookie应用
为减轻跨站脚本攻击(XSS)造成的损失,建议事先在 Cookie内加上 httponly 属性Session ID 应使用难以推测的字符串,且服务器端也需要进行有效期的管理,保证其安全性