web应用认证概述

最新推荐文章于 2021-11-29 14:18:59 发布
最新推荐文章于 2021-11-29 14:18:59 发布
阅读量349 收藏
点赞数
分类专栏: Shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36719449/article/details/103551889
版权

1 常见的认证方式

1.1 Http Basic Auth

每次请求都提供用户的用户名和密码。简单说 Basic Auth是配合Restful API 使用的最简单的认证方式,只需提供用户名密码即可,但是存在把用户名暴露给第三方客户端的风险,再生产环境中避免使用。

1.2 Cookie Auth

Cookie认证机制就是为一次请求认证在服务端创建一个session对象,同时在客户端创建一个cookie对象,通过客户端提交的cookie对象与服务端的session对象匹配来实现状态的管理,默认的,当我们关闭浏览器的时候,cookie会被删除,但是可以通过修改cookie的过期时间在一定时间内有效。
弊端

  • 某些移动端可能不存在cookie(比如微信小程序)
  • cookie存在跨域问题(在微服务之间端口不一样,或存在跨域问题。)

1.3 OAuth

OAuth(开放授权)是一个开放的授权标准,允许第三方应用访问在某一web服务器上存储的私密资源,而无需将用户名和密码提供给第三方软件。OAuth允许用户提供一个令牌,每一个令牌授权一个特定的第三方系统,通过这个令牌访问存在特定服务器上的资源。
在这里插入图片描述

1.4 Token Auth

Http Basic Auth的演化版本,每次请求服务端带上token标志,后台服务校验这个token是否合法,从而决定客户端是否可以访问后台资源。无状态
基于Token Auth的好处

  • 支持跨域访问:cookie不允许跨域访问,token不存在这个问题。一般将token信息设置在http请求头里
  • 无状态,服务端可自行扩展,token机制在服务端不需要存储session,因而无需解决session共享问题。
  • 更适合用CDN:跨域通过内容分发网络请求你服务端的所有资料,你的服务端只需要提供API即可
  • 去耦:不需要绑定一个特定的身份认证方案
  • 更适合原生应用:当你的客户端是一个原生平台(IOS,Android,Window8),cookie不被支持,你需要通过cookie容器解决
  • CSRF: 因为不在依赖cookie,所以不需要考虑跨站请求伪造问题。
  • 可以做到标准化,例如jwt(json web token)

2 有状态服务和无状态服务

2.1 有状态服务

有状态服务:服务端会存储请求上下文相关的数据,先后的请求可能是有关联的。例如,传统web应用中,使用session维护已登录用户的数据。客户端(浏览器)存储jsession数据,在提交请求后,找到次jsessionid 对应的session数据。虽然http是无状态的,但是借助session可以使http服务装换为有状态的。

2.2 无状态服务

无状态服务:本次请求不依赖于之前的请求,本次请求的数据全部包含在该次请求中。例如,基于token的验证方式,不需要sesession维持会话数据。

Spirits、
关注
专栏目录
无线web认证计费服务器,WEB认证原理
weixin_29759387的博客
08-06 1817
本帖 * 后由 浪天涯星仔 于 2016-1-9 19:39 编辑Web认证概述Web认证是一种对用户访问网络的权限进行控制的身份认证方法,这种认证方法不需要用户安装专用的客户端认证软件,使用普通的浏览器软件就可以进行身份认证。未认证用户使用浏览器上网时,网络设备会强制浏览器访问特定站点,也就是Web认证服务器,通常称为Portal服务器。用户无需认证即可访问Portal服务器上的服务,比如下载安...
web应用认证与鉴权
MyySophia的博客
12-27 713
认证解决的就是你是谁的问题,当登录一个web电商平台,当你很high的浏览商品的时候并不需要你的认证,但是当你准备下单的时候就需要你登录。要解决你是谁的问题?主要是你的账户有没有钱:)当你登录之后,接下来最重要的是授权阶段,主要是区分你是不是VIP用户或admin用户。http是无状态的服务,当你首次登录web应用之后,http并不知道。如果服务器或者浏览器没记录下来的话,再次刷新页面可能就需要你重新登录。这显然是不合理的。因此session这个概念出现了。
WEB安全之web应用认证基本概念
u010879291的博客
06-06 508
一、http常见认证机制 1、基本认证: 1)客户端访问一个受http基本认证保护的资源 2)服务端返回一个状态码401or403:没有授权or没有权限登录,要求客户端提供用户名和密码 3)客户端将输入的用户名和密码进行base64编码后,采用非加密的明文形式给服务单,如:Authorization: Basic xxxxxxxxxx 4)如果认证成功,服务端返回相应数据请求成功的code码以及资...
web应用常见的用户认证方式分享
GitChat
11-24 885
本场 Chat 分享主要介绍web应用常见的用户认证方式 本场 Chat 内容将涉及如下: cookie/session方式认证 basic 认证 使用jwt认证 oauth认证
说说web应用程序中的用户认证
somenzz的博客
09-27 935
阅读本文大概需要 3 分钟。我们都知道 web 应用程序分两个部分,即前端和后端。前端发送请求,后端返回数据。这里后端是指服务器,前端是指浏览器。后端只能收到前端发送的请...
Web应用的创建笔记(4)_增加用户认证与授权功能
05-24 3270
Web应用的一个通用的需求是能提供用户的认证与授权服务。目前很流行的一个认证授权协议是OAUTH2.0,像我们经常使用的微信,QQ,微博等都是遵循了OAUTH2.0的协议标准,第三方应用可以获得微信,微博的用户授权,读取用户的相关资料。Keycloak是一个遵循了OAUTH2.0协议的一个开源的应用,在本文中,我将采用Keycloak来保护我之前创建的WEB前端与后端的应用。首先我们要新建一个Ke...
Web应用安全:体验Basic认证.pptx
06-18
Basic认证概述 1. **认证流程**:当用户尝试访问受保护的Web资源时,如果未提供有效的身份验证信息,服务器会返回一个401 Unauthorized响应,同时在Response Header中设置`WWW-Authenticate`字段,指示客户端采用...
ctf web解题 找flag夺旗赛概述、原理及应用.pdf
最新发布
05-13
这种竞赛模式旨在模拟真实世界的网络安全挑战,通过设定一系列与Web应用程序相关的难题来考验参赛者的技能水平。 在CTF Web解题比赛中,组织者通常会构建一个模拟的网络环境,并在其中故意引入多种类型的Web安全...
Web应用安全开发规范-V2.0.doc
08-03
Web应用安全开发规范-V2.0》是针对Web应用安全开发的重要指南,旨在提供一套系统性的安全开发标准,防止常见的网络安全威胁。本规范详细涵盖了背景介绍、技术框架、使用对象、适用范围以及用词约定等多个方面,并...
WEB应用系统安全规范文档样本.doc
12-18
**WEB应用系统安全规范文档样本** 本文档详细阐述了WEB应用系统的安全规范,旨在为开发者、运维人员以及安全团队提供一套全面的安全指南,确保WEB应用在设计、开发、部署及维护过程中遵循最佳安全实践。 ### 1. ...
WEB应用程序中如何正确使用数字证书?
快乐鸟的专栏
08-18 3447
数字证书就是标志网络用户身份信息的一系列数据,用来在网络通讯中识别通讯各方的身份,即要在Internet上解决"我是谁"的问题,就如同现实中我们每一个人都要拥有一张证明个人身份的身份证或驾驶执照一样,以表明我们的身份或某种资格。数字证书是由权威公正的第三方机构即CA中心签发,以数字证书为核心的加密技术,可以对网络上传输的信息进行加密和解密、数字签名和签名验证,确保网上传递信息的机密性、完整性,
web应用安全网关
qq_20139241的博客
10-25 1835
一、概述 原因 1.基于Web和数据库结合的B/S(浏览器----服务器结构)架构应用已经广泛使用于企业内部和外部的业务系统中,Web系统发挥着越来越重要的作用。 2.Web应用程序漏洞的存在更加普遍,随着Web应用技术的深入普及,Web应用程序漏洞发掘和攻击速度越来越块,基于Web漏洞的攻击更容易被利用。 web攻击手段 1.篡改Web系统数据 2.窃取用户信息 WEB安全问题产生原因 1.大多...
应用认证和授权(基本认证、session-cookie认证、token认证及OAuth2.0授权)
you are sherlocked by me!
04-13 1754
前后端常见鉴权方式: 基于cookie认证: HTTP Basic Authentication基本认证 session认证 token(令牌)认证 JWT(JSON Web Token)
Web APi之认证(Authentication)两种实现方式【二】
极客神殿
02-03 3628
前言上一节我们详细讲解了认证及其基本信息,这一节我们通过两种不同方式来实现认证,并且分析如何合理的利用这两种方式,文中涉及到的基础知识,请参看上一篇文中,就不再叙述废话。序言对于所谓的认证说到底就是安全问题,在Web API中有多种方式来实现安全,【accepted】方式来处理基于IIS的安全(通过上节提到的WindowsIdentity依赖于HttpContext和IIS认证)或者在Web API
常见WEB应用登录身份认证方式对比
安当加密
11-29 2208
身份认证和登录是两个不同的概念,登录指从识别用户身份,到允许用户访问其权限相应的资源的过程。在登录的过程中,“鉴权”与“授权”是两个最关键的过程。而身份认证只是其中的一个环节,即“鉴权”。 身份认证的形式丰富多彩,传统的方式是用户名和密码验证。随着等保2.0普及,越来越多的应用需要采用双因素认证或多因素认证,即多种认证方式组合使用来保证用户登录的安全性。目前常见的WEB应用登录身份认证登录方式包括USBkey ID绑定登录,OTP动态口令,CA数字证书,FIDO快速身份认证等。各种登录方式的对比如..
几种常用的Web安全认证方式
一只猿的自我修养
05-26 2万+
1. Http Basic Auth 这是一种最古老的安全认证方式,这种方式就是简单的访问API的时候,带上访问的username和password,由于信息会暴露出去,所以现在也越来越少用了,现在都用更加安全保密的认证方式,可能某些老的平台还在用。 如下图所示,弹出一个框,让你填写用户名密码。这就是Tomcat自带的HTTPBasic认证。 当用户名密码输入错误后,会返回401 Una...
系统安全及应用(八) ---PAM认证方式简单介绍
aaaa_xiebiao的博客
03-06 1170
作为一个开放源代码的操作系统,linux系统以其安全性,高效稳定而广泛应用,主要从账户安全,系统引导,登录控制的角度,优化linux系统的安全性,linux的环境的弱口令检查,网络扫描等安全工具的构建和使用,帮助运维人员查找安全隐患,及时采取有针对性的措施。 PAM安全认证过程简单介绍 su命令的安全隐患—默认情况下,任何用户都允许使用su命令,从而有机会反复尝试其他用户(如root)的登录密码,...
4种认证(authentication)或授权(authorization)方式
热门推荐
漫游学海之旅
04-12 8万+
Authentication vs. authorization It is easy to confuse authentication with another element of the security plan: authorization. While authentication verifies the user’s identity, authorization verifie...
Web认证方法探视(1)
andyhu1007的专栏
02-23 456
什么是Web认证   简而言之,web认证就是一个确认对方身份的过程。Web认证最典型的方式是通过用户名和密码。   Web认证有多种方式   A. Http协议内建的认证方法       1. Http Basic Authentication (Http基本认证)           HTTP基本认证是最简单也是曾经使用过很长时间的一种认证方式。基本认证要求为每一个保护域(re...
"WEB应用系统安全规范文档样本及目录概述
例如,针对WEB应用系统设计阶段,文档要求制定详细的安全设计方案,包括数据加密、访问控制、身份认证等措施;针对WEB应用系统开发阶段,文档要求引入安全编码规范,避免常见的安全漏洞和风险;针对WEB应用系统运营...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值