常用的Web安全认证方式

已于 2022-11-16 22:24:11 修改
阅读量8k 收藏 8
点赞数 2
分类专栏: HTTP 文章标签: web安全 http
于 2022-05-12 22:09:38 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/JokerLJG/article/details/124687130
版权

文章目录

1. Basic:基础认证

基础认证,属于HTTP协议标准验证。

客户端的请求需包含Authorization请求头(请求头格式:Basic (用户名:密码)Base64编码)。

若客户端是浏览器,则浏览器会提供一个输入用户名和密码的对话框,用户输入用户名和密码后,浏览器会保存用户名和密码,用于构造Authorization值。当关闭浏览器后,用户名和密码将不再保存。

显然这种认证方式并不安全,因为Base64编码的用户名和密码很容易被解码出来,所以这种认证方式一般要配合SSL使用。

假如用户名:admin,密码:123456,经过Basic (admin:123456)Base64编码的到值:Basic YWRtaW46MTIzNDU2,这就是Authorization请求头的值。

2. Digest:摘要认证

摘要认证,属于HTTP协议标准验证。

Digest是Basic的升级版,因为Basic是明文传输密码信息,而Digest是加密后传输,更加安全。

Digest摘要认证步骤:

  1. 客户端访问Http资源服务器。由于需要Digest认证,服务器返回了两个重要字段nonce(随机数)和realm。
  2. 客户端构造Authorization请求头,值包含username、realm、nouce、uri和response的字段信息。其中,realm和nouce就是第一步返回的值。nouce只能被服务端使用一次。uri(digest-uri)即Request-URI的值,但考虑到经代理转发后Request-URI的值可能被修改、因此实现会复制一份副本保存在uri内。response也可叫做Request-digest,存放经过MD5运算后的密码字符串,形成响应码。
  3. 服务器验证包含Authorization值的请求,若验证通过则可访问资源。

Digest认证可以防止密码泄露和请求重放,但没办法防假冒。所以安全级别较低。

Digest和Basic认证一样,每次都会发送Authorization请求头,也就相当于重新构造此值。所以两者易用性都较差。

3. Bearer:不记名令牌认证

不记名令牌验证(Bearer Token Auth),属于HTTP协议标准验证。它是随着OAuth协议而流行起来的。

Bearer验证的核心是BEARER_TOKEN(或者叫:access_token),它的颁发和验证完全由我们自己的应用程序来控制,而不依赖于系统和Web服务器。

客户端的请求需包含Authorization请求头(请求头格式:Bearer access_token)。

其中比较流行的access_token编码方式是JWT(Json Web Token),JWT特别适用于分布式系统的单点登录(SSO)场景。JWT是一种分布式、无状态认证方式。

4. SSL Client

SSL(Secure Sockets Layer 安全套接字协议),SSL认证安全级别较高,但需要承担证书费用。

SSL认证涉及的一些重要概念:

  • 数字证书机构的公钥
  • 证书的私钥和公钥
  • 非对称算法(配合证书的私钥和公钥使用)
  • 对称密钥
  • 对称算法(配合对称密钥使用)

SSL认证步骤:

  1. 客户端请求服务资源,服务器要求客户端出示数字证书。
  2. 客户端发送数字证书。
  3. 服务器通过数字证书机构的公钥验证数字证书的合法性,验证通过后取出证书的公钥。
  4. 服务端随机生成一个随机数即为对称密钥,并使用非对称算法和证书公钥加密。这个加密后的字符串,只有发送的客户端能解。
  5. 客服端使用非对称解密算法和证书私钥获取服务端发送的对称密钥。后续客户端和服务端的请求直接基于对称算法和对称密钥。由于只有客户端和服务端有对称密钥,所以后续发送的请求较安全。

SSL可以防泄漏、假冒、重放,所以在Web系统中得到了广泛的应用。

5. Form:表单认证

表单认证,并不属于HTTP协议标准验证,实现方式多种多样。

最常用的实现方式是cookie+sessiond的配合使用:

  1. 浏览器将用户名和密码发送到服务端进行认证
  2. 服务端认证通过后会将sessionId返回给浏览器
  3. 浏览器会保存sessionId到浏览器的cookie中
  4. 下次客户端发送的请求中会包含sessionId值,服务端发现sessionId存在并认证过则会提供资源访问。
骑个小蜗牛
关注
  • 2
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Authorization Basic认证 笔记
02-23 3888
Basic认证 Basic认证过程简单介绍 浏览器请求一个需要认证的网页。 服务器向浏览器返回“401 Unauthorized(未认证)”状态码。 浏览器收到此状态码后,询问用户名和密码。 浏览器发送附带认证信息(Authorization头信息)的请求。 本次请求得到了文档(用户名密码均正确的情况下)。 方案1: header 添加 Authorization 原理说明: string code = ‘fozzie:fozzie’ string base = base64(code) // bas
HTTP使用BASIC认证的原理及实现方法
cjw201231010314的博客
10-19 1412
一. BASIC认证概述 在HTTP协议进行通信的过程中,HTTP协议定义了基本认证过程以允许HTTP服务器对WEB浏览器进行用户身份证的方法,当一个客户端向HTTP服务 器进行数据请求时,如果客户端未被认证,则HTTP服...
25-认证机制:应用程序如何进行访问认证
最新发布
ailiandeziwei的专栏
04-02 564
JWT是Bearer Token的一个具体实现,由JSON数据格式组成,通过HASH散列算法生成一个字符串。该字符串可以用来进行授权和信息交换。使用JWT Token进行认证有很多优点,比如说无需在服务端存储用户数据,可以减轻服务端压力;而且采用JSON数据格式,比较易读。除此之外,使用JWT Token还有跨语言、轻量级等优点。业界目前有四种常用认证方式Basic、Digest、OAuth、Bearer。其中Basic和Bearer用得最多。
Http协议的身份认证
swadian2008的博客
02-13 1219
目录 一、Basic基础认证 二、Digest摘要认证 三、SSL Client认证 四、HTTP 表单认证 HTTP提供了一套标准的身份验证框架:服务器可以用来针对客户端的请求发送质询(challenge),客户端根据质询提供身份验证凭证。质询与应答的工作流程如下:服务器端向客户端返回401(Unauthorized,未授权)状态码,并在WWW-Authenticate头中添加如何进行...
php实现接口http协议中的Authorization Basic认证、调用
yan_dk的专栏
11-25 3001
我们应用API接口实现中通过Authorization Basic认证是比较常见的,下面谈谈使用php实现接口认证、调用的方法。 需求场景描述 应用系统API接口,需要通过Authorization Basic认证实现,接口方给客户端相应的密钥才能实现认证,并且客户端也通过Authorization Basic认证的调用来实现通信。 实现方法是,将http协议请求头中压入认证字符串,认证字符串可以以base64编码加密,格式如:Authorization:Basic base64_enco...
关于 Authorization: Basic 灵异事件
10-10 1049
这几天在研究 spring Security oauth 等相关的框架 参照例子进行配置,代码不描述,总之产生了下面的地址  有2个地址,分别使用以下方式登录:1: /app/oauth/token  -> basic 2: /app/hi           -> form 总共两种认证方式,分别是 basic,form 两种认证分开认证不同的账号体系,也不会公用(basic认...
WEB安全审计
03-01
渗透程度有深浅,要看Web服务器的安全程度。浅则窃取一些用户账号相关信息,深则获得管理员账号。最常用的渗透手段是SQL注入、XSS(跨站)、上传漏洞。这里只从防御的角度阐述。1.泄露敏感信息—攻击者可以获取后台...
Web应用安全:使用SQL注入绕过认证实验.doc
06-17
本实验使用SQL注入绕过认证,其中包含注释符绕过、大小写绕过、特殊编码绕过、内联注释绕过等方式。 三、实验环境 1、Windows 10 2、MySQL 四、实验步骤 SQL注入绕过 1.1注释符绕过 常用注释符:-- , /**/, # 验证:...
基于E2EE的无状态认证JsonWebToken算法、常用Web算法模块-易语言
06-14
10、基于标准化:你的API可以采用标准化的 JSON Web Token (JWT). 这个标准已经存在多个后端库(.NET, Ruby, Java,Python, PHP)和多家公司的支持(如:Firebase,Google, Microsoft). 11、避免因Cookie本地泄露导致...
Cookie在web认证中的应用研究.pdf
12-07
本篇着重讨论HTTP状态管理中最常用的cookie技术首先给出cookie的一般性概念,包括cookie的应用场合、组成和一般工作过程。然后给出其在Web客户端认证中的应用、安全性分析和相关措施及程序实现
HTTP认证之基本认证——Basic(一)
weixin_30492601的博客
06-12 701
导航 HTTP认证之基本认证——Basic(一) HTTP认证之基本认证——Basic(二) HTTP认证之摘要认证——Digest(一) HTTP认证之摘要认证——Digest(二) 一、概述 Basic认证是一种较为简单的HTTP认证方式,客户端通过明文(Base64编码格式)传输用户名和密码到服务端进行认证,通常需要配合HTTPS来保证信息传输的安全。 二、剖析 1.当打开需要认证...
调试Http Basic认证,用base64加密解密
南瓜慢说
06-22 3710
我最新最全的文章都在 南瓜慢说 www.pkslow.com ,欢迎大家来喝茶! 1 HTTP Basic认证 HTTP Basic认证是在HTTP 1.0就引入的认证方案,存在安全缺陷;但由于实现简单,仍有项目在用。 它主要通过请求头Authorization来做认证,格式为: 键:Authorization 值:Basic base64(username:password),即Basic 加密串,如Basic dXNlcjp1c2Vy。 Spring Security的配置可以为: @EnableW.
Base64编码作用及使用详解
OceanSky的专栏
05-21 7233
介绍:Base64是网络上最常见的用于传输8Bit字节码的编码方式之一,Base64就是一种基于64个可打印字符来表示二进制数据的方法; 1.使用场景: Base64一般用于在HTTP协议下传输二进制数据,由于HTTP协议是文本协议,所以在HTTP协议下传输二进制数据需要将二进制数据转换字符数据;然而直接转换是不行的,因为网络传输只能传输可打印字符; 什么是可打印字符?在ASCII码中规定,0-31、127这33个字符属于控制字符,32-126这95个字符属于可打印字符,也就是说网络传输只能传输这95个字
登录认证(一) —— 几种登录方式简介
qq_38895905的博客
12-01 2899
Auth权限 分为Authentication登录权限和Authorization权限。前者我们登录时的用户密码,错误时错误码是401,后者是权限,比如一些管理员才能操作的权限,权限不足报403,对应的描述是forbidden。 由于http是无状态的,即我们在第一次请求中登录,第二次请求时并不能够知道我们是登录过的,即第二次请求如何确保是第一次请求的客户端发起的呢?目前主要有两种方式。 s...
restTemplate实现 authorization basic权限认证(带账号密码)
寒月孤星
09-01 9198
RestTemplate restTemplate = new RestTemplate(); //认证的账号和密码 String authentication = account+":"+pwd; HttpHeaders headers = new HttpHeaders(); //在请求头信息中携带Basic认证信息(这里才是实际Basic认证传递用户名密码的方式) headers.set("authorization", "Basic " + Base64.getEncod..
Base64工具类(加密、解密)
lixinze的博客
05-08 590
package com.yunerp.base.utils.base; import java.io.*; /** * Created by User on 2018/8/9. */ public class Base64Utils { public Base64Utils() { } /** * 功能:编码字符串 * * @author jiangshuai * @date 2016年10月03日 * @param
JWT授权为啥要在 Authorization标头里加个Bearer 呢
Java__EE小白成长之路
07-16 9434
JWT授权为啥要在 Authorization标头里加个Bearer 呢
HTTP I 认证用户身份的四种方法
该用户还没想到好的昵称的博客
10-26 2578
目录 一、BASIC认证(基本认证) 二、DIGEST认证(摘要认证) 三、SSL客户端认证 四、FormBase认证(基于表单认证认证用户身份时,核对的信息通常是指以下这些: 密码:只有本人才会知道的字符串信息。 动态令牌︰仅限本人持有的设备内显示的一次性密码。 数字证书:仅限本人(终端)持有的信息。 生物认证:指纹和虹膜等本人的生理信息。 IC 卡等:仅限本人持有的信息。 HTTP使用的认证方式有一下几种:BASIC认证(基本认证)、DIGEST认证(摘要认证)、SSL客户端认证
openwrt web认证
09-06
OpenWRT是一个开源路由器固件,它提供了丰富的功能和定制化选项,允许用户根据自己的需求进行配置和扩展。OpenWRT支持Web认证,使用户可以通过Web界面进行认证和授权。 Web认证是一种通过Web界面来验证用户身份并授予网络访问权限的认证方式。它适用于需要让用户输入用户名和密码来登录网络的场景,比如公共无线网络、校园网络等。通过Web认证,网络管理员可以控制用户访问网络的权限,从而保护网络的安全性和稳定性。 在OpenWRT上实现Web认证可以通过安装和配置相应的软件包来完成。一种常用Web认证解决方案是CoovaChilli,它提供了登录页面、用户认证和网络授权功能。 要在OpenWRT上实现Web认证,首先需要下载和安装CoovaChilli软件包。然后,通过配置文件进行相关设置,如指定认证页面的样式和语言、配置认证服务器的地址和端口等。此外,还可以设置用户认证方式,如使用用户数据库、RADIUS服务器等进行用户认证和授权。最后,通过命令行或Web界面启动CoovaChilli服务即可。 通过OpenWRT的Web认证功能,网络管理员可以更好地管理和控制用户的网络访问权限,提高网络的安全性和管理效率。同时,用户可以方便地通过Web界面进行认证和登录,享受到安全可靠的网络服务。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值