声明:本人的所有博客皆为个人笔记,作为个人知识索引使用,因此在叙述上存在逻辑不通顺、跨度大等问题,希望理解。分享出来仅供大家学习翻阅,若有错误希望指出,感谢!
用户身份认证
HTTP使用的认证方式:
- BASIC认证(基本认证)
- DIGEST认证(摘要认证)
- SSL客户端认证
- FormBase认证(基于表单认证)
BASIC认证
BASIC认证是从HTTP/1.0就存在的认证方式,至今仍有一部分网站会使用这种认证方式
BASIC认证流程
-
当请求的资源需要 BASIC认证时,服务器会随状态码401Authorization Required,返回带WWW-Authenticate首部字段的响应。该字段内包含认证的方式( BASIC)及Request-URI安全域字符串( realm)
-
接收到状态码401的客户端为了通过BASIC认证,需要将用户ID及密码发送给服务器。发送的字符串内容是由用户ID和密码构成,两者中间以冒号(:)连接后,再经过Base64编码处理
-
接收到包含首部字段Authorization请求的服务器,会对认证信息的正确性进行验证。如验证通过,则返回一条包含Request-URI资源的响应
BASIC认证缺点
- BASIC认证虽然采用Base64编码方式,但这不是加密处理,不需要任何附加信息即可对其解码
- 此外如果在已通过BASIC认证的前提下想要再次进行BASIC认证,大多数浏览器无法实现认证注销操作
DIGEST 认证
为弥补BASIC认证存在的弱点,从HTTP/1.1起就有了DIGEST认证。DIGEST 认证同样使用质询/响应的方式,但不会像BASIC认证那样直接发送明文密码
所谓质询响应方式是指,一开始一方会先发送认证要求给另一方,接着使用从另一方那接收到的质询码计算生成响应码最后将响应码返回给对方进行认证的方式
因为发送给对方的只是响应摘要及由质询码产生的计算结果,所以比起BASIC认证,密码泄露的可能性就降低了
DIGEST认证步骤
-
请求需认证的资源时,服务器会随着状态码401 Authorization Required,返回带WWW-Authenticate首部字段的响应该字段内包含质问响应方式认证所需的临时质询码(随机数,nonce )
- 首部字段WWW-Authenticate内必须包含realm和nonce这两个字段的信息。客户端就是依靠向服务器回送这两个
值进行认证的
nonce是一种每次随返回的401响应生成的任意随机字符串。该字符串通常推荐由Base64编码的十六进制数的组成形式,但实际内容依赖服务器的具体实现
- 首部字段WWW-Authenticate内必须包含realm和nonce这两个字段的信息。客户端就是依靠向服务器回送这两个
-
接收到 401状态码的客户端,返回的响应中包含DIGEST认证必须的首部字段Autorization信息。
首部字段Authorization内必须包含usermame、realm、nonce、uri 和 response 的字段信息
-
realm和nonce就是之前从服务器接收到的响应中的字段
-
username是realm限定范围内可进行认证的用户名
-
uri 是 Request-URI的值,但考虑到经代理转发后Reques-URI的值可能被修改,因此事先会复制份
副本保存在uri内 -
response也可叫做Request-Digest,存放经过MD5运算后的密码字符串,形成响应码
-
-
接收到包含首部字段Authorization请求的服务器,会确认认证信息的正确性。认证通过后则返回包含Request-URI
资源的响应。并且这时会在首部字段Authentication-Info写入一些认证成功的相关信息
DIGEST优劣
DIGEST认证提供了高于BASIC认证的安全等级,但是和HTTPS的客户端认证相比仍旧很弱。DIGEST认证提供防止密码被窃听的保护机制,但并不存在防止用户伪装的保护机制
SSL 客户端认证
从使用用户ID和密码的认证方式来讲,只要二者内容正确,即可认证是本人行为,但如果用户ID和密码被盗,就很有可能被第三者冒充利用SSL客户端认证则可以避免该情况的发生。
SSL客户端认证是借由HTTPS的客户端证书完成认证的方式。凭借客户端证书认证,服务器可确认访问是否来自已登录的客户端
SSL客户端认证的认证步骤
为达到SSL客户端认证的目的,需要事先将客户端证书分发给客户端,且客户端必须安装此证书
-
接收到需要认证资源的请求,服务器会发送Certificate Request报文,要求客户端提供客户端证书
-
用户选择将发送的客户端证书后,客户端会把客户端证书信息以Client Certificate报文方式发送给服务器
-
服务器验证客户端证书验证通过后方可领取证书内客户端的公开密钥,然后开始HTTPS加密通信
SSL客户端认证采用双因素认证
在多数情况下,SSL客户端认证不会仅依靠证书完成认证,一般会和基于表单认证组合形成一种双因素认证来使用
- 第一个认证因素的SSL客户端证书用来认证客户端计算机
- 另一个认证因素的密码则用来确定这是用户本人的行为
通过双因素认证后,就可以确认是用户本人正在使用匹配正确的计算机访问服务器
基于表单认证
基于表单的认证方法并不是在HTTP协议中定义的。客户端会向服务器上的Web应用程序发送登录信息按登录信息的验证结果认证
多数情况下,输入已事先注册的用户ID和密码等登陆信息后,发送给Web应用程序,基于认证结果来决定认证是否成功
认证多半为基于表单认证
由于使用上的便利性及安全性问题,HTTP协议标准提供的BASIC认证和DIGEST认证几乎不怎么使用。SSL客户端认证虽然具有高安全性,但因维护费用证书费用等问题,至今尚未普及
对于Web网站的认证功能,能够满足其安全使用级别的标准规范并不存在,所以只好由Web应用程序各自实现基于表单的认证方式
Session管理及Cookie应用
基于表单认证的标准规范尚未有定论,一般会使用Cookie来管理Session
基于表单认证本身是通过服务器端的Web应用,将客户端发送过来的用户ID和密码与之前注册过的信息做匹配来进行认证的
但鉴于HTTP是无状态协议,之前已认证成功的用户状态无法通过协议层面保存下来。即,无法实现状态管理,因此即使当该用户下一次继续访问,也无法区分他与其他的用户。于是我们会使用Cookie来管理Session,以弥补HTTP协议中不存在的状态管理功能
使用Cookie的登陆步骤
-
客户端把用户ID和密码等登录信息放人报文的实体部分,通常是以POST方法把请求发送给服务器。而这时,会使用HTTPS通信来进行HTML表单画面的显示和用户输入数据的发送
-
服务器会发放用以识别用户的Session ID通过验证从客户端发送过来的登录信息进行身份认证,然后把用户的认证状态与Session ID绑定后记录在服务器端。向客户端返回响应时,会在首部字段Set-Cookie内写人Session ID
可以把Session ID想象成一种用以区分不同用户的等位号
然而,如果Session ID被第三方盗走,对方就可以伪装成你的身份进行恶意操作了。因此必须防止Session ID被盗。为了做到这点,Session ID应使用难以推测的字符串,且服务器端也需要进行有效期的管理,保证其安全性
另外,为减轻跨站脚本攻击(XSS )造成的损失,建议事先在Cookie内加上httponly属性
-
客户端接收到从服务器端发来的Session ID后,会将其作为Cookie保存在本地。下次向服务器发送请求时,浏览器会自动发送Cookie,所以Session ID也随之发送到服务器。服务器端可通过验证接收到的Session ID识别用户和其认证状态
事实上,不仅基于表单认证的登录信息及认证过程都无标准化的方法,服务器端应如何保存用户提交的密码等登录信息等也没有标准化。
通常,一种安全的保存方法是, 先利用给密码加盐(salt)的方式增加额外信息,再使用散列(hash)函数计算出散列值后保存。但是我们也经常看到直接保存明文密码的做法,而这样的做法具有导致密码泄露的风险
盐:salt:由服务器随机生成的一个字符串,与密码字符串相连后生成散列值,很大程度上减少了密码特征,使攻击者难以利用自己手中的密码特征库进行破解
3026
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
