web安全基础知识(接上篇文章)
十,HTTP认证——BASIC认证
1,认证过程:
(1)客户端发起HTTP请求,请求的资源是受限资源(登录能够访问)
(2)服务器接收到请求后,先不返回资源,给客户端返回登陆名和密码
(3)客户端收到页面后输入用户名和密码,发送给服务器。服务器返回数据库验证
(4)验证成功后用户能够访问首先资源
2,用途:小型网络认证(如路由器)
3,特色:base64编码后明文传输用户名及口令
4,优势:几乎全部浏览器都支持
5,缺点:安全性无保障
web
十一,HTTP认证——HTTP OAuth
1,认证过程
客户端询问用户是否通过受权,赞成受权后,客户端向第三方服务器请求token,认证服务经过后返回token,接下来的请求的资源会携带token去请求
2,OAuth认证过程
实现功能:豆瓣受权登录页面,第三方登陆OAuth认证。
①用户请求豆瓣网站登陆,登录后用户请求第三方QQ等率,豆瓣执行302跳转到QQ受权网站
②执行完跳转之后至关于用户向受权服务器发送请求,即用户想QQ受权服务器发送请求
③用户输入QQ的用户名和密码,给QQ的受权服务器进行认证。认证成功后执行302网站跳转,跳转回豆瓣网站,此时携带的含有QQ受权信息的token
④在浏览器端感知不到,最终完成用户看起来登陆成功,并进入了豆瓣首页
⑤接下来的请求直接向豆瓣请求,豆瓣每次请求都会向QQ服务器发送请求,携带的就是以前验证成功信息的token,返回200,接下来携带着有用户名、密码等信息的返回请求。登录时发现QQ信息同步到豆瓣网站上。
——这个过程叫作OAuth认证。
数据库
十二,HTTP认证——Cookie Auth
是什么?用户请求网站;网站要求提供用户名和密码认证;认证成功后。网站将返回一个cookie信息;洪武再次登陆,若是没有清楚cookie,则不须要再进行认证。浏览器
十三,SSL/TLS
是什么?用于在两个通讯应用程序之间提供保密性和数据完整性的通讯协议;TLS是SSL的继任者,叫传输层安全安全
十四,HTTP和HTTPS的区别
HTTP明文传输,80端口
HTTPS加密传输,443端口
服务器
十五,TLS握手过程
十六,HTTPS握手过程