web安全基础_web uid-CSDN博客

本文链接：https://blog.csdn.net/weixin_53386866/article/details/114237750

Web安全基础
★WEB应用请求过程

用户输入url: 360.cn(要访问的URL连接);DNs域名解析;
建立TCP连接;发送HTTP Request;web服务器响应;应用服务器响应;关闭TCP连接;
用户浏览器渲染页面。
HTTP超文本传输协议，特点:建立在TCP协议基础之上;无状态。

URL:统一资源定位符。
URI:统一资源标识符。

http://www.exampe.com:80/dir/index.html?uid=1#ch1URL各部分表示的含义:
http://:协议
www.exampe.com:服务器地址80:服务器端口号
/dir/index.html:文件路径?uid=1:查询字符串
#ch1:片段标识。
HTTP方法(重点)∶
GET:获取资源—获取请求页面的制定消息;请求参数在请求头中;请求长度有限制。
POST:传输实体主体–获取请求页面的制定消息，请求参数在请求正文。
HEAD:返回报文首部;
OPTIONS:询问支持的方法;PUT:传输文件;
DELETE:删除文件。

HTTP状态码（重点)∶
200:客户端请求成功，最常见的内容。
204:请求处理成功，但没有资源返回。
206:客户端进行了范围请求。
301:永久性重定向,表示资源已经被分配新的URL,以后应使用资源现在所指的URL。
302:临时性重定向,表示资源已经被分配了新的URl,希望用户(本次)能使用新的URL。
304:服务器资源未改变,可直接使用未过期的缓存。
400:请求语法中存在报文错误,需要修改再次发送。
401:该状态码表示需要通过HTTP认证。
403:请求访问的资源服务器拒绝。
404:服务器上没有找到资源。
500:服务器内部错误。
503:服务器当前不能处理客户端的请求。

HTTP首部（重点)∶
是什么:HTTP协议请求与响应须包含HTTP首部;HTTP首部为客户端和服务端分别处理请求和响应提供所需的信息。

HTTP请求报文构成:请求行、请求头、请求正文。HTTP响应报文构成:响应行、响应头、响应正文。
HTTP首部字段包含内容:通用首部字段、请求首部字段、响应首部字段、实体首部字段。

HTTP首部字段中通用首部字段包含内容:
cache-control:控制缓存;
Connection:连接的管理;date:创建报文的日期时间。
HTTP首部字段中请求字段包含的内容:
Host:请求资源的主机和端口号;
User-Agent:客户端操作系统,浏览器等其他信息;Referer:访问当前页面的上一个页面;
cookie:请求者的身份凭证;
Accept:客户端希望接收的哪些MIME类型消息;Accept-Charset:指定客户端接收的字符集。HTTP首部字段中响应字段包含的内容:
Server:服务器所使用的Web服务名字;Set-Cookie:向客户端设置Cookie;
Last-Modified:告诉浏览器改的最后时间;Content-Length:正文长度;
Location:引导用户转向与请求URI不同的资源。HTTP首部字段中实体首部字段包含的内容:
Allow:通知客户端能够支持的HTTP方法;
Content-Encoding:告知客户端服务器对实体主体部分采用的字符编码;Content-Language:告知户端体部分采用的语言;
Content-Length:表明实体主体部分大小;
Content-Location:给出与报文主体部分相对应实际的URIContent-Type:说明实体主体部分对象的媒体类型。

1、HTTP认证-BASIC认证（选择):
认证过程
(1）客户端发起http请求，请求的资源是受限资源（登录可以访问)。
(2)服务器接收到请求后，先不返回资源，给客户端返回登录名和密码。
(3)客户端接收到页面后输入用户名和密码，发送给服务器。服务器返回数据库验证。
(4)验证成功后用户可访问受限资源。用途:小型网络认证（如路由器)。
特点: base64编码后明文传输用户名及口令。优点:几乎所有浏览器都支持。
缺点:安全性没有保障。
2、HTTP认证–HTTP OAuth(选择)∶认证过程:
客户端询问用户是否经过授权，同意授权后，客户端向第三方服务器请求token，认证服务器通过后返回token，接下来的请求的资源会携带token去请求。
OAuth认证过程(了解):
实现功能:豆瓣授权登录页面，第三方登录OAuth认证。
用户请求豆瓣网站登录，登录后用户请求第三方qq登录，豆瓣执行302跳转，跳转到qq授权网站。
执行完跳转以后相当于用户向授权服务器发送请求，即用户向qq授权服务器发送请求。用户输入qq的用户名和密码，给qq的授权服务器进行认证。认证成功后执行302网站跳转，跳转回豆瓣网站，此时携带的含有qq授权信息的token。
在浏览器端感知不到，最终完成用户看起来登录成功，并进入了豆瓣首页。
接下来的请求直接向豆瓣请求，豆瓣每次请求都会向qq服务器发送请求，携带的就是之前验证成功信息的token，返回200，接下来携带着有用户名、密码等信息的返回请求。登录时发现qq信息同步到豆瓣网站上。
这整个过程叫OAuth认证。
3、HTTP认证-Cookie Auth(选择)
是什么:用户请求网站;网站要求提供用户名和密码进行认证;认证成功后,网站将返回一个Cookie信息;用户再次登录,如果没有清除Cookie,则不需要再进行认证。
4、SSL/TLS
是什么:用于在两个通信应用程序之间提供保密性和数据完整性的通信协议;TLs是sst的
继任者,叫传输层安全(transport layersecurity).
5、HTTP和HTTPS的区别
HTTP明文传输，端口:80;HTTPS加密传输，端口443。