(chap8 确认访问用户身份的认证) 基于表单认证
1. 定義
基于表單的認證方法并不是在HTTP協議中定義的。客戶端會向服務器上的Web應用程序發送登錄信息( Credential ),按登錄信息的驗證結果認證。
根據Web應用程序的實際安裝,提供的用戶界面及認證方式也各不相同。
eg. 基于表單認證示例(Google )
多數情況下,輸入已事先登錄的用戶ID(通常是任意字符串或郵件地址)和密碼等登錄信息后,發送給Web應用程序,基于認證結果來決定認證是否成功。
2. 認證多半為基于表單認證
由于使用上的便利性及安全性問題,HTTP協議標準提供的BASIC認證和 DIGEST認證幾乎不怎么使用。另外,SSL客戶端認證雖然具有高度的安全等級,由于導入及費用問題,還尚未普及。
對于Web 網站的認證功能,能夠滿足其安全使用級別的標準規范并不存在,所以只好使用由Web應用程序各自實現基于表單的認證方式。不具備共同標準規范的表單認證,在每個Web 網站上都會有各不相同的實現方式。
3. Session管理及Cookie狀態管理
基于表單認證本身是通過服務器端的Web應用,將客戶端發送過來的用戶ID和密碼與之前登錄過的信息做匹配來進行認證的。
鑒于HTTP是無狀態協議,之前已認證成功的用戶狀態無法通過協議層面保存下來。即,無法實現狀態管理,因此即使當該用戶下一次繼續訪問,也無法區分他與其他的用戶。于是我們會使用Cookie來管理Session來彌補狀態管理功能。
step1. 客戶端把用戶ID和密碼等登錄信息放入報文的實體部分
通常是以 POST方法把請求發送給服務器。而這時,會使用HTTPS通信來進行HTML表單畫面的顯示和用戶輸入數據的發送。
step2. 服務器會發放用以識別用戶的Session ID。
通過驗證從客戶端發送過來的登錄信息進行身份認證,然后把用戶的認證狀態與Session ID綁定后記錄在服務器端。向客戶端返回響應時,會在首部字段Set-Cookie P寫入Session ID (如 PHPSESSID=028a8c…)。
- 把Session ID想象成一種用以區分的等位號。
- 如果 Session ID被第三方盜走,對方就可以偽裝你的身份進行惡意操作了。
- 必須防止 Session ID被盜。為了做到這點,Session ID應使用難以推測的字符串,且服務器端也需要進行有效期的管理,保證其安全性。
另外,為減輕跨站腳本攻擊( XSS)造成的損失,建議事先在Cookie內加上 httponly 屬性。
step3:客戶端接收到從服務器端發來的 Session lID后,會將其作為Cookie保存在本地。下次向服務器發送請水的,瀏覽器會自動發送Cookie,所以 Session ID也隨之發送到服務器。服務器端可通過驗證接收到的 Session ID識別用戶和其認證狀態。
- 不僅基于表單認證的登錄信息及其認證過程都無標準化的方法,服務器端應如何保存用戶提交的密碼等登錄信息也沒有標準化。
- 通常情況下,一種安全的保存方法是:先利用密碼加鹽(Salt)的方式增加額外信息,再使用散列(Hash)函數計算出散列值后保存。
總結
以上是生活随笔為你收集整理的(chap8 确认访问用户身份的认证) 基于表单认证的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: (chap8 确认访问用户身份的认证)
- 下一篇: (chap9 基于HTTP的功能追加协议