Http协议的身份认证

目录

一、Basic基础认证

二、Digest摘要认证

三、SSL Client认证

四、HTTP 表单认证

HTTP提供了一套标准的身份验证框架：服务器可以用来针对客户端的请求发送质询(challenge)，客户端根据质询提供身份验证凭证。质询与应答的工作流程如下：服务器端向客户端返回401（Unauthorized，未授权）状态码，并在WWW-Authenticate头中添加如何进行验证的信息，其中至少包含有一种质询方式。然后客户端可以在请求中添加Authorization头进行验证，其Value为身份验证的凭证信息。

在HTTP标准验证方案中，我们比较熟悉的是"Basic"和"Digest"，前者将用户名密码使用BASE64编码后作为验证凭证，后者是Basic的升级版，更加安全，因为Basic是明文传输密码信息，而Digest是加密后传输。

一、Basic基础认证

Basic认证是一种较为简单的HTTP认证方式，客户端通过明文（Base64编码格式）传输用户名和密码到服务端进行认证，通常需要配合HTTPS来保证信息传输的安全。

客户端请求需要带Authorization请求头，值为“Basic xxx”，xxx为“用户名:密码”进行Base64编码后生成的值。 若客户端是浏览器，则浏览器会提供一个输入用户名和密码的对话框，用户输入用户名和密码后，浏览器会保存用户名和密码，用于构造Authorization值。当关闭浏览器后，用户名和密码将不再保存。

凭证为“YWxhzGRpbjpvcGVuc2VzYWl1”，是通过将“用户名:密码”格式的字符串经过的Base64编码得到的。而Base64不属于加密范畴，可以被逆向解码，等同于明文，因此Basic传输认证信息是不安全的。

Basic基础认证图示：

缺陷汇总

1.用户名和密码明文（Base64）传输，需要配合HTTPS来保证信息传输的安全。
2.即使密码被强加密，第三方仍可通过加密后的用户名和密码进行重放攻击。
3.没有提供任何针对代理和中间节点的防护措施。
4.假冒服务器很容易骗过认证，诱导用户输入用户名和密码。

二、Digest摘要认证

Digest认证是为了修复基本认证协议的严重缺陷而设计的，秉承“绝不通过明文在网络发送密码”的原则，通过“密码摘要”进行认证，大大提高了安全性。

Digest认证步骤如下：
第一步：客户端访问Http资源服务器。由于需要Digest认证，服务器返回了两个重要字段nonce（随机数）和realm。
第二步：客户端构造Authorization请求头，值包含username、realm、nouce、uri和response的字段信息。其中，realm和nouce就是第一步返回的值。nouce只能被服务端使用一次。uri(digest-uri)即Request-URI的值，但考虑到经代理转发后Request-URI的值可能被修改、因此实现会复制一份副本保存在uri内。response也可叫做Request-digest，存放经过MD5运算后的密码字符串，形成响应码。
第三步：服务器验证包含Authorization值的请求，若验证通过则可访问资源。
Digest认证可以防止密码泄露和请求重放，但没办法防假冒。所以安全级别较低。
Digest和Basic认证一样，每次都会发送Authorization请求头，也就相当于重新构造此值。所以两者易用性都较差。

Digest认证图示：

参考博客：https://www.cnblogs.com/xiaoxiaotank/p/11078571.html

三、SSL Client认证

SSL认证安全级别较高，但需要承担证书费用。SSL认证过程中涉及到一些重要的概念，数字证书机构的公钥、证书的私钥和公钥、非对称算法（配合证书的私钥和公钥使用）、对称密钥、对称算法（配合对称密钥使用）。
大致的认证步骤如下：
第一步：客户端请求服务资源，服务器要求客户端出示数字证书。
第二步：客户端发送数字证书
第三步：服务器通过数字证书机构的公钥验证数字证书的合法性，验证通过后取出证书的公钥。
第四步：服务端随机生成一个随机数即为对称密钥，并使用非对称算法和证书公钥加密。这个加密后的字符串，只有发送的客户端能解。
第五步：客服端使用非对称解密算法和证书私钥获取服务端发送的对称密钥。后续客户端和服务端的请求直接基于对称算法和对称密钥。由于只有客户端和服务端有对称密钥，所以后续发送的请求较安全。
SSL可以防泄漏、假冒、重放，所以在Web系统中得到了广泛的应用。
SSL客户端认证在实际中用得不多，因为一来需要在客户端中安装证书（升级麻烦）、二来需要承担证书费用。

四、HTTP 表单认证

基于表单的认证方式并不存在于HTTP规范。所以实现方式也呈现多样化。表单认证一般都会配合cookie+sessiond的使用，现在绝大多数的Web站点都是使用此认证方式。用户在登录页中填写用户名和密码，服务端认证通过后会将sessionId返回给浏览器端，浏览器会保存sessionId到浏览器的Cookie中。因为Http是无状态的，所以浏览器使用Cookie来保存sessionId。下次客户端发送的请求中会包含sessionId值，服务端发现sessionId存在并认证过则会提供资源访问。