確認訪問用戶身份的認證

1、服務器在驗證訪問者身份時，核對的信息通常包括：密碼、動態令牌（僅限本人持有的設備內顯示的一次性密碼）、數字證書、生物認證、IC卡等。

2、HTTP使用的認證方式：BASIC認證（基本認證）、DIGEST認證（摘要認證）、SSL客戶端認證、FormBase認證（基于表單認證）

3、BASIC認證：從HTTP/1.0就定義的認證方式

在HTTP等非加密通信的線路上進行BASIC認證的過程中，如果被人竊聽，被盜的可能性極高。它并不常用

4、DIGEST認證（摘要認證）

從HTTP/1.1起就有了DIGEST認證，采用質詢/響應的方式進行認證，但不會像BASIC認證那樣直接發送明文密碼

DIGEST認證提供防止密碼被竊聽的保護機制，但并不存在防止用戶偽裝的保護機制。DIGEST認證仍達不到多數web網站對高度安全等級的追求標準。因此它的適用范圍也有所受限。

5、SSL客戶端認證

SSL客戶端認證是借由HTTPS的客戶端證書完成認證的方式，憑借客戶端證書認證，服務器可確認訪問是否來自已登錄的客戶端。

具體步驟如下：1）接收到需要認證資源的請求，服務器會發送Certificate Request報文，要求客戶端提供客戶端證書。2）用戶選擇將發送的客戶端證書后，客戶端會把客戶端證書信息以Client Certificate報文方式發送給服務器。3）服務器驗證客戶端證書，驗證通過后方可領取證書內客戶端的公開密鑰，然后開始HTTPS加密通信。

SSL客戶端認證一般會和基于表單認證組合形成一種雙因素認證。SSL客戶端證書用來認證客戶端計算機，另外一個認證因素的密碼則用來確定這是用戶本人的行為。

6、基于表單認證

基于表單的認證方法并不是HTTP協議中定義的?？蛻舳藭蚍掌魃系膚eb應用程序發送登錄信息，按登錄信息的驗證結果認證。

基于表單認證的標準規范尚未有定論，一般會使用Cookie來管理Session（會話）。

posted on 2018-01-15 16:29 明耀 閱讀(...) 評論(...) 編輯 收藏

轉載于:https://www.cnblogs.com/mingyao123/p/8288641.html

《新程序員》：云原生和全面數字化實踐50位技術專家共同創作，文字、視頻、音頻交互閱讀

總結

以上是生活随笔為你收集整理的确认访问用户身份的认证的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。