標題中 “傳統 Web 應用” 這一說法也并沒有什么官方定義，只是為了與“現代化 Web 應用”形成比較而自擬的一個概念。所謂現代化 Web 應用指的是那些基于分布式架構思想設計的，面向多個端提供穩定可靠的高可用服務，并且在需要時能夠橫向擴展的 Web 應用。相對而言，傳統 Web 應用則主要是直接面向 PC 用戶的?Web 應用程序，采用單體架構較多，也可能在內部采用 SOA 的分布式運算技術。

一直以來，傳統 Web 應用為構成互聯網發揮了重要作用。因此傳統 Web 應用中的身份驗證技術經過了幾代的發展，已經解決了不少實際問題，并最終沉淀了一些實踐模式。

安全議題不容忽視

在講述多種身份鑒權技術之前，要強調一點：在構建互聯網 Web 應用過程中，無論使用哪種技術，在傳輸用戶名和密碼時，請一定要采用安全連接。因為無論采用何種鑒權模型，都無法保護用戶憑據在傳輸過程中不被竊取。

Basic 和 Digest 鑒權

基于 HTTP 的 Web 應用離不開 HTTP 本身的安全特性中關于身份鑒權的部分。雖然 HTTP 標準定義了好幾種鑒權方式，但真正供 Web 應用開發者選擇的并不多，這里簡要回顧一下曾經被廣泛運用過的 Basic 和 Digest 鑒權。

不知道讀者是否熟悉一種最直接向服務器提供身份的方式，即在 URL 中直接寫上用戶名和密碼：

http://user:passwd@www.server.com/index.html

這就是 Basic 鑒權的一種形式。

Basic 和 Digest 是通過在 HTTP 請求頭中直接包含用戶名和密碼，或者它們的哈希值來向服務器傳輸用戶憑據的方法。Basic 鑒權直接在每個請求請求的頭部或 URL 中包含明文的用戶名或密碼，或者經過 Base64 編碼過的用戶名或密碼；而 Digest 則會使用服務器返回的隨機值，對用戶名和密碼拼裝后，使用多次 MD5 哈希處理后再向服務器傳輸。服務器在處理每個請求之前，讀取收到的憑據，并鑒定用戶的身份。

Basic 和 Digest 鑒權有一系列的缺陷。它們需要在每個請求中提供憑據，因此提供“記住登錄狀態”功能的網站中，不得不將用戶憑據緩存在瀏覽器中，增加了用戶的安全風險。Basic 鑒權基本不對用戶名和密碼等敏感信息進行預處理，所以只適合于較安全的安全環境，如通過 HTTPS 安全連接傳輸，或者局域網?？雌饋砀踩?Digest 在非安全連接傳輸過程中，也無法抵御中間人通過篡改響應來要求客戶端降級為 Basic 鑒權的攻擊。Digest 鑒權還有一個缺陷：由于在服務器端需要核對收到的、由客戶端經過多次 MD5 哈希值的合法性，需要使用原始密碼做相同的運算，這讓服務器無法在存儲密碼之前對其進行不可逆的加密。Basic 和 Digest 鑒權的缺陷決定了它們不可能在互聯網 Web 應用中被大量采用。

簡單實用的登錄技術

對于互聯網 Web 應用來說，不采用 Basic 或 Digest 鑒權的理由主要有兩個：

1. 不能接受在每個請求中發送用戶名和密碼憑據
2. 需要在服務器端對密碼進行不可逆的加密

因此，互聯網 Web 應用開發已經形成了一個基本的實踐模式，能夠在服務端對密碼強加密之后存儲，并且盡量減少鑒權過程中對憑據的傳輸。其過程如下圖所示：

基于 Cookie 和 Session ?的鑒權過程

這一過程的原理很簡單，專門發送一個鑒權請求，只在這個請求中包含原始用戶名和密碼憑據，經服務器驗證合法之后，由服務器發給一個會話標識（Session ID），客戶端將會話標識存儲在 Cookie 中，服務器記錄會話標識與經過驗證的用戶的對應關系；后續客戶端使用會話標識、而不是原始憑據去與服務器交互，服務器讀取到會話標識后從自身的會話存儲中讀取已在第一個鑒權請求中驗證過的用戶身份。為了保護用戶的原始憑據在傳輸中的安全，只需要為第一個鑒權請求構建安全連接支持。

服務端的代碼包含首次鑒權和后續檢查并授權訪問的過程：

IUser user;
if( validateLogin( nameFromReq, pwdFromReq, out user?)){
? ? Session["CurrentUser"] = user;
}

（首次鑒權）

IUser user = Session["CurrentUser"] as IUser;
if(?user == null ){
? ? Response.Redirect( "/login?return_uri=" + Request.Url.ToString() );
? ? return;
}

（后續檢查并拒絕未識別的用戶）

類似這樣的技術簡易方便，容易操作，因此大量被運用于很多互聯網 Web 應用中。它在客戶端和傳輸憑據過程中幾乎沒有做特殊處理，所以在這兩個環節尤其要注意對用戶憑據的保護。不過，隨著我們對系統的要求越來越復雜，這樣簡易的實現方式也有一些明顯的不足。比如，如果不加以封裝，很容易出現在服務器應用程序代碼中出現大量對用戶身份的重復檢查、錯誤的重定向等；不過最明顯的問題可能是對服務器會話存儲的依賴，服務器程序的會話存儲往往在服務器程序重啟之后丟失，因此可能會導致用戶突然被登出的情況。雖然可以引入單獨的會話存儲程序來避免這類問題，但引入一個新的中間件就會增加系統的復雜性。

傳統 Web 應用中身份驗證最佳實踐

上文提到的簡單實用的登錄技術已經可以幫助建立對用戶身份驗證的基本圖景，在一些簡單的應用場景中已經足夠滿足需求了。然而，用戶鑒權就是那種“你可以有很多種方法，就是不怎么優雅” 的問題。

最佳實踐指的是那些經過了大量驗證，被證明有用的方法。而用戶鑒權的最佳實踐就是使用自包含的、含有加密內容的 Cookie 作為替代憑據。其鑒權過程與上文所提到基于會話標識的技術沒有什么區別，而主要區別在于不再頒發會話標識，取而代之的是一個代表身份的、經過加密的?“身份 Cookie”。

1. 只在鑒權請求中發送一次用戶名和密碼憑據
2. 成功憑據之后，由服務器生成代表用戶身份的?Cookie，發送給客戶端
3. 客戶端在后續請求中攜帶上一步中收到的 “身份 Cookie”
4. 服務器解密"身份 Cookie"，并對需要訪問的資源予以授權

這樣，我們消除了對服務器會話存儲的依賴，Cookie 本身就有有效期的概念，因此順便能夠輕松提供“記住登錄狀態”的功能。

另外，由于解密 Cookie 既而檢查用戶身份的操作相對繁瑣，迫使工程師不得不考慮對其抽取專門的服務，最終采用了面向切面的模式對身份驗證的過程進行了封裝，而開發時只需要使用一些特性標注（Attribute Annotation）對特定資源予以標記即可輕松完成身份驗證預處理。

傳統 Web 應用中的單點登錄

單點登錄的需求在向用戶提供多種服務的企業普遍存在，出發點是希望用戶在一個站點中登錄之后，在其他兄弟站點中就不需要再次登錄。

如果多個子站所在頂級域名一致，基于上文所述的實踐，可以基于 Cookie 共享實現最簡單的單點登錄：在多個子站中使用相同的加密、解密配置，并且在用戶登錄成功后設置身份 Cookie 時將 domain 值設置為頂級域名即可。這樣，只要在其中一個網站登錄，其身份 Cookie 將在用戶訪問其他子站時也一起帶上。不過實際情況中，這個方案的應用場景很有限，畢竟各個子站使用的用戶數據模型可能不完全一致，而加密密鑰多處共享也增加了服務器應用程序的安全風險。

對于單點登錄需求來說，域名相同與否并不是最大的挑戰，集成登錄系統對各個子站點的系統在設計上的影響才是。我們希望便利用戶的同時，也期待各個子系統仍擁有獨立用戶身份、獨立管理和運維的靈活性。因此我們引入獨立的鑒權子站點。當用戶到達業務站點?A 時，被重定向到鑒權站點；登錄成功之后，用戶被重定向回到業務站點 A、同時附加一個指示“已有用戶登錄”的令牌串——此時業務站點 A 使用令牌串，在服務器端從鑒權子站點查詢并記錄當前已登錄的用戶。當用戶到達業務站點?B 時，執行相同流程。由于已有用戶登錄，所以用戶登錄的過程會被自動省略。

這樣的單點登錄系統能夠較好地解決在多個站點中共享用戶登錄狀態的需求。不過，如果在編程實踐過程中略有差池，就會讓用戶陷入巨大的安全風險中。例如，在上述重定向過程中，一旦鑒權系統未能驗證返回 URL 的合法性，就容易導致用戶被釣魚網站利用。在傳統 Web 應用開發實踐中，被廣泛部署的身份驗證體系是比較重量級的?WS-Federation 和相對輕量級的?OpenID 等技術。

總結

本文簡要總結了傳統 Web 應用中被廣泛使用的幾種典型的用戶登錄時的鑒權處理流程。總體來說，在單體 Web 應用中，身份驗證過程并不復雜，只要稍加管理，可以較輕松地解決用戶鑒權的問題。但在傳統 Web 應用中，為了解決單點登錄的需求，人們也嘗試了多種方式，最終仍然只有使用一些較復雜的方案才能較好地解決問題。

在現代化 Web 應用中，圍繞登錄這一需求，儼然已經衍生出了一個新的工程?！暗卿浌こ獭?并不簡單，在后續篇目中將會介紹現代化 Web 應用的典型需求及解決方法。

原文地址：http://www.jianshu.com/p/6ca51a8d66bd

---

.NET社區新聞，深度好文，微信中搜索dotNET跨平臺或掃描二維碼關注

總結

以上是生活随笔為你收集整理的登录工程：传统 Web 应用中的身份验证技术的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。