HTTP知识普及系列:确认访问用户身份的认证

  1. 认证:密码、动态令牌、数字证书、生物认证、IC卡。
  2. HTTP所使用的认证方式
    1. BASIC认证(基本认证),BASIC认证是从HTTP/1.0就定义的认证方式。Base64编码方式。
    2. DIGEST认证(摘要认证),DIGEST认证同样适用质询/响应的方式,但不会想BASIC认证那样直接发送明文密码。
    3. SSL客户端认证,SSL客户端认证是借由HTTPS的客户端证书完成认证的方式。凭借客户端证书认证,服务器可确认访问是否来自己登陆的客户端。SSL客户端认证不会仅依靠证书完成认证,一般会和基于表单认证组合形成一种双因素认证来使用。
    4. FormBase认证(基于表单认证),客户端向服务器上的Web应用程序发送登陆信息,按登陆信息的验证结果认证。基于表单认证的标准规定规范尚未有定论,一般会使用Cookie来管理Session。
时间: 2024-12-26 17:24:03

HTTP知识普及系列:确认访问用户身份的认证的相关文章

确保web安全的https、确认访问用户身份的认证(第七章、第八章)

第七章 确保web安全的https 1.http的缺点: (1)通信使用明文,内容可能会被窃听 (2)不验证通信方的身份,因此有可能遭遇伪装 (3)无法证明报文的完整性,因此有可能已遭篡改. 2.通信的加密 (1)http没有加密机制,但可以通过和SSL或TLS的组合使用,加密http的通信内容,与SSL组合的http被称为https (2)内容的加密,就是将需要传输的内容进行加密,不过这种还是有可能被篡改内容. 3.不验证通信方可能遭遇伪装 SSL不仅提供了加密处理,而且还使用了一种被称为证书

HTTP知识普及系列:确保Web安全的HTTPS

HTTP的缺点 通信使用明文(不加密),内容可能会被窃听 不验证通信方的身份,因此有可能遭遇伪装 任何人都可发起请求 查明对手证书 无法证明报文的完整性,所以有可能已遭篡改 接收到的内容可能有误 用MD5和SHA-1等散列值校验的放阿飞,以及用来确认文件的数字签名方法 HTTPS是指HTTP与SSL组合使用. HTTP+加密+认证+完整性保护=HTTPS HTTPS并非是应用层的一种新协议,知识HTTP通信接口部分用SSL和TLS协议代替而已. SSL是当今世界上应用最广泛的网络安全技术. SS

HTTP知识普及系列:HTTP首部

HTTP协议的请求和响应报文中必定包含HTTP首部.首部内容为客户端和服务器分别处理请求和响应提供所需要的信息.在请求中,HTTP报文由方法.URI.HTTP版本.HTTP首部字段等部分构成.在响应中,HTTP报文由HTTP版本.状态码(数字和原因短语).HTTP首部字段3部分构成. 客户端和服务器端以HTTP协议进行通信的过程中,无论是请求还是响应都会使用首部字段,它能起到传递额外重要信息的作用.首部字段是为了给浏览器和服务器提供报文主体大小.所使用的语言.认证信息等内容. 当HTTP报文首部

HTTP知识普及系列:HTTP返回状态码

状态码 1XX 信息性状态码 接受的请求正在处理 2XX 成功状态码 请求正常处理完毕 3XX 重定向状态码 需要进行附加操作以完成请求 4XX 客户端错误状态码 服务器无法处理请求 5XX 服务器端错误状态码 服务器处理请求出错 2XX 相应结果表明请求被正常处理了 200 OK 表示从客户端发来的请求在服务器端被正常处理了: 204 No Content 该状态码代表服务器接收的请求已成功处理,但在返回的响应报文中不含实体的主体部分.也不允许返回任何实体的主体. 206 Partial Co

HTTP知识普及系列:Web攻击技术

HTTP协议本身并不存在安全性问题,应用HTTP协议的服务器和客户端以及运行在服务器上的Web应用等资源才是攻击的目标. Web网站使几乎都用会话管理.加密处理等安全性方面的功能.而HTTP协议本身不具备这些功能. 在HTTP请求报文内加载攻击代码能对Web应用发起攻击. 针对Web的攻击模式 主动攻击是指攻击者通过直接访问应用,把攻击代码传入的攻击模式. 被动攻击是指利用全套策略执行攻击代码的攻击模式. 实施Web应用的安全策略可大致分为以下两部分. 客户端验证 Web应用端(服务器端)验证

HTTP知识普及系列:与HTTP协作的Web服务器

HTTP/1.1规范允许一台HTTP服务器搭建多个Web站点. 相同IP地址下,由于虚拟主机可以寄存多个不同主机名和域名的Web网站,因此在发送HTTP请求时,必须在Host首部内完整指定主机或域名的URL HTTP通信时,除客户端和服务器以外,还有一些用于通信数据转发的应用程序,例如代理.网关和隧道. 代理是一种转发功能的应用程序,它扮演了位于服务端和客户端“中间人”的角色. 网关是转发其他服务器通信数据的服务器. 隧道是在相隔甚远的客户端和服务器两者之间进行中转,并保持双方通信连接的应用程序

HTTP知识普及系列:简单的HTTP协议

请求报文是由请求方法.请求URI.协议版本.可选的请求首部字段和内容实体构成的. 响应报文基本上由协议版本.状态码.用以解释状态码的原因短语.可选的相应首部字段以及实体主体构成. HTTP是一种不保存状态,即无状态协议. 告知服务器意图的HTTP方法 GET方法用来请求访问已被URI识别的资源: POST方法用来传输实体的主体: PUT方法用来传输文件: HEAD方法和GET方法一样,只是不返回报文主体部分: DELETE方法用来删除文件: OPTIONS方法用来查询针对请求URI指定的资源支持

HTTP知识普及系列:Web及网络基础

根据web浏览器地址栏中指定的URL,Web浏览器从Web服务器端获取文件资源等信息,从而显示出Web页面. Web使用一种名为HTTP(超文本传输协议)的协议作为规范,完成从客户端到服务器端等一系列运作流程.而协议是指规则的约定. WWW(world wide web)万维网. 3项WWW构建技术: 把SGML(标准通用标记语言)作为页面的文本标记语言的HTML: 作为文档传递协议的HTTP: 指定文档所在地址的URL. 目前主流的HTTP协议版本是1997年1月公布的HTTP/1.1. TC

HTTP知识普及系列:基于HTTP的功能追加协议

SPDY的开发目标旨在解决HTTP的性能瓶颈,缩短Web页面的加载时间. HTTP的瓶颈 一条连接上只可发送一个请求. 请求只能从客户端开始.客户端不可以接收除响应以外的指令. 请求/响应未经压缩就发送.首部信息越多延迟就越大. 发送冗长的首部.每次互相发送相同的首部造成浪费较多. 可任意选择数据压缩格式.非强制压缩发送. Ajax是一种有效利用JavaScript和DOM的操作,以达到局部Web页面替换加载的异步通信手段.(异步加载) Comet,一旦服务器端有内容更新了,Comet不会让请求