1. Basic:基础认证
基础认证,属于HTTP协议标准验证。
客户端的请求需包含Authorization请求头(请求头格式:Basic (用户名:密码)Base64编码)。
若客户端是浏览器,则浏览器会提供一个输入用户名和密码的对话框,用户输入用户名和密码后,浏览器会保存用户名和密码,用于构造Authorization值。当关闭浏览器后,用户名和密码将不再保存。
显然这种认证方式并不安全,因为Base64编码的用户名和密码很容易被解码出来,所以这种认证方式一般要配合SSL使用。
假如用户名:admin,密码:123456,经过Basic (admin:123456)Base64编码的到值:Basic YWRtaW46MTIzNDU2,这就是Authorization请求头的值。
2. Digest:摘要认证
摘要认证,属于HTTP协议标准验证。
Digest是Basic的升级版,因为Basic是明文传输密码信息,而Digest是加密后传输,更加安全。
Digest摘要认证步骤:
- 客户端访问Http资源服务器。由于需要Digest认证,服务器返回了两个重要字段nonce(随机数)和realm。
- 客户端构造Authorization请求头,值包含username、realm、nouce、uri和response的字段信息。其中,realm和nouce就是第一步返回的值。nouce只能被服务端使用一次。uri(digest-uri)即Request-URI的值,但考虑到经代理转发后Request-URI的值可能被修改、因此实现会复制一份副本保存在uri内。response也可叫做Request-digest,存放经过MD5运算后的密码字符串,形成响应码。
- 服务器验证包含Authorization值的请求,若验证通过则可访问资源。
Digest认证可以防止密码泄露和请求重放,但没办法防假冒。所以安全级别较低。
Digest和Basic认证一样,每次都会发送Authorization请求头,也就相当于重新构造此值。所以两者易用性都较差。
3. Bearer:不记名令牌认证
不记名令牌验证(Bearer Token Auth),属于HTTP协议标准验证。它是随着OAuth协议而流行起来的。
Bearer验证的核心是BEARER_TOKEN(或者叫:access_token),它的颁发和验证完全由我们自己的应用程序来控制,而不依赖于系统和Web服务器。
客户端的请求需包含Authorization请求头(请求头格式:Bearer access_token)。
其中比较流行的access_token编码方式是JWT(Json Web Token),JWT特别适用于分布式系统的单点登录(SSO)场景。JWT是一种分布式、无状态认证方式。
4. SSL Client
SSL(Secure Sockets Layer 安全套接字协议),SSL认证安全级别较高,但需要承担证书费用。
SSL认证涉及的一些重要概念:
- 数字证书机构的公钥
- 证书的私钥和公钥
- 非对称算法(配合证书的私钥和公钥使用)
- 对称密钥
- 对称算法(配合对称密钥使用)
SSL认证步骤:
- 客户端请求服务资源,服务器要求客户端出示数字证书。
- 客户端发送数字证书。
- 服务器通过数字证书机构的公钥验证数字证书的合法性,验证通过后取出证书的公钥。
- 服务端随机生成一个随机数即为对称密钥,并使用非对称算法和证书公钥加密。这个加密后的字符串,只有发送的客户端能解。
- 客服端使用非对称解密算法和证书私钥获取服务端发送的对称密钥。后续客户端和服务端的请求直接基于对称算法和对称密钥。由于只有客户端和服务端有对称密钥,所以后续发送的请求较安全。
SSL可以防泄漏、假冒、重放,所以在Web系统中得到了广泛的应用。
5. Form:表单认证
表单认证,并不属于HTTP协议标准验证,实现方式多种多样。
最常用的实现方式是cookie+sessiond的配合使用:
- 浏览器将用户名和密码发送到服务端进行认证
- 服务端认证通过后会将sessionId返回给浏览器
- 浏览器会保存sessionId到浏览器的cookie中
- 下次客户端发送的请求中会包含sessionId值,服务端发现sessionId存在并认证过则会提供资源访问。