Http权威指南(cookie以及web认证机制)
其实对于cookie,想必大家都不陌生,cookie目前主要用于客户端的识别技术。
说到客户端识别技术,就不得不说一个登录态的问题了。登录态顾名思义,用于验证用户的登录与否。
1.登录态
对于PC端网站,一般用户首次注册登录的时候,服务端都会返回一个服务端自定义的cookie(有的时候是
加密的,用于以后的用户识别,以前的一篇博客有提到:Token实现用户认证)
并且,对于服务器的请求,会有一个过滤器,这个过滤器会提取客户端cookie(提取的cookie会有一个域的
限制问题),进而对发起请求的用户身份进行识别。
对于移动端,比如微信小程序,很多时候,小程序发起请求是通过封装request方法,首次授权登录后,服务
端会返回一个authcode(名字随你怎么叫),授权成功,会将这个authcode添加到request的header里面,
之后发起请求的话,服务端会去验证这个header里面的authcode对用户身份进行审核。
2.cookie属性
用于用户识别的cookie都是由服务端发送的,那么这里就有必要说一下,服务端set-cookie时的cookie属性设置
domain="ecojust.com" 该属性含义为以此值结尾的所有站点,都会收到该cookie;
path=/login/ 该属性含义为该路径下的文件的访问设定cookie,要和domain一起使用
Max-Age 设置以秒为单位的cookie生存期(同等于某些版本下的expires)
secure 该属性的作用是,石油网站启用SSL安全连接的时候才会发送cookie
3.基本认证
基本认证是最流行的HTTP认证协议,几乎每个主要客户端和服务器都实现了基本认证机制。
如果服务器配置了访问权限,那么用户访问特定资源的时候,服务器就会返回状态码:401 Authorization Required;
此时屏幕弹窗要求输入用户名密码。用户输入用户名密码之后,浏览器会将用户名和密码连接起来并且进行Base64
编码回送至服务器,这个过程称为质询/响应,涉及到的Http首部如下:
www-Authenticate: Basic realm = 请求的资源域 (质询,服务器发往客户端)
Authorization: Basic base64-username-and-password (响应,客户端发往服务器)
username:password(冒号连接)=====>base-64()(base64编码处理)
4.基本认证的缺陷
说到底基本认证会通过网络发送用户名和密码,但是加密方式过于简单,所以实际上是以明文的方式进行传输的,恶意
的用户分分钟就能对其进行解码,所以在友好的环境下可以通过基本认证来提供便捷的文档访问控制。
5.摘要认证
虽然摘要认证不能满足安全Http事务的很多要求,但是要比基本认证强大很多。
摘要的原理就是客户端、服务端都知道密码,但是传输的时候,服务端验证的时候将传输进来的摘要和服务端生成的摘
要作对比,如果相同,则验证通过。这种单纯的隐藏密码对于别有用心的人来说,还是可以通过重放来进行攻击。
此时,可以通过增加随机数来防止重放攻击:
首先请求服务器资源,服务器401返回一个随机数给客户端;
客户端通过算法(随机数+输入密码+其他数据)生成摘要,并将随机数+其他数据+摘要回送服务端;
服务端拿到数据后,对比算法(随机数+其他数据+文档密码)与摘要是不是相等,相等则通过;
如此一来,每次生成的摘要因为有了随机数,使得每次产生的摘要都会不同,也就不能重放攻击了。
(这里的算法是预先定义好的算法,或者首次请求时服务器放回的算法列表中任选一个)
摘要是一种单向函数(不同于base64加密),它是不可解密的,常见的摘要函数有MD5(报文摘要的第五版)