《图解HTTP》读书笔记--第8章确认访问用户身份的认证

写在前面：本文仅供个人学习使用，如有侵权，请联系删除。文章中所用图片绝大多数来源于《图解HTTP》，请读者支持原版。

文章目录

8.1何为认证
8.2 BASIC认证
8.3 DIGEST认证
8.4 SSL客户端认证
- 8.4.1 SSL客户端认证的认证步骤
- 8.4.2 SSL客户端认证采用双因素认证
- 8.4.3SSL客户端认证必要的费用
8.5 基于表单的认证
- 8.5.1 认证多半为基于表单认证
- 8.5.2 Session管理及Cookie应用

某些Web页面只想让特定的人浏览，或者干脆仅本人可见。为达到这个目的，必不可少的就是认证功能。下面我们一起来学习一下认证机制。

8.1何为认证

核对的信息有密码、动态令牌、数字证书、生物认证、IC卡等。

HTTP使用的认证方式

HTTP/1.1使用的认证方式如下

BASIC认证（基本认证）
DIGEST认证（摘要认证）
SSL客户端认证
FormBase认证（基于表单认证）

8.2 BASIC认证

BASIC认证（基本认证）是从HTTP/1.0就定义的认证方式。即便是现在仍有一部分的网站会使用这种认证方式。是Web服务器与通信客户端之间进行的认证方式。

BASIC认证虽然采用Base64编码方式，但这不是加密处理。不需要任何附加信息即可对其解码。换言之，由于明文解码后就是用户ID和密码，在HTTP等非加密通信的线路上进行BASIC认证的过程中，如果被人窃听，被盗的可能性极高。

另外，除此之外想再进行一次BASIC认证时，一般的浏览器却无法实现认证注销操作，这也是问题之一。

BASIC认证使用上不够便捷灵活，且达不到多数Web网站期望的安全性等级，因此它并不常用。

8.3 DIGEST认证

为弥补BASIC认证存在的缺点，从HTTP/1.1起就有了DIGEST认证。DIGEST认证同样使用质询/响应的方式(challenge/response)，但不会像BASIC认证那样直接发送明文密码。

所谓质询响应方式是指，一开始一方会先发送认证要求给另一方，接着使用从另一方那接收到的质询码计算生成的响应码。最后将响应码返回给对方进行认证的方式。

因为发送给对方的只是相应摘要及由质询码产生的计算结果，所以比起BASIC认证，密码泄露的可能性就降低了。

DIGEST认证提供了高于 BASIC认证的安全等级，但是和HTTPS的客户端认证相比仍然很弱。DIGEST认证提供方式密码被窃听的保护机制，但并不存在防止用户伪装的保护机制。

DIGEST认证和BASIC认证一样，使用上不那么灵活便捷，且仍然达不到多数Web网站对高度安全等级的追求标准。因此它的适用范围也有所受限。

8.4 SSL客户端认证

从使用用户ID和密码的认证方式方面来讲，只要两者的内容正确，即可认证是本人的行为。但如果用户ID和密码被盗，就很有可能被第三者冒充。利用SSL客户端认证则可以避免该情况的发生。

SSL客户端认证是借由HTTPS的客户端证书完成认证的方式。凭借客户端证书认证，服务器可确认访问是否来自已经登录的客户端。

8.4.1 SSL客户端认证的认证步骤

为达到SSL客户端认证的目的，需要事先将客户端证书分发给客户端，且客户端必须安装此证书。

步骤1：接收到需要认证资源的请求，服务器会发送Certificate Request 报文，要求客户端提供客户端证书。

步骤2：用户选择将发送的客户端证书后，客户端会把客户端证书信息以Client Certificate 报文方式发送给服务器。

步骤3：服务器验证客户端证书，验证通过后方可领取证书内客户端的公开密钥，然后开始HTTPS加密通信。

8.4.2 SSL客户端认证采用双因素认证

在多数情况下，SSL客户端认证不会仅依靠证书完成认证，一般会和基于表单认证组合形成一种双因素认证(Two-factor anthentication) 来使用。所谓双因素认证就是指，认证过程中不仅需要密码这一个因素，还需要申请认证者提供其他持有信息，从而作为另一个因素，与其组合使用的认证方式。

换言之，第一个认证因素的SSL客户端证书用来认证客户端计算机，另一个认证因素的密码则用来确定这是用户本人的行为。

通过双因素认证后，就可以确认是用户本人正在使用匹配正确的计算机访问服务器。

8.4.3SSL客户端认证必要的费用

使用SSL客户端认证需要用到客户端证书。而客户端证书需要支付一定费用才能使用。

这里提到的费用是指，从认证机构购买客户端证书的费用，以及服务器运营者为保证自己搭建的认证机构安全运行所产生的费用。

8.5 基于表单的认证

基于表单的认证方法并不是在HTTP协议中定义的。客户端会向服务器上的Web应用程序发送登录信息(Credential) ，按登录信息的验证结果认证。

多数情况下，输入已事先登录的用户ID和密码等登陆信息后，发送给Web应用程序，基于认证结果来决定认证是否成功。

8.5.1 认证多半为基于表单认证

由于使用上的便利性及安全性问题，HTTP协议标准提供的BASIC 和DIGEST认证几乎不怎么使用。另外，SSL客户端认证虽然具有高度的安全等级，但因为导入及维持费用等问题，还尚未普及。

对于Web网站的认证功能，能够满足其安全使用级别的标准规范并不存在，所以只好使用由Web应用程序各自实现基于表单的认证方式。

8.5.2 Session管理及Cookie应用

基于表单认证的标准规范尚未有定论，一般会使用Cookie来管理Session(会话)。

基于表单认证本身是通过服务器端的Web应用，将客户端发送过来的用户ID和密码与之前登陆过的信息做匹配来进行认证的。

但鉴于HTTP是无状态协议，之前已认证成功的用户状态无法通过协议层面保存下来。即，无法实现状态管理，因此即使当该用户下一次继续访问，也无法区分他与其他用户。于是，我们会使用Cookie来管理Session，以弥补HTTP协议中不存在的状态管理功能。

步骤1：客户端把用户ID和密码等登录信息放入报文的实体部分，通常是以POST方法把请求发送给服务器。而这时，会使用HTTPS通信来进行HTML表单画面的显示和用户输入数据的发送。

步骤2：服务器会发放用以识别用户的Session ID。通过验证从客户端发送过来的登录信息进行身份认证，然后把用户的认证状态与Session ID绑定后记录在服务器端。

步骤3：客户端接收到从服务器端发来的Session ID后，会将其作为Cookie保存在本地。下次向服务器发送请求时，浏览器会自动发送Cookie，所以Session ID也随之发送到服务器。服务器端可通过验证接收到的Session ID识别用户和其认证状态。