确认访问用户身份的认证

确认访问用户身份的认证

何为认证

密码:只有本人才会知道的字符串信息。

动态令牌:仅限本人持有的设备内显示的一次性密码

数字证书:仅限本人(终端)持有的信息

生物认证:指纹和虹膜等本人的生理信息。

IC 卡等:仅限本人持有的信息

BASIC 认证(基本认证)

DIGEST 认证(摘要认证)

SSL 客户端认证

FormBase 认证(基于表单认证)

BASIC 认证

BASIC 认证(基本认证)是从 HTTP/1.0 就定义的认证方式。

BASIC 认证使用上不够便捷灵活,且达不到多数 Web 网站期望的安全性等级,因此它并不常用。

步骤 1: 当请求的资源需要 BASIC 认证时,服务器会随状态码 401 Authorization Required,返回带 WWW-Authenticate 首部字段的响应

步骤 2: 接收到状态码 401 的客户端为了通过 BASIC 认证,需要将用户 ID 及密码发送给服务器

步骤3：接收到包含首部字段 Authorization 请求的服务器,会对认证信息的正确性进行验证

DIGEST 认证

DIGEST 认证同样使用质询 / 响应的 方式(challenge/response),但不会像 BASIC 认证那样直接发送明文密码。

步骤 1: 请求需认证的资源时,服务器会随着状态码 401 Authorization Required,返 回带 WWW-Authenticate 首部字段的响应

步骤 2: 接收到 401 状态码的客户端,返回的响应中包含 DIGEST 认证必须的首部字段 Authorization 信 息。

步骤 3: 接收到包含首部字段 Authorization 请求的服务器,会确认认证信息的正确性。

SSL 客户端认证

SSL 客户端认证是借由 HTTPS 的客户端证书完成认证的方式。

步骤 1: 接收到需要认证资源的请求,服务器会发送 Certificate Request 报文,要求客户端提供客户端证 书。

步骤 2: 用户选择将发送的客户端证书后,客户端会把客户端证书信息以 Client Certificate 报文方式发送给 服务器。

步骤 3: 服务器验证客户端证书验证通过后方可领取证书内客户端的公开密钥,然后开始 HTTPS 加密通 信。

基于表单认证

认证多半为基于表单认证

基于表单认证的标准规范尚未有定论,一般会使用 Cookie 来管理 Session(会话)

步骤 1: 客户端把用户 ID 和密码等登录信息放入报文的实体部分,通常是以 POST 方法把请求发送给服务 器。

步骤 2: 服务器会发放用以识别用户的 Session ID。会在首部字段 Set-Cookie 内写入 Session ID

步骤 3: 客户端接收到从服务器端发来的 Session ID 后,会将其作为 Cookie 保存在本地

下次向服务器发 送请求时, 浏览器会自动发送 Cookie, 所以 Session ID 也随之发送到服务器