图解HTTP(八)—— 确认用户身份的认证

最新推荐文章于 2024-09-04 14:49:19 发布
最新推荐文章于 2024-09-04 14:49:19 发布
阅读量1.1k 收藏 8
点赞数
分类专栏: 图解HTTP 文章标签: HTTP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Alexshi5/article/details/83515509
版权

一、何为认证

        计算机本身无法判断坐在显示器前的使用者的身份,为了弄清楚究竟是谁在访问服务器,就得让对方的客户端自报家门。为确保使用者具有访问系统的权限,就需要核对使用者本人才知道的信息,这就是认证。

1、认证信息

        核对的信息通常包括以下这些:

① 密码:只有本人才知道的字符串信息;

② 动态令牌:仅限本人持有的设备内显示的一次性密码;

③ 数字证书:仅限本人(终端)持有的信息;

④ 生物认证:指纹和虹膜等本人的生理信息;

⑤ IC卡等:仅限本人持有的信息。

2、认证方式

        HTTP/1.1使用的认证方式如下:

① BASIC认证(基本认证);

② DIGEST认证(摘要认证);

③ SSL客户端认证;

④ FormBase认证(基于表单认证)。

二、BASIC认证

        BASIC认证是从HTTP/1.0开始就定义的认证方式,它是Web服务器与通信客户端之间进行的认证方式。

1、BASIC认证图解

2、BASIC认证步骤

        步骤 1: 当请求的资源需要 BASIC 认证时,服务器会随状态码 401 Authorization Required,返回带 WWW-Authenticate 首部字段的响应。 该字段内包含认证的方式(BASIC) 及 Request-URI 安全域字符串 (realm)。

        步骤 2: 接收到状态码 401 的客户端为了通过 BASIC 认证,需要将 用户 ID 及密码发送给服务器。发送的字符串内容是由用户 ID 和密码 构成,两者中间以冒号(:)连接后,再经过 Base64 编码处理。 假设用户 ID 为 guest,密码是 guest,连接起来就会形成 guest:guest 这 样的字符串。然后经过 Base64 编码,最后的结果即是 Z3Vlc3Q6Z3Vlc3Q=。把这串字符串写入首部字段 Authorization 后, 发送请求。 当用户代理为浏览器时,用户仅需输入用户 ID 和密码即可,之后, 浏览器会自动完成到 Base64 编码的转换工作。

        步骤 3: 接收到包含首部字段 Authorization 请求的服务器,会对认证 信息的正确性进行验证。如验证通过,则返回一条包含 Request-URI 资源的响应。

        总结:BASIC 认证虽然采用 Base64 编码方式,但这不是加密处理。不需要 任何附加信息即可对其解码。换言之,由于明文解码后就是用户 ID 和密码,在 HTTP 等非加密通信的线路上进行 BASIC 认证的过程 中,如果被人窃听,被盗的可能性极高。 另外,除此之外想再进行一次 BASIC 认证

最低0.47元/天 解锁文章
_云卷云舒_
关注
专栏目录
用户身份认证
SillyLee1的博客
10-13 2414
0. 背景 计算机本身无法判断坐在显示器前的使用者的身份,也无法确认网络的另一端的是谁。为了明确是谁在访问服务器,必须让客户端自报家门。 通常核对一些登录者本人的信息: 密码:只有本人知道的字符串信息 动态令牌:仅限本人持有的设备内显示的一次性密码 数字证书:仅限本人(终端)持有的信息 生物认证:指纹和虹膜等本人生理信息 身份证号、手机号等:仅限本人持有的信息 1. Basic 认证 Basic 身份认证,是 HTTP 1.0 中引入的认证方案之一。虽然方案比较古老,实现简单,同时存在
图解HTTP》读书笔记(四)——HTTPS和用户身份认证
五撸超人的博客
05-12 1202
前言        本文是本系列的第四篇,主要记录了HTTPS和用户身份认证的相关知识,如果有错误烦请大家指出。 确保Web安全的HTTPS 1.HTTP的缺点 使用明文通信,可能会被窃听。        我们都知道,HTTP协议是基于TCP/IP协议族的,...
Shiro01 功能点框图、架构图、身份认证逻辑、身份认证代码实现
weixin_30466421的博客
01-17 500
基本功能点 功能点框图 功能点说明 1、Authentication:身份认证/登录,验证用户是不是拥有相应的身份; 2、Authorization:授权,即权限验证,验证某个已认证用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用 户对某个资源是否具有某个权限; 3、SessionManager:会话管理,即用户登录后就是...
【学习笔记】SSL证书安全机制之证书验证
最新发布
Taki_UP的博客
09-04 1435
每当Client从Server收到一张证书,有2件事Client需要去验证:证书是否有效?Server是否是证书真正的拥有者?本篇将进行详细介绍...
图解HTTP总结(8)——确认访问用户身份认证
MaynyWoody的博客
06-07 607
Session 管理及 Cookie 应用        基于表单认证的标准规范尚未有定论,一般会使用Cookie来管理Session(会话)。基于表单认证本身是通过服务器端的Web应用,将客户端发送过来的用户ID和密码与之前登录过的信息做匹配来进行认证的。但鉴于HTTP是无状态协议,之前已认证成功的用户状态无法通过协议层面保存下来,即,无法实现状态管理,因此即使该用户下一次继续访问,也无法区分他...
图解HTTP学习笔记——确认访问用户身份认证
05-16
HTTP协议中,为了确认访问用户身份,可以使用认证功能。认证功能是通过在请求中发送用户ID和密码等信息,来确认访问者的身份的一种方式。 HTTP/1.0定义了基本认证(Basic Authentication)功能,而HTTP/1.1定义...
多服务器身份认证协议,图解身份认证协议——Kerberos
weixin_30041067的博客
08-10 874
图解身份认证协议——Kerberos作者:课课家教育 来源:http://www.kokojia.com点击数:492发布时间:2018-01-10 09:00:09Kerberos是MIT开发的一种身份鉴别服务。“Kerberos”的本意是希腊神话中守护地狱之门的守护者。Kerberos提供了一个集中式的认证服务器结构,认证服务器的功能是实现用户与其访问的服务器间的相互鉴别。其实现采用的...
图解http
m0_68897489的博客
07-29 1661
HTTP
确认访问用户身份认证-HTTP()
抽象的螺旋
01-08 3823
概述 某些Web页面只想让特定的人浏览,或者干脆仅本人可见。为达到这个目标,必不可少的就是认证功能。下面我们一起来学习一些认证机制。 何为认证 计算机本身无法判断坐在显示器前的使用者的身份。进一步说,也无法确认网络的那头究竟有谁。可见,为了弄清楚究竟是谁在访问服务器,就得让对方的客户端自报家门。 可是,就算正在访问服务器的对方声称自己是xxx,身份是否属实这点却无从谈起。为确认xxx本人是否真的具有访问系统的权限,就需要核对“登陆者本人才知道的信息”、“登陆者本人才会有的信息”。 核对的信息通常是指以下这些
用户身份认证-JWT
weixin_50224527的博客
09-18 687
用户身份认证 1.单一服务器模式 一般过程如下: 1.用户向服务器发送用户名和密码。 2.验证服务器后,相关数据(如用户名,用户角色等)将保存在当前会话(session) 中。 3.服务器向用户返回session, id, session信息都会写入到用户的C ookie. 4.用户的每个后续请求都将通过在Cookie中取出session. id传给服务器。 5.服务器收到session, id并对比之前保存的数据,确认用户身份。 缺点: ●单点性能压力,无法扩展。 ●分布式架构中,需要session共
确认访问用户身份认证
GSON的博客
05-03 1815
某些 Web 页面只想让特定的人浏览,或者干脆仅本人可见。为达到这个目标,必不可少的就是认证功能。下面我们一起来学习一下认证机制。 一、何为认证 计算机本身无法判断坐在显示器前的使用者的身份。进一步说,也无法确认网络的那头究竟有谁。为了弄清究竟是谁在访问服务 器,就得让对方的客户端自报家门。核对的信息通常是指以下这些。 密码:只有本人才会知道的字符串信息。 动态令牌:仅限本人持有...
用户认证(四)【确认账户】
GeekLee的博客
09-27 4372
使用itsdangerous生成确认令牌数据库分配的id,用dump转化成令牌字符串,发送带有token的链接的邮件,点击这个链接,执行带token的确认路由,在视图函数中使用user的自定义方法解析loads的id来对照用户的id,如果一样,更改用户的属性。 C:\Users\Geek Lee\Geek-Lee.github.io>venv\Scripts\activate(venv) C:\Us
带你详解 HTTP 协议():与 HTTP 协作的 Web 服务器
Cai_deLong的博客
09-22 197
HTTP 通信时,除客户端和服务器外,还有一些用于协助通信的应用程序。如下列出比较重要的几个:代理、缓存、网关、隧道、Agent 代理。 1.代理 代理 HTTP 代理服务器是 Web 安全、应用集成以及性能优化的重要组成模块。代理位于客户端和服务器端之间,接收客户端所有的 HTTP 请求,并将这些请求转发给服务器(可能会对请求进行修改之后再进行转发)。对用户来说,这些应用程序就是一个代理,代表用户访问服务器。 出于安全考虑,通常会将代理作为转发所有 Web 流量的可信任中间节点使用。代理还.
主流的用户身份认证方案?都在这里!
量子前端的博客
07-02 937
在现在的互联网服务中,用户认证是至关重要的环节。用户向服务器发送用户名和密码,以发起登录请求。服务器对用户提供的信息进行验证。验证通过后,在当前会话(session)中保存相关数据,例如用户角色、登录时间等关键信息。服务器向用户返回一个唯一的 session_id,并将其写入用户的 Cookie 中。用户后续的每一次请求,都会通过 Cookie 将 session_id 传递回服务器。
图解用户登录验证流程,写得太好了!
m0_71777195的博客
07-26 509
本文通过图示及代码的方式介绍用户登录流程及技术实现,内容包括用户登录,用户验证,如何获取操作用户的信息以及一些黑名单及匿名接口如何免验证相关的实现。用户系统是非常基础的系统,但是很多程序员工作中可能并没有真正的参与到用户系统的开发,通过此文可以对用户登录流程及配套功能有一个全面的了解。httpshttpshttpshttpshttpshttpshttps。...
不一样的HTTP()
车联网开发的博客
02-13 126
一.http的特点 HTTP 是灵活可扩展的,可以任意添加头字段实现任意功能; HTTP 是可靠传输协议,基于 TCP/IP 协议“尽量”保证数据的送达; HTTP 是应用层协议,比 FTP、SSH 等更通用功能更多,能够传输任意数据; HTTP 使用了请求 - 应答模式,客户端主动发起请求,服务器被动回复请求; HTTP 本质上是无状态的,每个请求都是互相独立、毫无关联的,协议不要求客户端或服务器记录请求相关的信息。 二.http的优缺点 HTTP 最大的优点是简单、灵活和易于扩展; HTT
HTTP Basic 认证
全栈空间
10-12 695
HTTPBasic认证难度等级:【初级】由RFC7617定义的HTTPBasic认证是一种非常基础而简单的认证模式,因此叫他Basic认证。他本质上就是浏览器提供的一个接口,能够根据HTTP返回值,自动弹出一个登录框,让用户输入ID和密码,最后发给服务器校验,如若成功,此后每次请求都会携带这个头部。Basic认证确实省去了许多麻烦事:不需要再手写一个前端登录界面,不需要缓存token塞到请求...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值