(chap8 确认访问用户身份的认证) 基于表单认证

Posted thefist11

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了(chap8 确认访问用户身份的认证) 基于表单认证相关的知识,希望对你有一定的参考价值。

1. 定义

基于表单的认证方法并不是在HTTP协议中定义的。客户端会向服务器上的Web应用程序发送登录信息( Credential ),按登录信息的验证结果认证。

根据Web应用程序的实际安装,提供的用户界面及认证方式也各不相同。
eg. 基于表单认证示例(Google )

多数情况下,输入已事先登录的用户ID(通常是任意字符串或邮件地址)和密码等登录信息后,发送给Web应用程序,基于认证结果来决定认证是否成功。

2. 认证多半为基于表单认证

由于使用上的便利性及安全性问题,HTTP协议标准提供的BASIC认证和 DIGEST认证几乎不怎么使用。另外,SSL客户端认证虽然具有高度的安全等级,由于导入及费用问题,还尚未普及。

对于Web 网站的认证功能,能够满足其安全使用级别的标准规范并不存在,所以只好使用由Web应用程序各自实现基于表单的认证方式。不具备共同标准规范的表单认证,在每个Web 网站上都会有各不相同的实现方式。

3. Session管理及Cookie状态管理

基于表单认证本身是通过服务器端的Web应用,将客户端发送过来的用户ID和密码与之前登录过的信息做匹配来进行认证的。
鉴于HTTP是无状态协议,之前已认证成功的用户状态无法通过协议层面保存下来。即,无法实现状态管理,因此即使当该用户下一次继续访问,也无法区分他与其他的用户。于是我们会使用Cookie来管理Session来弥补状态管理功能。
在这里插入图片描述

step1. 客户端把用户ID和密码等登录信息放入报文的实体部分

通常是以 POST方法把请求发送给服务器。而这时,会使用HTTPS通信来进行html表单画面的显示和用户输入数据的发送。

step2. 服务器会发放用以识别用户的Session ID。

通过验证从客户端发送过来的登录信息进行身份认证,然后把用户的认证状态与Session ID绑定后记录在服务器端。向客户端返回响应时,会在首部字段Set-Cookie P写入Session ID (如 phpSESSID=028a8c…)。

  • 把Session ID想象成一种用以区分的等位号。
  • 如果 Session ID被第三方盗走,对方就可以伪装你的身份进行恶意操作了。
  • 必须防止 Session ID被盗。为了做到这点,Session ID应使用难以推测的字符串,且服务器端也需要进行有效期的管理,保证其安全性。

另外,为减轻跨站脚本攻击( XSS)造成的损失,建议事先在Cookie内加上 httponly 属性。

step3:客户端接收到从服务器端发来的 Session lID后,会将其作为Cookie保存在本地。下次向服务器发送请水的,浏览器会自动发送Cookie,所以 Session ID也随之发送到服务器。服务器端可通过验证接收到的 Session ID识别用户和其认证状态。

  • 不仅基于表单认证的登录信息及其认证过程都无标准化的方法,服务器端应如何保存用户提交的密码等登录信息也没有标准化。
  • 通常情况下,一种安全的保存方法是:先利用密码加盐(Salt)的方式增加额外信息,再使用散列(Hash)函数计算出散列值后保存。

以上是关于(chap8 确认访问用户身份的认证) 基于表单认证的主要内容,如果未能解决你的问题,请参考以下文章

(chap8 确认访问用户身份的认证) SSL客户端认证

(chap8 确认访问用户身份的认证) DIGES认证(摘要认证)

读《图解HTTP》有感-(确认访问用户身份的认证)

5分钟搞懂:基于token的用户认证

《图解HTTP》第八章读书笔记

ASP.NET MVC 4 (十三) 基于表单的身份验证