确认访问用户身份的认证

1、比如页面只想让特定的人浏览或者仅本人可见，这就是认证功能，这就需要核对登陆者本人的信息。

•        密码、
•        动态令牌（一次性的密码）、
•        数字证书（仅限本人终端持有的信息）、
•        生物认证（指纹或者虹膜本人的生理信息）、
•        IC卡等（仅限本人持有的信息）

2、HTTP/1.1使用的认证方式有

• BASIC认证（基本认证）
• DIGEST认证（摘要认证）
• SSL客户端认证
• FormBase认证（基于表单认证）

BASIC认证：

   

DIGEST认证：

   

　　因为只下响应质询码，所以泄露风险减低

SSL客户端认证：

       利用HTTPS客户端证书完成认证，只要用户ID和密码正确即可。

       需要事先把客户端证书发给客户端

       双因素认证：SSL客户端证书认证是客户端计算机，另一个认证因素密码确认是本人行为

       客户端认证需要支付费用

基于表单认证：

       这种认证方法并不是在HTTP协议里定义的，按登录信息的验证结果认证

       认证大多都是基于表单认证

       Session管理及Cookie应用

       用Cookie来管理Session，以弥补HTTP协议中不存在状态管理的功能。