确认访问用户身份的认证
Basic 认证
明文解码后就是用户的ID和密码 另外,无法实现认证注销操作,使用不够灵活
digest认证
同样使用质询响应的方式,但不会明文发送密码
发送给对方的只是摘要及由质询码产生的计算结果,所以密码泄露的可能性降低
ssl客户端认证
借由https的客户端证书完成认证。
ssl客户端采用双因素认证。第一个认证因素的ssl客户端证书用来认证客户端计算机,另一个认证因素的密码则用来确定这是用户本人的操作。
基于表单认证
输入已经事先登录的用户ID和密码等登录信息后,发送给web应用程序,基于认证结果来决定认证是否成功。认证多半为基于表单认证。
基于http是无状态的协议,会使用cookie来管理session。
基于http的功能追加协议
http瓶颈
一条连接上只可以发送一个请求。
请求只能从客户端开始。客户端不可以接收除响应以外的指令。
请求/响应首部未经压缩就发送。首部信息越多延迟越大。
发送冗长的首部。每次互相发送相同的首部造成的浪费较多。
可任意选择数据压缩格式。非强制压缩发送。
ajax解决方法
有效利用JavaScript和dom的操作,达到局部web页面替换加载的异步通信手段。
但是使用ajax实时从服务器获取内容,有可能导致大量请求产生。另外,ajax仍未解决http协议本身存在的问题。
comet解决方法
这是一种延迟应答,模拟实现服务器端向客户端推送功能。
内容上虽然可以做到实时更新,但为了保留响应,一次连接的持续时间也更长了,会消耗更多的资源。
spdy的设计和功能
经过spdy设计后,http协议额外获得以下功能
多路复用流
赋予请求优先级
压缩http首部
推送功能
服务器提示功能
使用浏览器进行全双工通信的websocket
建立在http基础上的协议,因此连接的发起方仍是客户端,而一旦确立websocket通信连接,不论服务器还是客户端,任意一方都可以直接向对方发送报文。
为了实现websocket通信,在http连接建立之后,需要完成一次握手的步骤。
需要用到http的upgrade首部字段,告知服务器通信协议发生改变,以达到握手的目的。
构建web内容的技术
由HTML css JavaScript共同构成
web 的攻击技术
http不具备必要的安全功能
来自互联网的攻击大多冲着web站点来的,它们大多把web应用作为攻击目标。
本章主要讲解了一些攻击手段