基本认证:
base-64编码,存在安全问题,容易被加码,假冒服务器很容易骗过基本认证
代理服务器也可以实现认证,可以对访问策略进行集中管理
代理认证和服务器认证的区别:
摘要认证
单向摘要:
一般使用函数加密密码,例如MD5,SHA算法;
问题:摘要同样可以被截取被恶意发送给服务器;所以服务器会放客户端发送ige随机数,附加到密码中。
服务端要验证客户端,需要发送随机数,
预授权:减少请求;同一个摘要新鲜度有限,需要重新请求认证;
预先生成下一个随机数不能用于管道化连接。
缓存
共享的缓存如果收到包含authorization头部的请求和转接请求产生的响应时,除非响应中提供
cache-control:must-revalidate,缓存可以在应答后继请求时使用响应的实体部分,但是首先要用新的请求首部与原始服务器再次进行验证
cache-control:public,在对任意后继任意请求的应答中都可以返回相应的实体部分
https ssl隧道