确认访问用户身份的认证
需求:当某网站只想要特定人员访问时,就涉及到了身份的认证,下面介绍认证机制:
HTTP使用的认证方式:
* BASIC认证(基本认证)*
比较像那个登录远程服务器的时候或者svn的时候,在浏览器上输入一个网址就会让你输入用户名的那种
* DIGEST认证(摘要认证) *
如果要查看Request-Digest计算规则,可查看RFC2617
* SSL认证(客户端认证) *
SSL客户端认证可以避免当用户名密码被盗用的时候被第三者冒充的情况。SSL客户端认证是借由HTTPS客户端证书完成认证的方式,凭借客户端证书认证,服务器可确认访问是否来自己登陆的客户端,同时基于表单认证组成双因素认证,通过密码来确认这是用户本人的行为。
- FormBase(基于表单认证)
表单的认证本身是通过服务器端的web应用,将客户端发送过来的用户名和密码与之前登录过得信息做匹配来认证。采用Cookie来管理Session以弥补HTTP无状态管理功能。