1、比如页面只想让特定的人浏览或者仅本人可见,这就是认证功能,这就需要核对登陆者本人的信息。
- 密码、
- 动态令牌(一次性的密码)、
- 数字证书(仅限本人终端持有的信息)、
- 生物认证(指纹或者虹膜本人的生理信息)、
- IC卡等(仅限本人持有的信息)
2、HTTP/1.1使用的认证方式有
- BASIC认证(基本认证)
- DIGEST认证(摘要认证)
- SSL客户端认证
- FormBase认证(基于表单认证)
BASIC认证:
DIGEST认证:
因为只下响应质询码,所以泄露风险减低
SSL客户端认证:
利用HTTPS客户端证书完成认证,只要用户ID和密码正确即可。
需要事先把客户端证书发给客户端
双因素认证:SSL客户端证书认证是客户端计算机,另一个认证因素密码确认是本人行为
客户端认证需要支付费用
基于表单认证:
这种认证方法并不是在HTTP协议里定义的,按登录信息的验证结果认证
认证大多都是基于表单认证
Session管理及Cookie应用
用Cookie来管理Session,以弥补HTTP协议中不存在状态管理的功能。