1、服务器在验证访问者身份时,核对的信息通常包括:密码、动态令牌(仅限本人持有的设备内显示的一次性密码)、数字证书、生物认证、IC卡等。
2、HTTP使用的认证方式:BASIC认证(基本认证)、DIGEST认证(摘要认证)、SSL客户端认证、FormBase认证(基于表单认证)
3、BASIC认证:从HTTP/1.0就定义的认证方式
在HTTP等非加密通信的线路上进行BASIC认证的过程中,如果被人窃听,被盗的可能性极高。它并不常用
4、DIGEST认证(摘要认证)
从HTTP/1.1起就有了DIGEST认证,采用质询/响应的方式进行认证,但不会像BASIC认证那样直接发送明文密码
DIGEST认证提供防止密码被窃听的保护机制,但并不存在防止用户伪装的保护机制。DIGEST认证仍达不到多数web网站对高度安全等级的追求标准。因此它的适用范围也有所受限。
5、SSL客户端认证
SSL客户端认证是借由HTTPS的客户端证书完成认证的方式,凭借客户端证书认证,服务器可确认访问是否来自已登录的客户端。
具体步骤如下:1)接收到需要认证资源的请求,服务器会发送Certificate Request报文,要求客户端提供客户端证书。2)用户选择将发送的客户端证书后,客户端会把客户端证书信息以Client Certificate报文方式发送给服务器。3)服务器验证客户端证书,验证通过后方可领取证书内客户端的公开密钥,然后开始HTTPS加密通信。
SSL客户端认证一般会和基于表单认证组合形成一种双因素认证。SSL客户端证书用来认证客户端计算机,另外一个认证因素的密码则用来确定这是用户本人的行为。
6、基于表单认证
基于表单的认证方法并不是HTTP协议中定义的。客户端会向服务器上的web应用程序发送登录信息,按登录信息的验证结果认证。
基于表单认证的标准规范尚未有定论,一般会使用Cookie来管理Session(会话)。
