【图解HTTP】——确认访问用户的身份:认证机制

最新推荐文章于 2024-05-01 09:57:28 发布
最新推荐文章于 2024-05-01 09:57:28 发布
阅读量629 收藏
点赞数
分类专栏: 计算机网络 文章标签: http cookie
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44478378/article/details/105464675
版权

文章目录

认证机制

  • Web网页要设置成访问权限,确认电脑前是否是user在使用
  • 对于现在的网络认证机制——采用基于表单的认证
  • 表单认证:采用Cookie应用管理Sessions会话

【1】认证

  • 核对登陆者身份

(1)密码
(2)动态令牌
(3)数字证书
(4)生物认证
(5)IC卡
在这里插入图片描述

【2】HTTP的认证机制有哪些

  • Basic认证
  • Digeset认证
  • SSL认证
  • FormBase认证
Basic认证(不常用)
  • Web服务器与通信客户端之间进行的认证
  • 不常用,安全性低(明文密码传输),效率低
    在这里插入图片描述
Digset认证(不常用)
  • 质询/响应方式(challenge/response),但不会像Basic一样发送明文密码
    在这里插入图片描述
  • 发送给对方的是响应摘要和由质询码产生的计算结果——安全性提升
    在这里插入图片描述
SSL客户端认证(不常用——贵)
  • 利用SSL客户端认证避免用户ID和密码被盗
  • 利用HTTPS的客户端证书完成认证
  • 分发客户端证书给客户端,客户端安装
    在这里插入图片描述
双因素认证
  • SSL客户端认证往往和基于表单认证结合使用
  • 认证的过程中,除了提供ID和密码,还要提供其他持有信息

(1)SSL客户端认证:用来认证客户端计算机
(2)基于表单认证:密码用来确认是用户本人的行为

基于表单认证(常用)
  • 基于表单的认证方式并不是在HTTP协议中定义的
  • Web网站各自实现自己的表单认证(实现方式不同),因为Web网站的认证功能能够满足其安全级别的标准规范并不存在。

【3】Cookie应用管理Session会话

  • 基于表单认证的规范尚未明确,一般会使用cookie技术管理session会话
  • 利用cookie技术弥补HTTP协议中不存在的状态管理功能
  • 基于表单认证本身是通过服务器端的Web应用,将客户端发送过的用户ID和密码与之前登陆过的保存的信息进行匹配进行认证
    在这里插入图片描述
  • 步骤:

(1)客户端将用户ID和密码放入到报文中
(2)服务器会发放用以识别用户的Session ID,通过从客户端发送过来的登录信息进行身份验证,然后将用户的验证状态和Session ID记录在服务器端
(3)客户端接收Session ID,将其作为cookie保存到本地,下次向服务器发送请求时,浏览器会自动发送cookie,这样session ID就发送到了服务器,进而对session ID对用户进行识别和验证

【4】总结

  • 认证采用:基于表单认证
  • Web网站各自实现自己的基于表单认证
  • 利用Cookie应用管理会话

【5】服务器端对ID和密码等信息保存方式

  • 给密码加盐(salt):添加额外信息
  • 散列(hash):函数计算出散列值后保存

给密码加盐:由服务器随机生成一个足够长字符串,添加到密码后面或者前面,两个用户设置了同一个密码,但salt不同
生成散列值:利用散列函数,攻击者很难利用自己手中的密码特征库进行破解

关注公众号:<小杨的健解之路>
回复:"图解http"获取《图解HTTP》pdf
我是小杨我就这样
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
HTTP认证方式
hotnet522的专栏
08-19 3万+
HTTP请求报头: Authorization HTTP响应报头: WWW-Authenticate HTTP认证基于质询/回应(challenge/response)的认证模式。 ◆ 基本认证 basic authentication   ← HTTP1.0提出的认证方法 客户端对于每一个realm,通过提供用户名和密码来进行认证的方式。 ※ 包含密码的明文传递 基本认证步骤: 1. 客户端访问一个受http基本认证保护的资源。
HTTP认证介绍(Basic基本认证和Digest摘要认证)和搭建windows HTTP服务器
mayue_web的博客
09-26 2792
HTTP认证是一种用于保护Web应用程序的一种身份验证机制。它通过在HTTP请求的头部添加认证信息,来验证用户身份和权限。HTTP认证可以用于保护敏感信息,限制访问某些资源,或者在访问某些操作之前要求用户提供凭据。HTTP认证有几种不同的认证方式,包括:Basic认证:Basic认证是最常见的HTTP认证方式之一。在Basic认证中,客户端发送请求时,会在请求头中包含一个"Authorization"字段,该字段包含了经过Base64编码的用户名和密码。
2024年最新【安全】简单解析统一身份认证:介绍、原理和实现方法
最新发布
2401_84247559的博客
05-01 1269
每一个令牌授权一个特定的网站(例如,视频编辑网站)在特定的时段(例如,接下来的2小时内)内访问特定的资源(例如仅仅是某一相册中的视频)。这样,OAuth允许用户授权第三方网站访问他们存储在另外的服务提供者上的信息,而不需要分享他们的访问许可或他们数据的所有内容。最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。令牌返回:统一身份认证系统将令牌返回给应用。
Java中后端是怎么通过token确定是哪个用户
weixin_35755434的博客
01-03 1418
在 Java 中,后端可以通过以下步骤来使用 token 确定某个用户: 客户端在登录时,后端会为其生成一个 token,并将其返回给客户端。 客户端在进行后续的请求时,会在请求头中携带 token。 后端收到请求后,会从请求头中获取 token,并使用对应的算法对 token 进行解码。 如果解码成功,则说明 token 是合法的,并且能够获取到用户信息。 后端可以使用解码后的用户信息...
详解HTTP的几种认证方式
大河之犬的博客
10-18 2264
SSL客户端认证是借由HTTPS的客户端证书完成认证的方式。DIGEST认证同样使用质询/响应的方式,但不会像BASIC认证那样直接发送明文密码(并不存在防止用户伪装的保护机制,不常用)客户端会向服务器上的Web应用程序发送登录信息,按登录信息的验证结果认证(如今的Web应用最常用的一个认证方式)第一个认证因素的SSL客户端证书用来认证客户端计算机,另一个认证因素的密码则用来确定这是用户本人的行为。SSL客户端认证不会仅依靠证书完成认证,一般会和基于表单认证组合形成一种双因素认证
基于Token的WEB后台认证机制
weixin_30845171的博客
06-22 4286
几种常用的认证机制 HTTP Basic Auth HTTP Basic Auth简单点说明就是每次请求API时都提供用户的username和password,简言之,Basic Auth是配合RESTful API 使用的最简单的认证方式,只需提供用户名密码即可,但由于有把用户名密码暴露给第三方客户端的风险,在生产环境下被使用的越来越少。因此,在开发对外开放的RESTful API时,尽量避免采...
Web开发中常见的认证机制
weixin_33756418的博客
03-13 388
HTTP基本认证HTTP Basic Auth) 在HTTP中,HTTP基本认证是一种允许Web浏览器或者其他客户端在请求时提供用户名和口令形式的身份凭证的一种登录验证方式。 简单而言,HTTP基本认证就是我们平时在网站中最常用的通过用户名和密码登录来认证机制。优点HTTP 基本认证是基本上所有流行的网页浏览器都支持。但是基本认证很少...
HTTP协议/IIS原理及ASP.NET运行机制浅析【图解
02-03
前一段在整理邮件的时候发现几年前和CDD老师交流时的一份邮件.下面是简单摘要:“从技术角度来说,无论哪一个阵营,跟新技术都是不可避免的,也是很累的,当然作为一个程序员来说,也是必须的。要想让技术的更新对...
台式机主板维修教材图解——简单实用.pdf
03-09
台式机主板维修教材图解——简单实用.pdf
Android快速入门教程(图解)——Monkey工具.doc
07-05
"Android快速入门教程(图解)——Monkey工具" Monkey 工具是 Android 平台下的一个命令行工具,用于压力测试软件的稳定性和健壮性。Monkey 工具可以模拟用户触摸屏幕、滑动轨迹球、按键等操作,检测软件的稳定性和...
图解的世界——幻灯片设计心得ppt模板.rar
09-08
ppt图表设计运用心得体会,ppt设计制作教程。
websocket的通俗解读,十分钟读懂
04-10
通俗易理解介绍websocket原理、属性、事件、方法,十分钟学会 很简单哦
websocket:websocket心跳重连和token
05-16
websocket WebSocket 是什么原理?为什么可以实现持久连接? - Ovear的回答 - 知乎 项目的代码 react 版,可以看此 在 componentDidMount 把定时器生效 // 定时器 this.heartCheck(); 难点在于需求是两分钟刷新一次,以及权限认证问题,服务器会在两分钟内无数据传输就会默认关闭websocket连接,故需要实现心跳机制。关于权限认证,这里实现比较简单,还是觉得不够好,可以用socket.io 组件,或者参考 解决加密问题。 createWebSocket = (groupId) => { let ws = null; const server = 'ws.hitsm.cloud.saas.hand-china.com'; // const server = '10.211.103.156:8050'; cons
详解HTTP中的摘要认证机制
热门推荐
tenfyguo的技术专栏
03-11 3万+
在上一期http://blog.csdn.net/tenfyguo/article/details/6167190中笔者较为详细的介绍了HTTPBasic认证在apache下的配置,通过简单的实验演示了HTTP Basic认证的基本原理。        但是,聪明的读者很快可以发现,这种认证方式是存在很多缺陷的,具体表现如下: 1,  Basic认证会通过网络发送用户名和密码,并且是以base
HTTP权威指南》——认证机制
Windeal
07-04 971
HTTP应该实现权限机制:即某些特定的内容只有特定用户才能访问;某些特定的事务只有特定的用户能够执行。此时,我们需要对用户进行认证认证什么是认证所谓认证, 就是用户给出身份证明,然后服务器加以验证。HTTP认证模型:HTTP提供了质询/响应认证框架用以简化认证过程。 1)Web应用程序收到HTTP请求 2)Web应用程序以一个“认证质询”作为响应 3)用户提供身份证明 4)服务器验证身份证明。 认
HTTP:基本认证机制
OceanStar的博客
07-26 315
认证 认证就是要给出一些身份证明。 HTTP的质询/响应认证框架 HTTP提供了一个原生的质询/响应框架,简化了对用户认证过程: Web应用程序收到一条HTTP请求报文时,服务器没有按照请求执行动作,而是以一个“认证质询”进行响应,要求用户提供一些保密信息来说明他是谁,从而对其进行质询 用户再次发起请求时,要附上保密证书(用户名+密码)。如果证书不匹配,服务器可以再次质询客户端和产生一条错误信息。如果匹配,就可以正常完成请求认证协议和首部 HTTP通过一组可定制的控制首部,为不同的认证协议提供了一个
HTTP 中的用户身份验证
zwkkkk1的博客
08-29 1万+
  身份验证是判断客户端是否有资格访问资源的过程。HTTP 协议支持将身份验证作为协商访问安全资源的一种方式。   来自客户端的初始请求通常是匿名请求,不包含任何身份验证信息。 HTTP 服务器应用程序可以拒绝匿名请求,而同时指示必须进行身份验证。   服务器应用程序发送 WWW-Authentication 头来指示受支持的身份验证方案。 HTTP/1.1 使用认证方式如下: BAS...
几种常用的认证机制
yin__ren的博客
01-28 1万+
1. HTTP Basic Auth HTTP Basic Auth简单点说明就是每次请求API时都提供用户的username和password,简言之,Basic Auth是配合RESTful API 使用的最简单的认证方式,只需提供用户名密码即可,但由于有把用户名密码暴露给第三方客户端的风险,在生产环境下被使用的越来越少。因此,在开发对外开放的RESTful API时,尽量避免采用HTTP
身份认证机制 (Session、JWT)
Spongebobna的博客
06-01 2464
身份认证机制在我们了解两种主流的认证机制之前,我们先来了解一下目前主流的两种Web开发模式。:服务器发送给客户端的 HTML 页面,是在服务器通过字符串的拼接,动态生成的。客户端只负责解析 HTML 。:后端只负责提供 API 接口(处理、存储数据),前端使用 Ajax 调用接口(显示数据)。前端和后端开发人员通过 进行数据的交换。比如企业级网站,主要功能是展示而没有复杂的交互,并且需要良好的 SEO,则这时我们就需要使用;而类似后台管理项目,交互性比较强,不需要考虑 SEO,那么就可以使用的开发模式。:
图解HTTP学习笔记——确认访问用户身份认证
05-16
HTTP协议中,为了确认访问用户身份,可以使用认证功能。认证功能是通过在请求中发送用户ID和密码等信息,来确认访问者的身份的一种方式。 HTTP/1.0定义了基本认证(Basic Authentication)功能,而HTTP/1.1定义了更加安全的摘要认证(Digest Authentication)功能。 基本认证的流程如下: 1. 客户端向服务器发送请求; 2. 服务器返回状态码401,要求客户端提供认证信息; 3. 客户端向服务器发送包含认证信息的请求; 4. 服务器验证认证信息,如果通过验证,则返回请求资源。 在基本认证中,认证信息是以明文形式传输的,因此存在安全性问题。摘要认证则通过对密码进行加密,来提高认证的安全性。 摘要认证的流程如下: 1. 客户端向服务器发送请求; 2. 服务器返回状态码401,要求客户端提供认证信息; 3. 客户端向服务器发送包含“摘要响应”的请求; 4. 服务器验证“摘要响应”,如果通过验证,则返回请求资源。 摘要认证中,“摘要响应”是由客户端根据密码和其他信息计算得出的,而不是直接传输密码。 总的来说,认证功能可以确保访问者的身份,提高HTTP协议的安全性。但是,认证信息的传输仍然存在一定的风险,因此在使用认证功能时需要注意保护用户的信息安全。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值