为了确认登陆者具有访问系统的权限,需要核对“登录者本人才知道的信息”、“登陆者被人才会有的信息”。核对的信息通常包括:
- 密码:只有本人才会知道的字符串;
- 动态令牌:仅限本人持有的设备内显示的一次性密码;
- 数字证书:仅限本人(终端)持有的信息;
- 生物认证:指纹和虹膜等本人的生理信息;
- IC卡等:仅限本人持有的信息。
HTTP使用的认证方式如下:
- BASIC认证(基本认证)
- DIGEST认证(摘要认证)
- SSL客户端认证
- FormBase认证(基于表单认证)
1. BASIC认证
BASIC认证的基本步骤如下:
- 当请求资源需要BASIC认证时,服务器会返回状态码401 Authorization Required, 返回带WWW-Authenticate首部字段的响应。该字段内包含认证的方式(BASIC)及请求URI为安全字符串。
- 接收到状态码401的客户端为了通过BASIC认证,需要将用户ID以及密码发送给服务器。发送的字符串内容是由用户ID和密码构成,两者中间以冒号(:)连接后再经过Base64编码处理。
- 接收到包含部首字段Authorization请求的服务器,会对认证信息的正确性进行验证。如果验证通过,则返回包含请求URI的资源响应。
BASIC认证虽然采用Base64编码方式,但这不是加密处理,不需要任何附加信息即可对其解码。
2. DIGEST认证
DIGEST认证弥补了BASIC认证存在的弱点,不会像BASIC认证那样直接发送明文密码。具体认证过程如下:
- 请求需要认证的资源时,服务器会返回状态码401 Authorization Required, 返回带WWW-Authenticate首部字段的响应。该字段内包含认证所需的零时随机质询码(随机数,nonce)。
- 接收到401状态码的客户端,返回的响应中包含DIGEST认证必须的部首字段Authorization信息。
- 接收到包含部首字段Authorization请求的服务器,会对认证信息的正确性进行验证。如果验证通过,则返回包含请求URI的资源响应。
3. SSL客户端认证
SSL客户端认证是借由HTTPS的客户端证书来完成认证的方式,凭借客户端证书认证,服务器可以确认访问是否来自己登陆客户端。具体认证过程如下:
- 接收到需要认证的资源请求,服务器会发送Certificate Request报文,要求客户端提供客户端证书。
- 用户选择将发送的客户端证书后,客户端会把客户端证书信息以Client Certificate报文方式发送给服务器。
- 服务器验证客户端证书验证通过后取出证书内的公开密钥,然后开始HTTPS加密通讯。
4. 基于表单的认证
输入事先登陆的用户ID(通常是任意字符串或者邮件地址)和密码等登陆信息后发送给后台程序,基于认证结果来决定认证是否成功。认证过程如下:
- 客户端将用户ID和密码等信息放入报文实体部分,通常是以POST方法将请求发送给服务器。这时,会使用HTTPS通信来进行HTML表单画面的显示和用户数据的发送。
- 服务器会发放用以识别用户的Session ID。通过验证从客户端送过来的登陆信息进行身份认证,然后将用户认证状态与Session ID绑定后记录在服务器端。
- 客户端接收到从服务器发送来的SessionID后会将其作为Cookie保存在本地。下次服务器请求时,服务器会自动发送Cookie,所以Session ID也随之发送到服务器。服务器通过验证这个ID来管理认证状态。