图解HTTP读书笔记（八）

图解HTTP读书笔记（八）

第八章 确认访问用户身份的认证

所谓的认证是指服务器端需要核实访问者的信息。
这些信息通常指：如密码，动态令牌，数字证书，生物认证，IC卡等。

HTTP常使用的认证方式

• BASIC认证（基本认证）
• DIGEST认证（摘要认证）
• SSL客户端认证
• FormBase认证(基于表单认证)

BASIC认证

BASIC认证（基本认证）是从HTTP/1.0就定义的认证方式。

步骤：
1. 请求资源需要BASIC认证时，服务器返回状态码401Authorization Required,返回WWW-Authenticate首部字段。该字段包含认证方式（BASIC）及Request-URI安全域字符串（realm）
2. 客户端接收到状态码401，BASIC认证，需要将用户的ID及密码发送给服务器。发送的字符串内容是由用户ID和密码构成，2者中间以冒号（：）连接后，在经过Base64编码处理。之后将这串字符串写入首部字段Authorization,发送请求。
3. 服务器接收到Authorization首部字段的请求，会对认证信息的正确性进行验证。如果验证通过，则返回一条包含Request-URI资源的响应。

BASIC认证虽然采用Base64编码方式，但这不是加密处理，容易被监听破解，安全级别低

DIGEST认证

为了弥补BASIC认证的弱点，从HTTP/1.1有了DIGEST认证。

DIGEST认证是，一开始一方会先发送认证要求给另一方，接着使用从另一方那接收到的质询码计算响应码。最后将响应码返回给对方进行认证。

步骤和BASIC认证相似，需要注意的是：
1. 在服务器返回401是，在WWW-Authenticate首部字段中必须包含realm和nonce2个字段信息。
2. 在客户端接收到401状态码，再次请求服务端，在首部字段Authorization内必须包含username，realm，nonce，uri和respond的字段信息，其中realm和nonce就是之前从服务器接收到的字段。

SSL客户端认证

从使用用户ID和密码的认证方式方面将，只要2者的内容正确，即可认证是本人行为，但如果用户id和密码被盗，就很可能被人冒充。利用SSL客户端认证则可以避免该情况的发生。

SSL的认证步骤

为达到SSL客户端认证的目的，需要事先将客户端证书分发给客户端，且客户端必须安装此证书。

步骤：

1. 服务端接收到客户端发送的认证资源请求，会发送CertificateRequest报文，要求客户端提供客户端证书。
2. 客户端会把客户端证书信息以Client Certificate报文方式发送给服务器
3. 服务器验证客户端证书通过后可领取证书内客户端的公钥，然后开始HTTPS加密通信。

SSL客户端认证采用双因素认证

在多数情况下，SSL客户端认证不会仅依靠证书完成认证，一般会和基于表单认证组合形成一种双因素认证来使用。

所谓双因素认证是指，认证过程中不仅需要密码这一个因素，还需要申请认证者提供其他持有信息，从而作为另一个因素，与其组合使用的认证的方式。

基于表单认证

Session管理及Cookie应用
基于表单认证一般使用Cookie来管理Session(会话)。

因为HTTP是无状态协议，无法实现状态管理，无法区分该用户下一次访问与其他用户的。于是我们使用Cookie来管理Session,以弥补HTTP协议中不存在的状态管理功能。

步骤

1. 客户端把用户ID和密码等登入信息放入报文的实体部分，通常POST请求发送给服务端。
2. 服务器会发放用以识别用户的Session ID。通过验证从客户端发送过来的登入信息进行身份认证，然后把用户的认证状态于Session ID绑定后记录在服务端。向客户端返回响应，会在首部字段Set-Cookie内写入Session ID。另外，为了减轻跨站脚本攻击（XSS）造成的损失，建议事先在Cookie内加上httponly属性。
3. 客户端接收到从服务器端发来的Session ID后，会把Cookie保存在本地。下次请求服务器时，浏览器会自动发送Cookie,所以Session ID也随之发送到服务器。服务器接收到的Session ID可以识别用户和其他认证状态。

在生成Session ID前，服务端会对客户端发送过来的密码进行加盐处理，在生成随机值，保证Session ID不易破解，如果客户端的Cookie被他人窃取，是可以直接访问的，所以存在较大隐患