目前的用户认证多半是基于表单的认证,基于表单的认证方法并不是在HTTP协议中定义的。通过让客户端向服务器上的Web应用程序发送登录信息来实现用户认证。
鉴于HTTP是无状态协议,之前认证成功的用户状态无法通过协议层面保存下来(无法实现状态管理)。即使该用户下一次继续访问,也无法将他与其他用户区分开来。因此基于表单的认证一般会使用Cookie来管理Session会话。来解决HTTP协议的状态管理问题。
客户端把用户ID和密码等登录信息放入报文的实体部分,把请求发送给服务器(通常以POST方法)。这时会使用HTTPS通信进行登录信息的发送。
服务器生成用以识别用户的
Session ID。对客户端发送过来的登录信息进行身份认证,然后将用户的认证状态与Session ID绑定,记录在服务器端。然后服务器会在响应报文的首部字段Set-cookie内写入Session ID并返回响应报文。
如果
Session ID被第三方盗走,对方就可以伪装成被盗者的身份进行而已操作。因此必须防止Session ID被盗或被猜出。Session ID通常使用难以推测的字符串,且服务端也要进行会话有效期的管理,保证安全性。
- 客户端接收到服务端发来的
Session ID后,会将其作为Cookie保存在本地。下次向服务器发送请求时,客户端会自动在请求报文中加入Cookie。服务端便可以通过验证接收到的Session ID识别用户和其认证状态。
关于服务端保存用户密码的保存方式,一种方法时先利用给密码加盐(salt)的方式增加额外信息,再使用散列(hash)函数计算出散列值后保存。
盐(salt):服务器随机生成的一个字符串(长度足够长,并且是真正随机生成的)。又可分别固定盐和随机盐,随机盐是根据一定条件(比如密账号的创建时间,用户的账户名)随机生成的,然后将它和密码字符串连接起来生成散列值。即使两个用户使用同一个密码,由于随机生成的salt值不同,对应的散列值也是不同的。
