1. 定义

基于表单的认证方法并不是在HTTP协议中定义的。客户端会向服务器上的Web应用程序发送登录信息( Credential ),按登录信息的验证结果认证。

根据Web应用程序的实际安装,提供的用户界面及认证方式也各不相同。
eg. 基于表单认证示例(Google )

多数情况下,输入已事先登录的用户ID(通常是任意字符串或邮件地址)和密码等登录信息后,发送给Web应用程序,基于认证结果来决定认证是否成功。

2. 认证多半为基于表单认证

由于使用上的便利性及安全性问题,HTTP协议标准提供的BASIC认证和 DIGEST认证几乎不怎么使用。另外,SSL客户端认证虽然具有高度的安全等级,由于导入及费用问题,还尚未普及。

对于Web 网站的认证功能,能够满足其安全使用级别的标准规范并不存在,所以只好使用由Web应用程序各自实现基于表单的认证方式。不具备共同标准规范的表单认证,在每个Web 网站上都会有各不相同的实现方式。

3. Session管理及Cookie状态管理

基于表单认证本身是通过服务器端的Web应用,将客户端发送过来的用户ID和密码与之前登录过的信息做匹配来进行认证的。
鉴于HTTP是无状态协议,之前已认证成功的用户状态无法通过协议层面保存下来。即,无法实现状态管理,因此即使当该用户下一次继续访问,也无法区分他与其他的用户。于是我们会使用Cookie来管理Session来弥补状态管理功能。

step1. 客户端把用户ID和密码等登录信息放入报文的实体部分

通常是以 POST方法把请求发送给服务器。而这时,会使用HTTPS通信来进行HTML表单画面的显示和用户输入数据的发送。

step2. 服务器会发放用以识别用户的Session ID。

通过验证从客户端发送过来的登录信息进行身份认证,然后把用户的认证状态与Session ID绑定后记录在服务器端。向客户端返回响应时,会在首部字段Set-Cookie P写入Session ID (如 PHPSESSID=028a8c…)。

  • 把Session ID想象成一种用以区分的等位号。
  • 如果 Session ID被第三方盗走,对方就可以伪装你的身份进行恶意操作了。
  • 必须防止 Session ID被盗。为了做到这点,Session ID应使用难以推测的字符串,且服务器端也需要进行有效期的管理,保证其安全性。

另外,为减轻跨站脚本攻击( XSS)造成的损失,建议事先在Cookie内加上 httponly 属性。

step3:客户端接收到从服务器端发来的 Session lID后,会将其作为Cookie保存在本地。下次向服务器发送请水的,浏览器会自动发送Cookie,所以 Session ID也随之发送到服务器。服务器端可通过验证接收到的 Session ID识别用户和其认证状态。

  • 不仅基于表单认证的登录信息及其认证过程都无标准化的方法,服务器端应如何保存用户提交的密码等登录信息也没有标准化。
  • 通常情况下,一种安全的保存方法是:先利用密码加盐(Salt)的方式增加额外信息,再使用散列(Hash)函数计算出散列值后保存。

(chap8 确认访问用户身份的认证) 基于表单认证相关推荐

  1. (chap8 确认访问用户身份的认证) SSL客户端认证

    SSL客户端认证是借由HTTPS的客户端证书完成的认证方式.凭借客户端整数认证,服务器可确认访问是否来自自己登陆的客户端. 1. 步骤 step1. 接收到需要认证资源的请求,服务器会发送 Certi ...

  2. (chap8 确认访问用户身份的认证) DIGES认证(摘要认证)

    1. 定义 为了弥补BASIC不加密的缺点,DIGEST同样适用质询/响应的方式,但不会像BASIC直接发送明文,给对方的只是相应摘要以及知讯码产生的计算结果,所以比起BASIC认证,密码泄露的可能性 ...

  3. (chap8 确认访问用户身份的认证) BASIC认证(基本认证)

    1. BASIC认证是Web服务器与同喜客户端之间进行的认证方式. 2. 步骤 step1. 当请求的资源需要BASIC认证时,服务器会随状态码401Authorization Required,返回 ...

  4. 确认访问用户身份的认证

    确认访问用户身份的认证 1.服务器在验证访问者身份时,核对的信息通常包括:密码.动态令牌(仅限本人持有的设备内显示的一次性密码).数字证书.生物认证.IC卡等. 2.HTTP使用的认证方式:BASIC ...

  5. 《图解HTTP》读书笔记--第8章 确认访问用户身份的认证

    写在前面:本文仅供个人学习使用,如有侵权,请联系删除.文章中所用图片绝大多数来源于<图解HTTP>,请读者支持原版. 文章目录 8.1何为认证 8.2 BASIC认证 8.3 DIGEST ...

  6. java 发送带basic认证的http post请求实例代码_图解HTTP学习笔记(八)—确认访问用户身份的认证...

    某些 Web 页面只想让特定的人浏览,或者干脆仅本人可见.为达到这个目标,必不可少的就是认证功能. 一.认证 核对登录者本人才知道的信息: 密码.动态令牌.数字证书.生物认证.IC卡等 HTTP 使用 ...

  7. 确认访问用户身份的验证

    核对的信息 ● 密码:只有本人才会知道的字符串信息. ● 动态令牌:仅限本人持有的设备内显示的一次性密码. ● 数字证书:仅限本人(终端)持有的信息. ● 生物认证:指纹和虹膜等本人的生理信息. ● ...

  8. 在ASP.NET中如何用C#.NET实现基于表单的验证

    这篇文章引用到了Microsoft .NET类库中的以下名空间: System.Data.SqlClient System.Web.Security ------------------------- ...

  9. Web应用中基于密码的身份认证机制(表单认证、HTTP认证: Basic、Digest、Mutual)

    Web应用中基于密码的身份认证机制 背景概念 认证(Authentication) 会话管理 1 表单认证(Form-Based Authentication) 1.1 介绍 1.2 流程 2 通用的 ...

最新文章

  1. 2022-2028年中国综艺节目市场深度调研及投资前景预测报告
  2. 深度学习(4)基础4 -- 神经网络架构激活函数过拟合处理
  3. 解决苹果APP审核需要的IPv6地址的问题
  4. 背水一战 Windows 10 (36) - 控件(弹出类): ToolTip, Popup, PopupMenu
  5. 「Android」 详细全面的基于vue2.0Weex接入过程(Android视角)
  6. Spring Boot整合@Cacheable注解使用
  7. python 垃圾回收哪时候执行_Python 中的垃圾回收机制是如何工作的?
  8. 机器学习集成模型ML ens学习——多层模型集成(一)
  9. mysql 备份数据
  10. 双11当天,淘宝搜索如何让CPU使用率降45%,GMV提1% | 论文
  11. 职业学校计算机课评课,中职计算机评课稿
  12. 《python深度学习》笔记(八):回归问题
  13. VMware安装_CentOS 7.x系统
  14. 保存富文本编辑器内容
  15. 由于轮播图片超宽造成的影响
  16. 小试牛刀 - WordCount
  17. C语言中的cbp文件是什么,C语言编程入门——函数(上)
  18. 面向对象的特点?对象模型、动态模型和功能模型3种模型之间的关系?
  19. 抽象代数----轨道G(x)是等价关系
  20. 使用电脑中发现的一些技巧

热门文章

  1. IDEA中实用的快捷方式
  2. 数据结构-深度优先遍历和广度优先遍历(漫画)
  3. 中央空调水系统与制冷系统运行参数
  4. 疫情启示录:控疫复工背后的数据中心价值,市场这样说
  5. 全志linux led驱动程序,芯灵思Sinlinx A64 linux通过设备树写LED驱动(附参考代码,未测试)...
  6. AI之NLP:自然语言处理技术简介(是什么/学什么/怎么用)、常用算法、经典案例之详细攻略(建议收藏)
  7. ML之DL:机器学习领域发展最快的分支【深度学习】的发展史及其重要性节点之详细攻略
  8. TF之DD:实现输出Inception模型内的某个卷积层或者所有卷积层的形状
  9. Deap : 遗传算法算法解决 背包问题
  10. 十进制转换成二进制列表