《HTTP权威指南》– 9.识别和认证
2015-12-10 17:01
411 查看
客户端识别与Cookie机制
承载用户相关信息的HTTP首部From Email地址
User-Agent 浏览器软件
Referer 跳转链接<来自>
Author ziation 用户名、密码
Client-IP IP地址
X-Forwarded-For IP地址
Cookie 服务器产生的ID标签
Cookie类型:
临时cookie 记录了用户访问站点时的设置和偏好,用户退出浏览器时,回话cookie就被删除了。持久cookie 生存时间更长一些,它们存储在硬盘上,浏览器退出,计算机重启时它们仍然存在。不同的浏览器会以不同的方式存储cookie,网景的
Navigator会将cookie存储在一个名为
cookie.txt的文本文件中,例:
domain | allh | path | secure | expires | name | value |
---|---|---|---|---|---|---|
www.example.com | FALSE | / | FALSE | 1136109078 | cc | /us/ |
www.example2.com | FALSE | / | FALSE | 1136109078 | cc | /us/ |
domain : cookie的域;
allh : 是域中的所有主机都获取cookie,还是只有指定了名字的主机获取;
path : 域中与cookie相关的路径前缀
secure : 是否只有在使用SSL连接时蔡发松这个cookie
expires : 过期秒数
name : cookie名字
value : cookie值
基本认证机制:
HTTP通过一组可定制的控制首部,为不同的认证协议提供了一个可扩展框架。认证的四个步骤:请求: 没有认证消息;
质询: 服务器用401状态拒绝了请求,说明需要用户提供用户名和密码;
授权: 客户端重新发出请求 <附加一个 Authorization首部> 用来说明认证算法、用户名和密码;
成功: 如果授权证书是正确的,服务器返回相关资源和一个正常的状态码,对高级认证算法来说,可能还会在Authorization-Info首部附加一些额外信息;
基本认证存在以下安全缺陷:
基本认证会通过网络发送用户名和密码。这些用户名和密码都是以一种很容易的解码形式存的的;
即使密码是以更难解码的方式加密的,第三方用户仍然可以捕获被修改过的用户名和密码;
用户没有良好的安全意识;
基本认证没有提供任何针对代理和作为中间人的中间节点的防护措施;
假冒服务器很容易骗过基本验证;
摘要认证:
摘要认证 是另一种HTTP认证协议。它试图修复基本认证协议的严重缺陷,进行了如下改进:永远不会以明文方式在网络上发送密码;
可以防止恶意用户捕获并重置认证的握手过程;
可以有选择地方式对报文内容的篡改;
防范几种常见的攻击方式;
摘要认证 并不是最安全的协议,但比基本认证要强大很多。传输层安全(Transport Layer Security : TLS)和安全HTTP(HTTPS)协议更安全一些。
摘要认证的握手机制:
服务器会计算出一个随机数;
服务器将这个随机数放在www - Authentiocate质询报文中,与服务器所支持的算法列表一同发往客户端;
客户端选择一个算法,计算出密码和其他数据的摘要;
将摘要放在一条Authorization报文中发回服务器,如果客户端认证服务器,可以发送客户端随机数;
服务器接受摘要,选中的算法以及支撑数据,计算出与客户端相同的摘要;
图灵图书 -- HTTP权威指南
豆瓣读书 -- HTTP权威指南
相关文章推荐
- HTTP
- 使用socket发送http请求(GET/POST)
- 在局域网络内的某台主机用ping命令测试网络连接时发现网络内部的主机都可以连同,而不能与公网连通,问题可能是
- Lucene 简单手记http://www.cnblogs.com/hoojo/archive/2012/09/05/2671678.html
- Java程序避开SSL证书问题访问https网站
- 快速Android开发系列网络篇之Retrofit .
- 卷积神经网络CNN
- ASIHTTPRequest使用教程
- php之curl实现http与https请求的方法
- TCP的拥塞控制
- UDP网络程序设计
- HttpServletRequest对象介绍
- TCP/IP详解卷1 读书笔记:第二十二章 TCP坚持定时器
- Android网络视频播放器DEMO
- 《HTTP权威指南》– 8.网关、Web机器人
- 网络优化及性能工具查看下的---大牛博客
- com.loopj.android:android-async-http 向php后台Post中文造成乱码
- 基于Actor模式的c#网络游戏服务器的实现和Unity游戏客户端的连接
- 深入理解HTTP Session
- 《HTTP权威指南》– 7.缓存