什么是Web认证

最新推荐文章于 2023-11-10 16:43:35 发布
最新推荐文章于 2023-11-10 16:43:35 发布
阅读量1w 收藏 5
点赞数
文章标签: web authentication authorization 服务器 basic microsoft
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hotnet522/article/details/5824359
版权

简而言之,web认证就是一个确认对方身份的过程。Web认证最典型的方式是通过用户名和密码。

 

Web认证有多种方式

 

A. Http协议内建的认证方法

 

    1. Http Basic Authentication (Http基本认证)

 

        HTTP基本认证是最简单也是曾经使用过很长时间的一种认证方式。基本认证要求为每一个保护域(realm)提供一个用户名和密码进行认证。 

 

        流程简介:

 

        a. 客户端浏览器访问一个受http基本认证保护的资源。

 

        b. 服务器返回401(authentication required)状态,要求客户端提供用户名和密码进行认证。Response Header里面有一个属性WWW-Authenticate,它的值比如: Basic realm="Restlet tutorial"。

 

        c. 客户端弹出一个窗口,用于输入用户名和密码(基本上所有的浏览器都提供对基本认证的支持,它们都内建了一个用户名密码输入窗口)。

 

        d. 输入用户名密码并确认之后,客户端把%username%:%password%用Base64进行编码后通过Request Header: Authorization传送给服务器,所以可以看到Http基本认证是明文传输,安全风险很大。比如Authorization: Basic xxxxxxxxxx.

 

        e. 如果认证成功,则返回相应的资源。如果认证失败,则跳回b,重新进行认证。

 

        特点:

 

        *. Http是无状态的,即使来自同一个客户端,对同一个realm内资源的每一个访问还是会被要求进行认证。

 

        *. 客户端会缓存用户名和密码,并和认证域(authentication realm)一起保存。所以,如果对同一个域(realm)的其它资源进行访问,不需要你重新输入用户名和密码。

 

        *. 登录信息会和认证域以及服务器名一起存储,所以可以很好地和其他登录信息区分开来。

 

        *. 基本认证方式是不安全的,因为用户名密码以及内容都是以非加密的方式传输。

 

    2. Digest Authentication (摘要式身份认证)

 

        摘要式认证是一种基于challenge-response的认证模式。

 

        流程简介:

 

        a. 客户端发起一个请求(没有认证信息)。

 

        b. Web服务器返回一个带有WWW-Authenticate头的response(401),请求提供认证。

 

        c. 客户端返回用户名和密码的摘要信息(比如说MD5加密),而不是明文。

 

        d. 通过认证,则返回相应的内容。否则,继续b。

 

        特点:

 

        *. 摘要认证主要是为了解决基本认证中最大的漏洞,即用明文传输用户名和密码的问题。

 

        *. 挑战模式:每次返回401响应的时候,都会返回一个nonce(number used only once)。或者,为了安全起见,还可能会使用一次性nounce(每个request都得到一个不同的nounce)等其它方法来加强安全性。

 

        *. Checksum(默认是MD5 checksum)是username, password, nonce值, HTTP方法, 和被请求的URI的checksum。

 

        *. 安全隐患:虽然密码并非明文传输,但黑客还是可以利用digest值来访问网站。并且,它对内容并不加密。

 

B. Form-based

 

    基于Form的认证方式是高度可定制,也应该是目前用地最多的一种认证方式。

 

    流程简介:

 

    1. 客户端通过一个form,把用户名和密码post给服务端。

 

    2. 服务端通过一些逻辑来判断认证是否有效。

 

    3. 如果认证成功,服务器返回一个cookie(一个能唯一确认客户端的cookie,比如sessionId),用于客户端接下来的访问。如果认证失败,会提示用户进行重新输入用户名密码再次认证。

 

    特点:

 

    *. 高度可定制:可以根据自己的需要来实现认证逻辑。

 

    *. 服务器端要有一个保存客户端信息的地方,比如session。

 

    *. 客户端要有一个cookie来表明自己的身份,一般是username和一个cookie值(比如sessionId)的组合。

 

    *. 客户端cookie的生命周期和安全性息息相关。比如现在很多站点都支持“remember me”,其实就是在服务器端remember session并在客户端remember cookie。有些站点为了更好的安全性,用这种方式登录时,如果要执行一些重要的操作比如改密码,会要求客户用用户名和密码的方式重新登录。

 

C. 证书认证

 

    证书认证方式比之其他方式是最安全的认证方式。

 

    对于数字证书的作用,我在这篇文章 里面做了详细介绍。

 

D. 微软提供的认证方式

 

     这几种认证方式都是微软提供的,不做太多介绍。

 

     1. NTLM,IE only。

 

     2. Microsoft Passport(Single Signon).

     

好了,这篇文章就简单介绍一下各种认证方式吧。下篇文章,主要讨论几种认证方式在各种服务器上的实现方式。

hotnet522
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
C9800 web认证.pdf
04-13
C9800 web认证
无线WEB认证功能与BYOD方案——无线WEB认证配置:对接锐捷认证服务器(2)
君逍遥o
10-18 508
Web认证是一种对用户访问网络的权限进行控制的身份认证方法,这种认证方法不需要用户安装专用的客户端认证软件,使用普通的浏览器软件就可以进行身份认证。未认证用户使用浏览器上网时,接入设备会强制浏览器访问特定站点。在指定的web站点进行认证操作。锐捷Web认证有2个版本,不同版本的Web认证流程不同,我们将其分别称为锐捷一代Web认证和锐捷二代Web认证。此外我司在设备端也实现了一个简易版的portal服务器功能,称为内置web认证
SpringSecurity 你值得学习!!!
DrewWong的博客
11-11 371
JAVA安全框架简介 文章目录SpringSecurity功能介绍和原理分析一、基本原理二、认证流程详解三、个性化用户认证流程1、修改登录成功后返回json数据2、修改处理登录失败后返回json数据3、配置提示信息为中文四、实现图形验证码或短信验证码功能1、编写生成验证码图片的接口2、编写自定义的过滤器,完成验证码校验3、在spring Security中配置过滤器五、实现记住我功能六、SESSION管理Spring Security的Session控制七、授权7.1、Spring Security授权流程
Web认证方法探视(1)
andyhu1007的专栏
02-23 425
什么是Web认证   简而言之,web认证就是一个确认对方身份的过程。Web认证最典型的方式是通过用户名和密码。   Web认证有多种方式   A. Http协议内建的认证方法       1. Http Basic Authentication (Http基本认证)           HTTP基本认证是最简单也是曾经使用过很长时间的一种认证方式。基本认证要求为每一个保护域(re...
通过实例理解Go Web身份认证的几种方式
TonyBai
10-24 485
在2023年Q1 Go官方用户调查报告[1]中,API/RPC services、Websites/web services都位于使用Go开发的应用类别的头部(如下图):我个人使用Go开发已很多年,但一直从事底层基础设施、分布式中间件等方向,Web应用开发领域涉及较少,像Web应用领域常见的CRUD更是少有涉猎,不能不说是一种“遗憾”^_^。未来一段时间,团队会接触到Web应用的开发,我打算对Go...
Portal认证简介
2301_76769137的博客
10-30 464
Portal认证通常也称为Web认证,一般将Portal认证网站称为门户网站。用户上网时,必须在门户网站进行认证,如果未认证成功,仅可以访问特定的网络资源,认证成功后,才可以访问其他网络资源。
Web身份验证(WebAuthn)
专注于大数据方向,区块链,前后端,数据可视化,人工智能等领域
05-18 2250
WebAuthn是FIDO联盟FIDO2规范集的核心组件,是一种基于Web的API,允许网站更新其登录页面,以便在支持的浏览器和平台上添加基于FIDO的身份验证。FIDO2使用户能够利用常见设备轻松地在移动的和桌面环境中对在线服务进行身份验证。Web服务和应用程序可以-并且应该-打开此功能,通过生物识别技术,移动的设备和/或FIDO安全密钥为用户提供更轻松的登录体验-并且比单独的密码具有更高的安全性。
WEB安全认证
最新发布
weixin_43996530的博客
11-10 351
精心提炼的WEB安全认证万字长文,一文掌握所有认证模式
Web 认证手机短信认证配置流程
05-05
Web 认证手机短信认证配置流程
山石网卡web认证(第八章WEB认证
06-29
山石网科网络工程师内部培训web认证培训ppt,欢迎下载。(第八章WEB认证
ROS WEB认证
06-24
ROS5.20以上版适用,ROS是目前最好用的软件路由,最难的的免费认证页面
RouterOS配置WEB认证
12-14
很好的ros web 认证学习资料,非常实用。
无线路由器Web认证怎么设置 TP路由器启用Web认证功能图文教程
10-01
目前越来越多的服务场所采用了无线路由器Web认证来实现上网登录,那么,无线路由器Web认证怎么设置?对此,本文就以TP-LINK路由器为例,来为大家介绍Web认证无线路由器的设置方法
C#进阶系列 WebApi身份认证解决方案推荐:Basic基础认证
09-02
下面小编就为大家带来一篇C#进阶系列 WebApi身份认证解决方案推荐:Basic基础认证。小编觉得挺不错的,现在分享给大家。给大家一个参考。一起跟随小编过来看看吧
web认证流程及常见问题分析.ppt
01-24
认证技术是AAA(认证,授权, 计费)的初始步骤,AAA一般包括用户终端、AAAClient、AAA Server和计费软件四个环节。用户终端与AAA Client之间的通信方式...目前的主要技术有以下三种:PPPoE、Web+Portal、IEEE802.1x。
OpenWRT 下实现 Portal 认证(WEB 认证)
02-06
OpenWRT 下实现 Portal 认证(WEB 认证),转载
WebApi摘要认证
09-03
WebAPI 摘要认证 Winform 调用WebApi
WEB Portal 认证完整的交互报文
04-24
web认证交互报文,包括WLAN controller与portal server的认证与注销,AC与radius 服务器认证报文。
WAYOS的WEB认证页面
12-03
WAYOS web认证 本人亲自测试手机 电脑都能用
锐捷胖ap的web认证命令是什么
06-08
在锐捷胖AP上启用Web认证功能的命令是: ``` web-auth enable ``` 配置认证方式和认证服务器地址的命令是: ``` web-auth server url <URL> web-auth server method <METHOD> web-auth server user <USERNAME> web-auth server password <PASSWORD> ``` 其中,`<URL>`是认证服务器的地址,`<METHOD>`是认证方式,可以是HTTP或者HTTPS,`<USERNAME>`和`<PASSWORD>`是认证服务器的用户名和密码。 配置认证页面的命令是: ``` web-auth page login <URL> web-auth page fail <URL> ``` 其中,`<URL>`分别是认证页面和认证失败页面的地址。 以上是一些常用的锐捷胖AP Web认证相关命令,具体的命令使用方法和参数可以参考锐捷的官方文档。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值