- 写在前面
认证机制能够保证特定的资源给特定的(经过认证的)用户访问。从而保证了资源的机密性。
- 正文
1、为什么要认证?认证的媒介是什么?
认证的目的在于确认访问者的身份,保证资源的私有性(只有经过特定认证的用户才能操作特定的资源);
一般会对一下这个方面采用认证:
a、密码
b、动态令牌(如:短信验证码)
c、数字证书(进第三方机构审核过的数字证书)
d、生物认证(如:指纹)
e、IC卡等
2、HTTP使用的认证方式
2.1、BASIC认证(基本认证)
BASIC认证用于安全级别不高,目前使用得相对较少
2.2、DIGEST认证(摘要认证)
2.3、SSL认证
采用SSL客户端认证,能规避用户的密码和ID给窃取后信息被窃取
2.3.1、基于SSL客户端认证的认证步骤
a、客户端必须先安装经过认证的SSL客户端证书
b、当服务器接收到需要认证的请求后,响应告诉客户端需要提供客户端证书
c、客户端接收到响应之后,把证书发送给服务器
d、服务端验证证书的有效性,如果有效则发送公开秘钥给客户端,然后进行HTTPS加密通信
2.3.2、SSL客户端认证采用双因素认证
a、通过SSL客户端认证确认客户端计算机
b、通过表单认证(密码认证)确认操作的用户个人信息
2.3.3、SSL客户端认证是需要支付使用费的
- 交流学习
笔者能力有限。如有纰漏,望斧正。
2017-10-27
于长沙