【图解HTTP】——确认访问用户身份的认证

某些Web页面只想让特定的人浏览，或者干脆仅本人可见。为达到这个目标，必不可少的就是认证功能

1

为了验证访问服务器的人的身份，就需要核对”登录者本人才知道的信息“、”登录者本人才会有的信息“
核对的信息通常是指：

• 密码：只有本人才会知道的字符串信息
• 动态令牌：仅限本人持有的设备内显示的一次性密码
• 数字证书：仅限本人（终端）持有的信息
• 生物认证：指纹和虹膜等本人的生理信息
• IC卡等：仅限本人持有的信息

HTTP/1.1使用的认证方式

• Basic认证（基本认证）
• DIGEST认证（摘要认证）
• SSL客户端认证
• FormBase认证（基于表单认证）

2

BASIC认证
步骤1：当请求的资源需要Basic认证时，服务器会随状态码401 Authorization Required，返回带WWW-Authenticate首部字段的响应。该字段内包含认证的方式（BASIC）及Request-URI安全域字符串（realm）
步骤2：接收到状态码401的客户端为了通过BASIC认证，需要将用户ID及密码发送给服务器。发送的字符串内容是由用户ID及密码发送给服务器。两者中间以冒号（:）连接后，再经过Base64编码处理。把这串字符串写入首部字段Authorization后，发送请求。当用户代理为浏览器时，用户仅需输入用户ID和密码即可，之后，浏览器会自动完成Base64编码的转换工作
步骤3：接收到包含首部字段Authorization请求的服务器，会对认证信息的正确性进行验证。如验证通过，则返回一条包含Request-URI资源的响应
存在的问题：安全性不高、无法实现认证注销操作

3

DIGEST认证
为弥补BASIC认证存在的弱点，从HTTP/1.1起就有了DIGEST认证。DIGEST认证同样使用质询/响应的方式，但不会像BASIC认证那样直接发送明文密码
质询响应方式：一开始一方会先发送认证要求给另一方，接着使用从另一方那接收到的质询码计算生成响应码。最后将响应码返回给对方进行认证的方式
DIGEST认证的认证步骤：
①发送临时的质询码（随机数，nonce）以及告知需要认证的状态码401
②发送摘要以及由质询码计算出来的响应码（response）
③认证成功返回状态码200，失败则再次发送状态码401

4

SSL客户端认证
SSL客户端认证是借由HTTPS的客户端证书完成认证的方式。凭借客户端证书认证，服务器可确认访问是否来自己登录的客户端
为达到SSL客户端认证的目的，需要事先将客户端证书分发给客户端，且客户端必须安装此证书
SSL客户端认证的步骤：
步骤1：接收到需要认证资源的请求，服务器会发送Certificate Request报文，要求客户端提供客户端证书
步骤2：用户选择将发送的客户端证书后，客户端会把客户端证书信息以Client Certificate报文方式发送给服务器
步骤3：服务器验证客户端证书，验证通过后方可领取证书内客户端的公开密钥，然后开始HTTPS加密通信

SSL客户端认证采用双因素认证
在多数情况下，SSL客户端认证不会仅依靠证书来完成认证，一般会和基于表单认证组合形成一种双因素认证来使用。所谓双因素认证就是指，认证过程中不仅需要密码这一个因素，还需要申请认证者提供其他持有信息，从而作为另一个因素，与其组合使用的认证方式
第一个认证因素的SSL客户端证书用来认证客户端计算机，另一个认证因素的密码则用来确定这是用户本人的行为
通过双因素认证后，就可以确认是用户本人正在使用匹配正确的计算机访问服务器

SSL客户端认证必要的费用
使用SSL客户端认证需要用到客户端证书，而客户端证书需要支付一定费用才能使用

5

基于表单认证
基于表单的认证方法并不是在HTTP协议中定义的，客户端会向服务器上的Web应用程序发送登录信息（Credential），按登录信息的验证结果认证
认证多半为基于表单验证
由于使用上的便利性及安全性问题，HTTP协议标准提供的BASIC认证和DIGEST认证几乎不怎么使用。另外，SSL客户端认证虽然具有高度的安全等级，但因为导入及维持费用等问题，还尚未普及
比如SSH和FTP协议，服务器与客户端之间的认证是合乎标准规范的，并且满足了最基本的功能需求上的安全使用级别，因此这些协议的认证可以拿来直接使用。但是对于Web网站的认证功能，能够满足其安全使用级别的标准规范并不存在，所以只好使用由Web应用程序各自实现基于表单的认证方式
Session管理及Cookie应用
基于表单认证的标准规范尚未有定论，一般会使用Cookie来管理Session（会话）
基于表单认证本身是通过服务器端的Web应用，将客户端发送过来的用户ID和密码与之前登录过的信息做匹配来进行认证的
但鉴于HTTP是无状态协议，之前已认证成功的用户状态无法通过协议层面保存下来。即，无法实现状态管理，因此即使当该用户下一次继续访问，也无法区分他与其他的用户。于是我们会使用Cookie来管理Session，以弥补HTTP协议中不存在的状态管理功能
步骤1：客户端把用户ID和密码等登录信息放入报文的实体部分，通常是以POST方法把请求发送给服务器。而这时，会使用HTTPS通信来进行HTML表单画面的显示和用户输入数据的发送
步骤2：服务器会发放用以识别用户的SessionID。通过验证客户端发送过来的登录信息进行身份认证，然后把用户的认证状态与Session ID绑定后记录在服务器端；向客户端返回响应时，会在首部字段Set-Cookie内写入Session ID（如PHPSESSID=028a8c…）另外，为减轻跨站脚本攻击（XSS）造成的损失，建议事先在Cookie内加上httponly属性
步骤3：客户端接收到从服务器端发来的Session ID后，会将其作为Cookie保存在本地。下次向服务器发送请求时，浏览器会自动发送Cookie，所以Session ID也随之发送到服务器。服务器端可通过验证接收到的Session ID识别用户和其认证状态

另外，不仅基于表单认证的登录信息及认证过程都无标准化的方法，服务器端应如何保存用户提交的密码等登录信息也没有标准化
通常，一种安全的保存方法是，先利用给密码加盐（salt）的方式增加额外信息，再使用散列（hash）函数计算出散列值后保存