《图解HTTP》确认访问用户身份的认证

1、何为认证

　　核对信息：密码、动态令牌、数字证书、生物认证、IC卡

　　HTTP使用的认证方式：BASIC认证（基本认证）、DIGEST认证（摘要认证）、SSL客户端认证、FormBase认证（基于表单认证）

2、BASIC认证

　　是web端与客户端进行认证的方式（不经常使用）

　　将密码以base64编码储存在 authorization 首部字段 （不安全）

　　认证步骤：

　　　　一、客户端请求认证资源，服务器返回401

 　　　  二、客户端接收401，请求服务器（包含用户名和密码）

  　　　 三、服务器确认用户名和密码正确，返回响应

3、DIGEST认证

   　　使用质询响应方法，DIGEST认证内容存放在 Authorization 首部中

　　　认证步骤：

　　　　一、客户端请求认证资源，服务器返回401+ 临时质询码（数字，nonce）

  　　　 二、客户端接收401，请求服务器（包含DIGEST认证信息）

  　　　 三、服务器确认DIGEST认证信息的正确性，返回响应

4、SSL客户端认证

一、SSL客户端认证的认证步骤

　　（1）首先客户端安装客户端认证证书

　　（2）客户端请求认证资源，服务器发送 Certificate Request 报文+提供客户端证书

　　（3）客户端会把证书以 Client Certificate 报文发送服务器

　　（4）服务器验证证书并领取密钥，而后通讯

二、SSL客户端认证采用双因素认证

　　双因素认证：验证时须要密码+其余信息

三、SSL客户端认证必要的费用

　　客户端证书须要必定的费用才能使用

5、基于表单认证

　　认证多半为基于表单认证

　　Session管理及Cookie应用。通常会使用Cookie来管理Session对话

　　认证步骤：

　　　　一、客户端用post方法把用户ID和密码发送给服务器

   　　　二、服务器发放识别用户的SessionID（服务器需作有效期管理，Cookie加上httponly属性）

   　　　三、客户端收到SessionID后，做为Cookies保存在本地。

  　　 　四、下次客户端发请求自动发送Cookie