第8章 确认访问用户身份的验证

最新推荐文章于 2022-05-12 12:47:45 发布
最新推荐文章于 2022-05-12 12:47:45 发布
阅读量510 收藏
点赞数
分类专栏: 图解HTTP 文章标签: basic digest SSL验证 FormBase
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010369338/article/details/70212302
版权

HTTP使用的认证方式
- BASIC 认证(基本认证)
- DIGEST 认证 (摘要认证)
- SSL 客户端认证
- FormBase 认证 (基于表单认证)

BASIC 认证

基本认证是从HTTP/1.0就存在的认证方式

1、当请求的资源需要进行BASIC认证时,服务端会随401状态码返回带WWW-Authenticate头部字段的报文。该头部字段内含认证方式(BASIC)和Request-uri安全域字符串(realm
2、客户端为了通过BASIC认证需要将用户账号密码发送到服务器。以 (账号:密码)的形式经过BASE6编码写入Authorization字段发送请求。
3、服务端验证通过则返回200状态码及请求的资源,若失败则继续返回401。

  • BASIC 认证虽然将账号密码经过BASE64编码但是没有任何加密,一旦被窃听风险极高。
  • 一般浏览器无法执行注销操作。

DIGEST认证

1、客户端请求。
2、服务端返回401状态码、WWW-Authenticate字段中包含realm(认证方式),nonce(随机数)。
3、客户端根据质询码计算出响应码(response)。客户端发出的信息如下:

  • realm:服务端传回的质询码中的。
  • nonce:服务端传回的质询码中的。
  • username: realm限定范围内可进行认证的用户编号。ID
  • uri:访问的资源。
  • response:由质询码计算出的用于登陆的响应。

4、服务端认证通过返回客户端请求的资源,若失败则返回401。

SSL认证

1、SSL认证过程。
这里写图片描述

  • 客户端发送请求。
  • 服务端将公钥发送给客户端
  • 客户端验证证书,符合要求则将自己的公钥发送给服务端
  • 服务端验证证书,若符合要求则开始HTTP加密通信。

2、SSL客户端采用双因素认证

双因素不仅需要账号密码,还需要申请认证者其他认证信息。

  • 证书
  • 表单

3、SSL客户端证书需要一定费用

FormBase 认证(表单认证 )

Session管理及Cookie应用

  • 客户端把用户名密码等登陆信息发送至服务器。

  • 服务端会发放用以识别用户信息的Session ID。通过验证从客户端发来的登陆信息进行用户验证,将Session ID在服务端与用户认证状态一起保存起来。因此Session ID 会是认证凭证,如果Session ID被盗走,那么就可以伪装成你的身份。

    • Session ID应用难以揣测的字符串,服务端也应该将Session ID 设置安全期限
    • 为了减少跨站脚本攻击(xss)带来的危害,应在Cookie字段内加入httponly属性。

  • 客户端接收到服务端返回的Session ID之后将之缓存在本地,下次请求时浏览器会自动发送Cookie,因此Session ID也会被自动发送

深成
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
HTTP 中的用户身份验证
zwkkkk1的博客
08-29 1万+
  身份验证是判断客户端是否有资格访问资源的过程。HTTP 协议支持将身份验证作为协商访问安全资源的一种方式。   来自客户端的初始请求通常是匿名请求,不包含任何身份验证信息。 HTTP 服务器应用程序可以拒绝匿名请求,而同时指示必须进行身份验证。   服务器应用程序发送 WWW-Authentication 头来指示受支持的身份验证方案。 HTTP/1.1 使用认证方式如下: BAS...
图解HTTP第八确认访问用户身份的认证
baiiu
03-11 3020
某些Web页面只想让特定的人浏览,为达到这个目标,必不可少的就是认证功能。什么是认证为了弄清究竟是谁在访问服务器,就得让对方的客户端自报家门。 核对的信息通常如下:密码:只有本人才会知道的字符串信息 动态令牌:仅限本人持有的设备内显示的一次性密码 数字证书:仅限本人持有的信息 生物认证:指纹和虹膜等本人的生理信息 IC卡等:仅限本人持有的信息 HTTP使用的认证方式:BASIC认证(基本认证) DI
oauth过滤login_如果使用Webview完成身份验证,如何使用Intent过滤器处理OAuth URL回调?...
weixin_39689700的博客
01-13 103
I am developing an app which uses OAuth for authentication but I have a little problem handling OAuth callbacks.THE AUTHENTICATIONMy app has a webview as the login screen and I am given a url to load ...
系统检测到您的访问行为异常 请正确输入以下验证码,验证通过后,可继续使用经验
热门推荐
D.D.U的博客
01-31 3万+
最近在公司上网百度时经常会出现这样的提示: 系统检测到您的访问行为异常 请正确输入以下验证码,验证通过后,可继续使用经验… 然后你输入其验证码,又不说对也不说错,就卡那,点击也换不了,很是无奈 。。。。 。。。。 。。。。 这种情况持续了好久,我无法忍了,各种尝试了好久,有的竟然还说要改系统用户名和密码,我也是无语了,最后终发现了一个正确的方法: https://jingyan.baidu.com...
《网络安全》第十五-安全审计.pptx
06-07
连接的统计附属信息 与安全服务的使用相关的事件 安全服务请求、使用、安全报警 与管理相关 管理操作、管理通知 应至少包含的审计事件 拒绝访问身份验证、更改属性、创建对象、删除对象、修改对象、使用特权 单独...
C#程序开发范例宝典(第2版).part02
11-12
第1 窗体与界面设计 1 1.1 菜单应用实例 2 实例001 带历史信息的菜单 2 实例002 菜单动态合并 3 实例003 像开始菜单一样漂亮的菜单 4 实例004 任务栏托盘菜单 4 实例005 可以拉伸的菜单界面 5 实例006 ...
C#程序开发范例宝典(第2版).part08
11-12
第1 窗体与界面设计 1 1.1 菜单应用实例 2 实例001 带历史信息的菜单 2 实例002 菜单动态合并 3 实例003 像开始菜单一样漂亮的菜单 4 实例004 任务栏托盘菜单 4 实例005 可以拉伸的菜单界面 5 实例006 ...
C#程序开发范例宝典(第2版).part12
11-12
第1 窗体与界面设计 1 1.1 菜单应用实例 2 实例001 带历史信息的菜单 2 实例002 菜单动态合并 3 实例003 像开始菜单一样漂亮的菜单 4 实例004 任务栏托盘菜单 4 实例005 可以拉伸的菜单界面 5 实例006 ...
ISP流程概述
ZHI11235813的博客
12-14 1万+
一、概述 ISP(Image Signal Processor), 即图像信号处理, 主要作用是对前端图像传感器输出的信号做后期处理, 依赖于 ISP 才能在不同的光学条件下都能较好的还原现场细节。 Cmos YUV sensor 的 ISP 处理流程如图所示: 景物通过 Lens 生成的光学图像投射到 sensor 表面上, 经过光电转换为模拟电信号, 消噪声后经过 A/D
Microsoft KB2871997的学习
Ping_Pig的博客
10-29 3532
讲在前面 2014年,Microsoft发布了KB2871997补丁,它主要囊括了Windows 8.1和Windows Server 2012 R2中增强的安全保护机制。所以,以往的例如:Windows 7,Windows 8,Windows Server 2008R2和Windows Server 2012也可以更新该补丁后获得上述安全保护机制。 介绍 增强的安全保护机制中有如下部分几点: 减少存储在内存中的凭据数据 支持现代身份验证(Kerberos AES) 其实主要防范的是在身份登录时凭
网络类型及pap、chap身份验证
Alkaid__3的博客
12-06 2100
HDLC 属于点到点网络类型 由cisco最新提出,之后各家厂商均存在各种的HDLC封装技术, 各家厂商的HDLC基础均为私有;早期串行链路上使用的二层技术; 进接口 HDLC的特点:在数据链路层基本仅完成介质访问控制功能,没有太多其他的设定; PPP 串行链路上的一种点到点网络类型; 大部分厂商串行链路上默认的二层封装技术;在HDLC的基础上进行了升级:—拨号自动学习对端的...
第八 用户身份验证(二)
Geroge_lmx的博客
08-27 438
用户登录应用后,他们的验证状态要记录在用户会话中,这样浏览不同的页面时,才能记住这个状态。Flask-Login扩展用于管理用户身份验证系统中的验证状态,安装: pip install flask-login 一. User用户模型适配Flask-Login Flask-login的运转需要应用中有User对象,且必须实现如下的属性和方法: 属性/方法 说明 ...
ISP 技术
weixin_34015336的博客
06-09 307
,ISP网络解决方案      1.1系统组成      一般说来,ISP网络的建设应包括以下几个部分:广域主干网络系统,ISP网络中心局域网系统,用户接入系统和网络管理中心.      广域主干网络系统      广域主干网络系统的主要作用是提供ISP国内主干网络(Backbone)互连,即与其他城市ISP网络中心的互连通道和连接Internet国际...
.NET混合开发解决方案14 WebView2的基本身份验证
xuhss_com的博客
05-12 430
🚀 优质资源分享 🚀 学习路线指引(点击解锁) 知识定位 人群定位 🧡 Python实战微信订餐小程序 🧡 进阶级 本课程是python flask+微信小程序的完美结合,从项目搭建到腾讯云部署上线,打造一个全栈订餐系统。 💛Python量化交易实战💛 入门级 手把手带你打造一个易扩展、更安全、效率更高的量化交易系统 系列目录     【已更新最新开发文,点击查看详细】 WebView2控件应用详解系列博客 .NET桌面程序集成Web网页开
第6 HTTP头部(2) End-to-end、Hop-by-hop
Get
04-06 7154
End-to-end 端到端头部 此类头部字段会转发给 请求/响应 的最终接收目标。 必须保存在由缓存生成的响应头部。 必须被转发。 Hop-by-hop 逐跳首部 此类头部字段只对单次转发有效。会因为转发给缓存/代理服务器而失效。
oauth2 + jwt 单点登录 怎么获得jwt
最新发布
07-20
### 回答1: OAuth 2.0是一种授权框架,用于授权第三方应用程序访问用户在其他应用程序上的资源。当用户使用OAuth 2.0登录并授权后,被请求访问的资源将生成一个访问令牌(access token),用于后续的访问请求。 JWT(JSON Web Token)是一种用于在不同系统之间安全传输信息的标准。它是由三部分组成的字符串,包括头部(header)、载荷(payload)和签名(signature)。其中,载荷部分包含一些声明性的信息,用于标识用户或其他相关信息。签名部分则用于验证令牌的真实性和完整性。 单点登录(Single Sign-On,简称SSO)是一种身份验证机制,在一次登录后,允许用户访问多个相关系统,而无需重新进行身份验证。当用户进行初始身份验证后,一个包含JWT的令牌将生成并返回给用户。 想要获得JWT,用户需要先通过OAuth 2.0进行身份验证和授权。用户在第三方应用程序上进行登录,该应用程序将向授权服务器发送身份验证请求。授权服务器将验证用户身份并颁发访问令牌。然后,用户将该令牌发送到资源服务器上进行鉴权。资源服务器将验证令牌的有效性,并使用私钥对JWT进行签名,保证其真实性。最后,资源服务器会返回给用户一个含有JWT的响应。 用户在后续的访问请求中,只需携带JWT即可进行授权,无需再次进行身份验证。资源服务器接收到带有JWT的请求后,将对其进行验证,并根据令牌中的声明信息进行相应的授权操作。 通过OAuth 2.0和JWT,单点登录实现了用户在多个应用程序之间的无缝访问,提供了便捷的用户体验和更高的安全性。 ### 回答2: OAuth 2.0是一种用于授权的开放标准,用于允许用户提供给第三方应用程序已授权访问特定资源的权限。它使用Access Token来表示用户的授权凭证。 要获得JWT(JSON Web Token),首先需要进行OAuth 2.0的认证和授权流程。以下是一般的流程: 1. 用户访问应用程序,并选择使用单点登录进行身份验证。 2. 应用程序将用户重定向到认证服务器,以获取授权。 3. 用户在认证服务器上登录,并确认授权访问应用程序所需的资源。 4. 认证服务器将授权码(Authorization Code)传递给应用程序的回调URL。 5. 应用程序使用授权码向认证服务器请求访问令牌(Access Token)。 6. 认证服务器验证应用程序的身份,并向应用程序颁发访问令牌。 7. 应用程序将访问令牌保存在安全的位置,以供将来的API调用使用。 8. 应用程序使用访问令牌向API服务器请求受保护资源。 9. API服务器对访问令牌进行验证,并返回请求的资源。 10. 如果访问令牌有效,则应用程序可以将其作为JWT进行使用。 获得JWT的过程实际上是通过OAuth 2.0的授权流程获得访问令牌,然后将访问令牌转换为JWT格式。JWT是一种用JSON表示的安全令牌,它包含有关用户身份、权限和其他相关信息的声明。 在将访问令牌转换为JWT时,应用程序需要使用加密算法(如HMAC或RSA)对访问令牌进行签名,以确保令牌的完整性和安全性。 总之,要获得JWT,首先需要进行OAuth 2.0的认证和授权流程,获取访问令牌,然后将访问令牌转换为JWT格式。JWT可以用于实现单点登录和安全访问控制。 ### 回答3: OAuth 2.0和JWT是用于实现单点登录的两种常见的身份验证和授权机制。下面是关于如何获得JWT的简要解释。 在OAuth 2.0流程中,客户端首先将用户重定向到认证服务器以进行身份验证用户成功登录后,认证服务器将授权码返回给客户端。接下来,客户端使用该授权码请求访问令牌,同时提供其客户端凭据。认证服务器根据验证客户端凭据,并验证授权码的有效性后,颁发一个访问令牌给客户端。访问令牌可以用于访问受保护的资源服务器。然而,JWT并不是OAuth 2.0规范的一部分,它是作为一种安全令牌的表示形式,可以用于在认证(Authentication)和授权(Authorization)之间传输和存储信息。 在实现单点登录中,当用户通过身份验证获得访问令牌后,应用程序使用该令牌向身份提供者(例如认证服务器)请求JWT令牌。身份提供者使用该访问令牌生成一个JWT令牌,并将其返回给应用程序作为响应。这个JWT令牌包含有关用户身份的信息。应用程序可以将该令牌存储在客户端的会话中,以便在其他资源服务器上验证用户身份时使用。 获得JWT的过程需要通过OAuth 2.0进行授权并使用访问令牌来请求JWT令牌。要么应用程序直接与身份提供者交互来获取JWT,要么使用一些第三方库或框架来实现该过程。无论是直接与身份提供者交互还是使用第三方库,都需要遵循OAuth 2.0和JWT的相应规范和流程,以确保安全性和正确性。 总之,获得JWT的过程包括通过OAuth 2.0获得访问令牌,并用该令牌向身份提供者请求生成JWT令牌。这个JWT令牌可以用于实现单点登录,并在其他资源服务器上验证用户身份

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值