确认访问用户身份的认证
常见的认证信息如下:
- 密码:只有本人才会知道的字符串信息
- 动态令牌:仅限本人持有的设备显示的一次性密码
- 数字证书:仅限本人(设备)持有的信息
- 生物认证:指纹和虹膜等本人的生理信息
- IC卡等
HTTP使用的认证方式
HTTP/1.1使用的认证方式如下:
- BASIC认证(基本认证)
- DIGEST认证(摘要认证)
- SSL客户端认证
- FormBase认证(基于表单认证)
BASIC认证
Basic认证的步骤:
BASIC认证使用上不够便捷灵活,安全性低,因此并不常用
DIGEST认证
DIGEST认证同样使用质询/响应的方式,但不会像BASIC那样直接发送明文密码。
DIGEST认证的步骤:
说明:
response是由username、realm、password等信息经过MD5加密后的字符串,形成响应码
DIGEST认证提供了高于BASIC认证的安全等级,但是HTTPS的客户端认证相比仍旧很弱。DIGEST认证提供防止密码被窃听的保护机制,但并不存在防止用户伪装的保护机制。
DIGEST认证和basic认证一样,使用上不那么便捷灵活,安全等级也达不到多数Web网站对高安全等级的追求标准,因此其使用范围也有所受限。
SSL客户端认证
SSL客户端认证是借由HTTPS的客户端证书完成认证的方式,凭借客户端证书认证,服务器可确认访问是否来自合法的客户端
SSL客户端认证的步骤:
(见上一篇)
多数情况下,SSL客户端认证不会仅依靠证书认证,一般和基于表单认证组合形成一种双因素认证来使用
SSL客户端认证需要一些必要的费用,除了从认证机构购买客户端证书的费用,服务器运营者为保证自己搭建的认证机构安全运营业要花费费用
基于表单认证
大多数Web网站的认证是基于用户名/密码的表单认证,一般会使用Cookie来管理Session
基于表单认证的登录信息及认证过程都无标准化的方法,服务器端应如何保存用户提交的密码等登录信息也没有标准化
通常,一种安全的保存方法是,先随机生成一个字符串,然后将随机字符串与目标字符串连接生成散列值后保存,这种增加额外信息叫做给密码加盐(salt)
