图解HTTP读书笔记(八)
第八章 确认访问用户身份的认证
所谓的认证是指服务器端需要核实访问者的信息。
这些信息通常指:如密码,动态令牌,数字证书,生物认证,IC卡等。
HTTP常使用的认证方式
- BASIC认证(基本认证)
- DIGEST认证(摘要认证)
- SSL客户端认证
- FormBase认证(基于表单认证)
BASIC认证
BASIC认证(基本认证)是从HTTP/1.0就定义的认证方式。
步骤:
1. 请求资源需要BASIC认证时,服务器返回状态码401Authorization Required,返回WWW-Authenticate首部字段。该字段包含认证方式(BASIC)及Request-URI安全域字符串(realm)
2. 客户端接收到状态码401,BASIC认证,需要将用户的ID及密码发送给服务器。发送的字符串内容是由用户ID和密码构成,2者中间以冒号(:)连接后,在经过Base64编码处理。之后将这串字符串写入首部字段Authorization,发送请求。
3. 服务器接收到Authorization首部字段的请求,会对认证信息的正确性进行验证。如果验证通过,则返回一条包含Request-URI资源的响应。
BASIC认证虽然采用Base64编码方式,但这不是加密处理,容易被监听破解,安全级别低
DIGEST认证
为了弥补BASIC认证的弱点,从HTTP/1.1有了DIGEST认证。
DIGEST认证是,一开始一方会先发送认证要求给另一方,接着使用从另一方那接收到的质询码计算响应码。最后将响应码返回给对方进行认证。
步骤和BASIC认证相似,需要注意的是:
1. 在服务器返回401是,在WWW-Authenticate首部字段中必须包含realm和nonce2个字段信息。
2. 在客户端接收到401状态码,再次请求服务端,在首部字段Authorization内必须包含username,realm,nonce,uri和respond的字段信息,其中realm和nonce就是之前从服务器接收到的字段。
SSL客户端认证
从使用用户ID和密码的认证方式方面将,只要2者的内容正确,即可认证是本人行为,但如果用户id和密码被盗,就很可能被人冒充。利用SSL客户端认证则可以避免该情况的发生。
SSL的认证步骤
为达到SSL客户端认证的目的,需要事先将客户端证书分发给客户端,且客户端必须安装此证书。
步骤:
- 服务端接收到客户端发送的认证资源请求,会发送CertificateRequest报文,要求客户端提供客户端证书。
- 客户端会把客户端证书信息以Client Certificate报文方式发送给服务器
- 服务器验证客户端证书通过后可领取证书内客户端的公钥,然后开始HTTPS加密通信。
SSL客户端认证采用双因素认证
在多数情况下,SSL客户端认证不会仅依靠证书完成认证,一般会和基于表单认证组合形成一种双因素认证来使用。
所谓双因素认证是指,认证过程中不仅需要密码这一个因素,还需要申请认证者提供其他持有信息,从而作为另一个因素,与其组合使用的认证的方式。
基于表单认证
Session管理及Cookie应用
基于表单认证一般使用Cookie来管理Session(会话)。
因为HTTP是无状态协议,无法实现状态管理,无法区分该用户下一次访问与其他用户的。于是我们使用Cookie来管理Session,以弥补HTTP协议中不存在的状态管理功能。
步骤
- 客户端把用户ID和密码等登入信息放入报文的实体部分,通常POST请求发送给服务端。
- 服务器会发放用以识别用户的Session ID。通过验证从客户端发送过来的登入信息进行身份认证,然后把用户的认证状态于Session ID绑定后记录在服务端。向客户端返回响应,会在首部字段Set-Cookie内写入Session ID。另外,为了减轻跨站脚本攻击(XSS)造成的损失,建议事先在Cookie内加上httponly属性。
- 客户端接收到从服务器端发来的Session ID后,会把Cookie保存在本地。下次请求服务器时,浏览器会自动发送Cookie,所以Session ID也随之发送到服务器。服务器接收到的Session ID可以识别用户和其他认证状态。
在生成Session ID前,服务端会对客户端发送过来的密码进行加盐处理,在生成随机值,保证Session ID不易破解,如果客户端的Cookie被他人窃取,是可以直接访问的,所以存在较大隐患