《图解HTTP》＜五＞

确认访问用户身份的认证

Basic 认证
明文解码后就是用户的ID和密码 另外，无法实现认证注销操作，使用不够灵活

digest认证
同样使用质询响应的方式，但不会明文发送密码
发送给对方的只是摘要及由质询码产生的计算结果，所以密码泄露的可能性降低

ssl客户端认证
借由https的客户端证书完成认证。
ssl客户端采用双因素认证。第一个认证因素的ssl客户端证书用来认证客户端计算机，另一个认证因素的密码则用来确定这是用户本人的操作。

基于表单认证
输入已经事先登录的用户ID和密码等登录信息后，发送给web应用程序，基于认证结果来决定认证是否成功。认证多半为基于表单认证。
基于http是无状态的协议，会使用cookie来管理session。

基于http的功能追加协议

http瓶颈
一条连接上只可以发送一个请求。
请求只能从客户端开始。客户端不可以接收除响应以外的指令。
请求/响应首部未经压缩就发送。首部信息越多延迟越大。
发送冗长的首部。每次互相发送相同的首部造成的浪费较多。
可任意选择数据压缩格式。非强制压缩发送。

ajax解决方法
有效利用JavaScript和dom的操作，达到局部web页面替换加载的异步通信手段。
但是使用ajax实时从服务器获取内容，有可能导致大量请求产生。另外，ajax仍未解决http协议本身存在的问题。

comet解决方法
这是一种延迟应答，模拟实现服务器端向客户端推送功能。
内容上虽然可以做到实时更新，但为了保留响应，一次连接的持续时间也更长了，会消耗更多的资源。

spdy的设计和功能
经过spdy设计后，http协议额外获得以下功能
多路复用流
赋予请求优先级
压缩http首部
推送功能
服务器提示功能

使用浏览器进行全双工通信的websocket
建立在http基础上的协议，因此连接的发起方仍是客户端，而一旦确立websocket通信连接，不论服务器还是客户端，任意一方都可以直接向对方发送报文。
为了实现websocket通信，在http连接建立之后，需要完成一次握手的步骤。
需要用到http的upgrade首部字段，告知服务器通信协议发生改变，以达到握手的目的。

构建web内容的技术

由HTML css JavaScript共同构成

web 的攻击技术

http不具备必要的安全功能
来自互联网的攻击大多冲着web站点来的，它们大多把web应用作为攻击目标。
本章主要讲解了一些攻击手段