升级打怪-图解HTTP(第八章)

最新推荐文章于 2024-03-25 06:33:06 发布
最新推荐文章于 2024-03-25 06:33:06 发布
阅读量265 收藏
点赞数
分类专栏: 前端 文章标签: http
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ken_ding/article/details/112169309
版权

8 确认访问用户身份的认证

8.1何为认证

定义

弄清楚是谁在访问服务器

认证方式

  • BASIC认证(基本认证)
  • DIGEST认证(摘要认证)
  • SSL客户端认证
  • FormBase认证(基于表单认证)

8.2 BASIC认证

认证步骤

步骤一:
当请求的资源需要BASIC认证时,服务器会随状态码401Authorization Requires,返回带WWW-Authenticate首部字段的响应.

步骤二:
接收到状态码401的客户端为了通过BASIC认证,需要将用户ID及密码发送给服务器.发送的字符串内容是由用户ID和密码构成,两者中间以冒号(:)连接后,在经过Base64编码处理.

步骤三:
接收到包含首部字段Authorization请求的服务器,会对认证信息的正确性进行验证.如果验证通过,则返回一条资源响应.

缺点

  • 不安全
  • 不灵活

代码实现

var http=require('http');
http.createServer(function(req,res){
    var author=req.headers['authorization'];
    
    if(author){
        var area=author.slice(6);
        var parts= new Buffer(area,'base64').toString().split(':');

        if(parts[0]==parts[1]){
            res.write("welcome");
            res.end();
        }else{
            res.setHeader('WWW-Authenticate','Basic realm="Secure Area"');
            res.writeHead(401);
            return  res.end();
        }
    }else{
        res.setHeader('WWW-Authenticate','Basic realm="Secure Area"');
        res.writeHead(401);
       return  res.end();
    }
    if(req.url!='/favicon.ico'){
        var filename=req.url.slice(1);
        res.end();
    }
}).listen(8999);

8.3 DIGEST认证

背景

弥补BASIC认证存在的问题

认证步骤

步骤一:
请求需认证的资源时,服务器会随着状态码401Authorization Required,返回带WWW-Authenticate首部字段的响应.该字段内包含质问响应方式认证所需的临时质询码(随机数,nonce).
首部字段WWW-Authenticate内必须包含realm和nonce这两个字段信息.客户端就是依靠向服务器回送这两个值进行认证的.
nonce是一种每次随返回的401响应生成的任意随机字符串.该字符串通常推荐由Base64编码的十六进制的组成形式,但实际内容依赖服务器的具体实现.
步骤二:
接收到401状态码的客户端,返回的响应中包含DIGEST认证必须的首部字段Authorization信息.
首部字段Authorization内必须包含username,realm,nonce,uri和response的字段信息.其中,realm和nonce就是之前从服务器接收到的响应中的字段.
步骤三:
接收到包含首部字段Authorization请求的服务器,会确认认证信息的正确性

优缺点

  • 高于BASIC认证的安全等级,但是与https客户端认证相比还是很弱
  • 使用上不那么便捷灵活,达不到web网站高度安全等级的追求标准

8.4 SSL客户端认证

为达到 SSL 客户端认证的目的,需要事先将客户端证书分发给客户端,且客户端必须安装此证书。

步骤 1: 接收到需要认证资源的请求,服务器会发送 Certificate Request 报文,要求客户端提供客户端证书。

步骤 2: 用户选择将发送的客户端证书后,客户端会把客户端证书信息以 Client Certificate 报文方式发送给服务器。

步骤 3: 服务器验证客户端证书验证通过后方可领取证书内客户端的公开密钥,然后开始 HTTPS 加密通信。

8.5 基于表单认证

客户端会向服务 器上的 Web 应用程序发送登录信息(Credential),按登录信息的验证结果认证。

在这里插入图片描述
Session 管理和 Cookie 状态管理
在这里插入图片描述
步骤 1: 客户端把用户 ID 和密码等登录信息放入报文的实体部分, 通常是以 POST 方法把请求发送给服务器。而这时,会使用 HTTPS 通信来进行 HTML 表单画面的显示和用户输入数据的发送。

步骤 2: 服务器会发放用以识别用户的 Session ID。通过验证从客户 端发送过来的登录信息进行身份认证,然后把用户的认证状态与 Session ID 绑定后记录在服务器端。

步骤 3: 客户端接收到从服务器端发来的 Session ID 后,会将其作为 Cookie 保存在本地。下次向服务器发送请求时,浏览器会自动发送 Cookie,所以 Session ID 也随之发送到服务器。服务器端可通过验证 接收到的 Session ID 识别用户和其认证状态。

ken_ding
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
IDaaS 技术解析 | 单点登录技术之 Token 认证
nidengxia的博客
09-03 2736
IDaaS 即提供基于云的身份认证和管理服务的平台,确保在准确判定用户身份的基础上,在正确的时间授予用户正确的应用、文件和其他资源的访问权限。IDaaS 能提供多种标准化功能帮助用户实现高效、安全的身份认证管理服务,如单点登录、智能多因素认证、账号生命周期管理等等。由于 IDaaS 在国内尚属于新兴产品形态,很多人对它只有模糊的印象,所以我们计划用一系列文章,深入浅出介绍 IDaaS 相关的技术原理和细节。本文是“IDaaS 技术解析”系列的第一篇。 单点登录在技术上涉及协议对接、认证方式等诸多细节,.
关于IDaaS,你想了解的在这里
OneAuth身份云
12-29 3676
身份是在用户和技术之间建立信任的关键,因此通过 OneAuth™ Cloud 保护用户并将他们与他们依赖的应用程序连接起来,帮助组织有效地利用云和移动技术的力量。 无论是科技业、新媒体、金融、传统制造业等,应用 OneAuth™ Cloud 持续精进的系统能力,使得您的开发人员利用我们的平台将身份安全地嵌入到他们的软件中,为终端用户提供更安全便捷的完美体验。
微信企业号OAuth2验证接口实例(使用SpringMVC)
01-22
http://blog.csdn.net/omsvip 企业应用中的URL链接(包括自定义菜单或者消息中的链接),可以通过OAuth2.0来获取员工的身份信息。 注意,此URL的域名,必须完全匹配企业应用设置项中的'可信域名',否则获取用户信息时会返回50001错误码。 可信域名设置不包含"http://",只需域名或IP即可。 OAuth2验证可以使用多种方式,此处使用注解方式。设计思路是在需要获取用户信息的GET请求上添加注解,然后在调用的时候判断是否包含此注解,然后做处理流程。 每次请求包含2 种情况: 1.不需要获取用户信息,直接跳转到指定视; 2.需要获取用户信息,此处分2种情况: a.session中存储了之前获取的用户信息,则直接跳转到指定视; b.session中不包含用户信息,则需要构造带回调参数的URL去微信API服务器获取code参数,然后通过code参数调用API换取Userid并保存到session,然后再次跳转到初始请求的视页面
企业微信oauth认证_企业微信(服务商模式)oauth
weixin_39900736的博客
02-11 447
概念由于这种模式多了很多稀奇古怪的概念,首先我们来理一理这个概念。三种token企业接口的token应用授权的token服务商的token各种IDCorpID:整个企业微信的IDSuiteID:服务商新建的每一个应用特有的IDSecret:服务商新建的每一个应用特有的Secret构造登录URL做过oauth的同学都知道,oauth登录的第一步是引导用户到第三方服务器,然后用户确认授权登录(或者静默...
MJXQ.rar_打怪升级
09-20
《MJXQ.rar_打怪升级》是一款初步尝试3D技术的游戏DEMO,它主要展现了角色扮演游戏(RPG)的核心元素——打怪升级和任务系统。在这个DEMO中,玩家可以控制一个角色在虚拟世界中与各种怪物战斗,通过战胜敌人获得经验值...
HTML5小游戏【万圣节打怪-425款经典优秀H5小游戏合集】游戏源码分享下载 - halloween.zip 狂欢万圣节
最新发布
06-23
HTML5小游戏【万圣节打怪--425款经典优秀H5小游戏合集】游戏源码分享下载 --- halloween.zip 狂欢万圣节HTML5小游戏【万圣节打怪--425款经典优秀H5小游戏合集】游戏源码分享下载 --- halloween.zip 狂欢万圣节HTML5...
【前端素材】小游戏-打怪升级副本.zip
03-29
【技术分析】 ... CSS,可以帮助把网页外观做得更加美观; JavaScript,是一种轻量级的解释型编程语言; ... Bootstrap 是快速开发 Web 应用程序的前端工具包。...AJAX,创建交互式网页应用的网页开发技术。...
打怪-少儿编程scratch项目源代码文件案例素材.zip
11-07
《少儿编程Scratch项目:打怪游戏源代码解析》 Scratch是一款由麻省理工学院(MIT)媒体实验室“终身幼儿园”团队开发的形化编程工具,专为儿童设计,旨在激发他们对计算机科学的兴趣。本项目名为“打怪”,是针对...
升级打怪小游戏代码
03-04
升级打怪小游戏代码】是一个基于C++编程语言开发的小型游戏项目,旨在提供一个学习C++编程和游戏开发的基础平台。在这个项目中,玩家控制的角色需要与怪物战斗,通过击败怪物来提升等级和能力,这体现了游戏设计中...
IDaaS 云端身份认证,你了解这个新兴的市场吗?
chidongzhou7494的博客
08-25 880
云端身份认证,也叫IDaaS(Identity As a Service)。这是个很超前的概念,试想下未来做APP、网站或其他系统的时候直接通过云端API授权用户是个什么样的场景。你可以免掉写各种平台的OAuth登录,免掉设计各种字段来满足不同的登录方式,免掉检查安全问题,如果流量很大,你甚...
【IDaaS】什么是IDaaS?
DreamSun的博客
06-28 1507
单点登录,用户仅需在服务的网络外围进行一次登录即可,并且只需进行一次操作,即可访问您授权他的软件和资源,国外的大量开发者已经用 IDaaS 的单点登录来提升 C 端用户体验,也有很多 500 强企业在用它来统一管理员工的应用权限。IDaaS 提供统一的用户目录,通过可信单一数据源(SSoT)可将企业不同系统的数据进行统一整合和管理,同时又可以基于「多租户」架构,实现相同应用、系统中不同租户间的数据隔离,让每个租户的管理员都可以管理租户下的资源。以及支持多种云环境的部署方案,满足不同场景的业务需求。
如何用IDaaS云身份认证落地“零信任”安全架构
eastyy的博客
02-26 3231
题记 2020的RSAC,“Zero trust 零信任”去年有39家公司打“Zero trust”标签,今年数量激增到91家,可以说零信任理念已被国外同行广泛接受。零信任不仅仅是技术,更是理念的转变,会成为未来十年主流的网络安全架构。 ​为什么要建设“零信任”架构? 首先做一件事情之前,问一句“为什么”,为什么企业要做这个事情,企业为什么要进行零信任的建设? 零信任的思想具有先进性,是对传统边界...
ios端接入本地企业微信支付证书问题
路漫漫其修远兮,吾将上下而求索
05-10 398
前言 1.接入微信支付前,需要申请应用的appid,这将用于获取用户在该appid下的openid 2.需要一个微信商户号,用于企业微信支付,应用的appid需要绑定到这个微信商户上。 3.完成这些操作后,再去微信商户后台下载API证书,API证书将用于接口访问时的验证,一般微信不建议我们将API证书放在客户端,这样安全性得不到保证,这里只是在客户端完成微信支付过程,商业用户需要将证书安装到自主服务器上。 证书问题 1.需要将下载下来的cer证书拖入xcode工程中 2.post请求微信接口时,微信接口需要
什么是IDaaS身份云?
weixin_45873963的博客
11-02 1478
什么是IDaaS? IDaaS=ID as a Service,从字面含义讲这是一个服务形态。国内对IAM=Identity management +Access Management比较熟悉了,所以IDaaS也可以理解为是云化的IAM。站在管理侧,就是基于用户ID来管理他(他们)的所有应用;站在用户侧,就是用一个ID来通达和访问所有的应用。 IDaaS的核心就是身份管理+身份认证,配套的相应的同步+认证的协议或机制,以及相应的管理流程和功能。在这个基础上会提供各种认证方式来保护认证入口,提供各种审计手段来
身份识别与访问管理IDaaS产品的发展及其五项功能、RSA加密认证及使用openssl生成公钥私钥的方法
本博客记录了从2014年以来在工作学习中遇到的技术问题、解决方法以及部分个人人生经历、经验等内容。
03-25 449
当用户在身份认证服务器上登录一次以后,即可获得访问单点登录系统中其他关联系统和应用软件的权限,即用户只需一次登录就可以访问所有相互信任的应用系统,减少了由登录产生的时间消耗,辅助了用户管理,是当前企业内部以及企业面向用户的登录首选方式。IAM(Identity and Access Management 的缩写),即“身份识别与访问管理”,具有单点登录、强大的认证管理、基于策略的集中式授权和审计、动态授权、企业可管理性等功能。在SSO的基础上进行了完善,增加了授权、审计等管理功能,成为一个业务系统。
单点登录之如何平衡 Token 安全性和用户体验?
nidengxia的博客
09-24 653
在《IDaaS 技术解析系列(一)》中,我们介绍了在单点登录中Token认证相对于传统基于Session认证的优势,本文继续介绍一组相关概念:Access Token & Refresh Token。 Token作为用户获取受保护资源的凭证,必须设置一个过期时间,否则一次登录便可永久使用,认证功能就失去了意义。但是矛盾在于:过期时间设置得太长,用户数据的安全性将大打折扣;过期时间设置得太短,用户就必须每隔一段时间重新登录,以获取新的凭证,这会极大挫伤用户的积极性。针对这一问题,我们可以利用Acc.
企业微信授权登录(Oauth2.0)
热门推荐
m0_48042447的博客
11-09 1万+
企业微信授权登录(Oauth2.0) OAuth2简介 OAuth2的设计背景,在于允许用户在不告知第三方自己的帐号密码情况下,通过授权方式,让第三方服务可以获取自己的资源信息。 下面简单说明OAuth2中最经典的Authorization Code模式,流程如下: 程中,包含四个角色。 ResourceOwner为资源所有者,即为用户 User-Agent为浏览器 AuthorizationServer为认证服务器,可以理解为用户资源托管方,比如企业微信服务端 Client为第三方服务 调用流程
企业实现统一身份认证的作用和好处有哪些?(文并茂)
IDAAS的博客
04-03 7267
对任何企业来讲,身份信息管理都是一项繁重的工作,一是要保证人员和组织架构信息的准确性,二是使这些信息能够在不同的目录或应用中高效地交互。 特别是对于中大型企业来说,在复杂的商业环境下,IT人员不仅要管理内部员工,还有大量的合作伙伴,供应商等多种类型人员需要进行身份信息和权限的管理。因此,不同类型的大量人员和组织架构信息分布在不同的系统中,使身份信息管理这项工作的难度大大增加。 另外,随着企业渐渐从...
IDaaS 是什么?
nidengxia的博客
04-27 2843
其实IDaaS就是云时代的身份和访问管理(IAM),他们之间的关系:IDaaS=SaaS+IAM。提供IDaaS的公司既可以作为身份提供商(IDP),也可以作为服务提供商(SP)。所以可以将IDaaS理解为是一个服务平台,客户使用提供IDaaS服务相关的产品,例如单点登录,智能多因素认证,来实现云时代所需的既安全又高效的身份和访问管理功能。 举个简单的例子吧。 一个别墅的门口有一个不可信赖的管家—...
主角打怪升级代码python
05-14
以下是一个简单的主角打怪升级的代码示例,使用Python语言实现: ```python import random player_level = 1 player_exp = 0 player_max_exp = 10 player_hp = 100 player_max_hp = 100 player_attack = 10 monster_level = 1 monster_hp = 50 monster_max_hp = 50 monster_attack = 5 print("你遇到了一个等级为", monster_level, "的怪物,准备战斗!") while player_hp > 0 and monster_hp > 0: # 玩家击怪物 damage = random.randint(player_attack - 2, player_attack + 2) monster_hp -= damage print("你攻击了怪物,造成了", damage, "点伤害。怪物剩余血量:", monster_hp) # 怪物攻击玩家 damage = random.randint(monster_attack - 2, monster_attack + 2) player_hp -= damage print("怪物攻击了你,造成了", damage, "点伤害。你剩余血量:", player_hp) # 判断战斗结果 if player_hp <= 0: print("你被怪物击败了,游戏结束。") break if monster_hp <= 0: print("你击败了怪物,获得了", monster_level * 10, "点经验值。") player_exp += monster_level * 10 if player_exp >= player_max_exp: player_level += 1 player_max_exp *= 2 player_hp = player_max_hp player_attack += 5 print("恭喜你升级了!当前等级为", player_level, ",最大生命值增加到", player_max_hp, ",攻击力增加到", player_attack, "。") # 生成新的怪物 monster_level += 1 monster_max_hp *= 2 monster_hp = monster_max_hp monster_attack += 5 print("你遇到了一个等级为", monster_level, "的怪物,准备战斗!") ``` 在这个代码中,玩家和怪物都有等级、生命值、攻击力等属性。玩家和怪物每次攻击都会随机产生一定的伤害值,直到一方的生命值降为0为止。如果玩家胜利,就会获得一定的经验值,并有可能升级升级后,玩家的属性会得到提升,同时会生成一个等级更高的新怪物。如果玩家失败,则游戏结束。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值