目录
8.1什么是认证
正在访问服务器的对方声称自己是 ueno,身份是否属实 这点却也无从谈起。为确认 ueno 本人是否真的具有访问系统的权限, 就需要核对“登录者本人才知道的信息”、“登录者本人才会有的信息”。
核对的信息通常是指以下这些:
● 密码:只有本人才会知道的字符串信息。
● 动态令牌:仅限本人持有的设备内显示的一次性密码。
● 数字证书:仅限本人(终端)持有的信息。
● 生物认证:指纹和虹膜等本人的生理信息。
● IC 卡等:仅限本人持有的信息
HTTP 使用的认证方式
HTTP/1.1 使用的认证方式如下所示。
● BASIC 认证(基本认证)
● DIGEST 认证(摘要认证)
● SSL 客户端认证
● FormBase 认证(基于表单认证)
此外,还有 Windows 统一认证(Keberos 认证、NTLM 认证)
8.2 BASIC 认证
BASIC认证从HTTP/1.0就定义的认证方式
步骤 1:
当请求的资源需要 BASIC 认证时,服务器会随状态码 401 Authorization Required,返回带 WWW-Authenticate 首部字段的响应。该字段内包含 认证的方式(BASIC)及 Request-URI 安全域字符串(realm)
步骤 2 :
接收到状态码 401 的客户端为了通过 BASIC 认证,需要 将用户 ID 及密码发送给服务器。发送的字符串内容是由 用户 ID 和密码构成,两者中间以冒号(:)连接后,再经过 Base64 编码处理。
e.g.用户 ID 为 guest,密码是 guest,连接起来就会形成 guest:guest 这样的字符串。然后经过 Base64 编码,最后的结果即是 Z3Vlc3Q6Z3Vlc3Q=。把这串字符串写入首部字 段 Authorization 后,发送请求。 当用户代理为浏览器时,用户仅需输入用户 ID 和密码 即可,之后,浏览器会自动完成到 Base64 编码的转换工作。
步骤 3:
接收到包含首部字段 Authorization 请求的服务器,会对认证信息的正确性进行验证。如验证通过,则返回一条包含 Request-URI 资源的响应。
缺点:
Base64 编码方式,不是加密处理。明文解码后就是ID和密码,窃听被盗
BASIC认证不够便捷灵活,不能注销。
8.3 DIGEST 认证
为弥补BASIC认证的弱点,HTTP/1.1起有 DIGEST 认证。
DIGEST 认证同样使用质询 / 响应的方式(challenge/response),但不会直接发送明文。
使用从另一方那接收到的质询码计算生成响应码。最后将响应码返回给对方进行认证的方式。
发送给对方的只是响应摘要及由质询码产生的计算结果,泄露可能性降低
步骤 1:
请求需认证的资源时,服务器会随着状态码 401 Authorization Required,返回带 WWW-Authenticate 首部字段的响应。该字段内包含质问响应方式认证所需的临时质询码(随机数,nonce)
首部字段 WWW-Authenticate 内必须包含 realm 和 nonce这两个字段的信息。客户端就是依靠向服务器回送这两个值进行认证的。
nonce 是一种每次随返回的 401 响应生成的任意随机字符 串。该字符串通常推荐由 Base64 编码的十六进制数的组成形式,但实际内容依赖服务器的具体实现
步骤 2:
接收到 401 状态码的客户端,返回的响应中包含 DIGEST 认证必须的首部字段 Authorization 信息
首部字段 Authorization 内必须包含username、realm、 nonce、uri 和 response 的字段信息。 realm 和 nonce 就是之前从服务器接收到的响应中的字段。
username 是 realm 限定范围内可进行认证的用户名。
uri(digest-uri)即 Request-URI 的值,但考虑到经代理转发后 Request-URI 的值可能被修改,因此事先会复制一份副本保存在 uri 内。 response 也可叫做 Request-Digest,存放经过 MD5 运算后的密码字符串,形成响应码。
步骤 3:
接收到包含首部字段 Authorization 请求的服务器,会确认 认证信息的正确性。认证通过后则返回包含 Request-URI 资源的响应。 并且这时会在首部字段 Authentication-Info 写入一些认证成功的相关信息。
缺点:
DIGEST 认证提供了高于 BASIC 认证的安全等级,但是和 HTTPS 的客户端认证相比仍旧很弱。DIGEST 认证提供防止密码被窃听的保护机制,
但并不存在防止用户伪装的保护机制。 使用上不便捷灵活。
8.4 SSL 客户端认证
如果用户 ID 和密码被盗,就很有可能被第三者冒充。利用 SSL 客户端认证则可以避免该情况的发生
8.4.1 SSL 客户端认证的认证步骤
客户端必须安装 证书
步骤 1:
接收到需要认证资源的请求,服务器会发送 Certificate Request 报文,要求客户端提供客户端证书
步骤 2:
用户选择将发送的客户端证书后,客户端会把客户端证书信息以 Client Certificate 报文方式发送给服务器
步骤 3:
服务器验证客户端证书验证通过后方可 领取证书内客户端的公开密钥,然后开始HTTPS加密通信。
8.4.2 SSL 客户端认证采用双因素认证
SSL 客户端认证一般 证书认证和基于表单认证组合形成一种双因素认证(Two-factor authentication)来使用。
8.4.3 SSL 客户端认证必要的费用
客户端证书 需要支付一定费用才能使用(从认证机构购买客户端证书的费用,以及服务器运营者为保证自己搭建的认证机构安全运营所产生的费用。)
8.5 基于表单认证
客户端会向服务器上的 Web 应用程序发送登录信息(Credential),按登录信息的验证结果认证。 根据web应用程序,实际情况也各不相同
8.5.1 认证多半为基于表单认证
由于使用上的便利性及安全性问题,HTTP 协议标准提供的 BASIC 认证和 DIGEST 认证几乎不怎么使用。另外,SSL 客户端认证虽然具有 高度的安全等级,但因为导入及维持费用等问题,还尚未普及。
8.5.2 Session 管理及 Cookie 应用
一般会使用 Cookie 来管理 Session(会话)。 记录会话
步骤 1:
客户端把用户 ID 和密码等登录信息放入报文的实体部分, 通常是以 POST 方法把请求发送给服务器。而这时,会使用 HTTPS 通信来进行 HTML 表单画面的显示和用户输入 数据的发送。
步骤 2:
服务器会发放用以识别用户的 Session ID。通过验证从客户端发送过来的登录信息进行身份认证,然后把用户的认 证状态与 Session ID 绑定后记录在服务器端。 向客户端返回响应时,会在首部字段 Set-Cookie 内写入 Session ID(如 PHPSESSID=028a8c…)。
你可以把 Session ID 想象成一种用以区分不同用户的等位号。 然而,如果 Session ID 被第三方盗走,对方就可以伪装成你的身份进行恶意操作了。因此必须防止 Session ID 被盗,或被猜出。为了做到这点,Session ID 应使用难以推测的字符串, 且服务器端也需要进行有效期的管理,保证其安全性。
为减轻跨站脚本攻击(XSS)造成的损失,建议事先在 Cookie 内加上 httponly 属性。
步骤 3:
客户端接收到从服务器端发来的 Session ID 后,会将其作 为 Cookie 保存在本地。下次向服务器发送请求时,浏览器会自动发送 Cookie,所以 Session ID 也随之发送到服务器。 服务器端可通过验证接收到的 Session ID 识别用户和其认证状态。
一种安全的保存方法:先利用给密码加盐(salt)的方式增加额外信息,再使用散列(hash)函数计算出散列值后保存。