粗略的BASIC认证
Base64解码后就能得到用户ID和密码,而且无法实现认证注销的操作.
DIGEST认证
一方先发送认证要求给另一方,接着从另一方那接收到的质询码计算生成响应码,再发响应码返回给对方认证
SSL认证
- 步骤
- 服务器发送证书请求报文,要求客户端提供证书
- 客户端发送证书
- 服务端验证证书后领取公开秘钥开始HTTPS加密通信
- 缺点:使用客户端证书和维持安全运行需要产生相应的费用
表单认证(应用最多)
- 步骤:
- 将登录信息放进报文实体部分,post方式提交服务器
- 服务器发送识别用户的Session ID,通过验证从客户端发送过来的登录信息进行身份认证,把认证状态与Session ID绑定记录在服务器端
- 向客户端返回响应并在首部字段Set-Cookie写入Session ID
- 客户端接收到服务器端发来的Session ID后可以将其作为Cookie保存在本地,下次请求的时候在自动发送cookie其中的Session ID,服务器端再验证