Http权威指南(cookie以及web认证机制)

时间:2022-06-26 02:28:01

其实对于cookie,想必大家都不陌生,cookie目前主要用于客户端的识别技术。

说到客户端识别技术,就不得不说一个登录态的问题了。登录态顾名思义,用于验证用户的登录与否。

1.登录态

对于PC端网站,一般用户首次注册登录的时候,服务端都会返回一个服务端自定义的cookie(有的时候是

加密的,用于以后的用户识别,以前的一篇博客有提到:Token实现用户认证

并且,对于服务器的请求,会有一个过滤器,这个过滤器会提取客户端cookie(提取的cookie会有一个域的

限制问题),进而对发起请求的用户身份进行识别。

对于移动端,比如微信小程序,很多时候,小程序发起请求是通过封装request方法,首次授权登录后,服务

端会返回一个authcode(名字随你怎么叫),授权成功,会将这个authcode添加到request的header里面,

之后发起请求的话,服务端会去验证这个header里面的authcode对用户身份进行审核。

2.cookie属性

用于用户识别的cookie都是由服务端发送的,那么这里就有必要说一下,服务端set-cookie时的cookie属性设置

domain="ecojust.com"  该属性含义为以此值结尾的所有站点,都会收到该cookie;

path=/login/ 该属性含义为该路径下的文件的访问设定cookie,要和domain一起使用

Max-Age 设置以秒为单位的cookie生存期(同等于某些版本下的expires)

secure 该属性的作用是,石油网站启用SSL安全连接的时候才会发送cookie

3.基本认证

基本认证是最流行的HTTP认证协议,几乎每个主要客户端和服务器都实现了基本认证机制。

如果服务器配置了访问权限,那么用户访问特定资源的时候,服务器就会返回状态码:401 Authorization Required;

此时屏幕弹窗要求输入用户名密码。用户输入用户名密码之后,浏览器会将用户名和密码连接起来并且进行Base64

编码回送至服务器,这个过程称为质询/响应,涉及到的Http首部如下:

www-Authenticate: Basic realm = 请求的资源域   (质询,服务器发往客户端)

Authorization: Basic base64-username-and-password  (响应,客户端发往服务器)

username:password(冒号连接)=====>base-64()(base64编码处理)

4.基本认证的缺陷

说到底基本认证会通过网络发送用户名和密码,但是加密方式过于简单,所以实际上是以明文的方式进行传输的,恶意

的用户分分钟就能对其进行解码,所以在友好的环境下可以通过基本认证来提供便捷的文档访问控制。

5.摘要认证

虽然摘要认证不能满足安全Http事务的很多要求,但是要比基本认证强大很多。

摘要的原理就是客户端、服务端都知道密码,但是传输的时候,服务端验证的时候将传输进来的摘要和服务端生成的摘

要作对比,如果相同,则验证通过。这种单纯的隐藏密码对于别有用心的人来说,还是可以通过重放来进行攻击。

此时,可以通过增加随机数来防止重放攻击:

首先请求服务器资源,服务器401返回一个随机数给客户端;

客户端通过算法(随机数+输入密码+其他数据)生成摘要,并将随机数+其他数据+摘要回送服务端;

服务端拿到数据后,对比算法(随机数+其他数据+文档密码)与摘要是不是相等,相等则通过;

如此一来,每次生成的摘要因为有了随机数,使得每次产生的摘要都会不同,也就不能重放攻击了。

(这里的算法是预先定义好的算法,或者首次请求时服务器放回的算法列表中任选一个)

摘要是一种单向函数(不同于base64加密),它是不可解密的,常见的摘要函数有MD5(报文摘要的第五版)