日期:2015-12-18 點(diǎn)擊: 關(guān)鍵詞:無(wú)線覆蓋Web認(rèn)證
無(wú)線覆蓋Web認(rèn)證,簡(jiǎn)單的說(shuō)web認(rèn)證就是一個(gè)確定對(duì)方身份的過(guò)程。Web認(rèn)證最常見(jiàn)的方式是通過(guò)用戶名和密碼。
Web認(rèn)證方式——Web認(rèn)證有多種方法:
A. Http協(xié)議內(nèi)的認(rèn)證方法
1. Http Basic Authentication (Http基本認(rèn)證)
HTTP基本認(rèn)證是最簡(jiǎn)單也是曾經(jīng)使用的一種認(rèn)證方式。基本認(rèn)證要求為每一個(gè)保護(hù)域(realm)提供一個(gè)用戶名和密碼進(jìn)行認(rèn)證。
特點(diǎn):
1). Http是無(wú)狀態(tài)的,即使來(lái)自同一個(gè)客戶端,對(duì)同一個(gè)realm內(nèi)資源的每一個(gè)訪問(wèn)還是會(huì)被要求進(jìn)行認(rèn)證。
2). 客戶端會(huì)緩存用戶名和密碼,并和無(wú)線覆蓋認(rèn)證域(authentication realm)一起保存。所以,如果對(duì)同一個(gè)域(realm)的其它資源進(jìn)行訪問(wèn),不需要你重新輸入用戶名和密碼。
3). 登錄信息會(huì)和認(rèn)證域以及服務(wù)器名一起存儲(chǔ),所以可以很好地和其他登錄信息區(qū)分開(kāi)來(lái)。
4). 基本認(rèn)證方式是不安全的,因?yàn)橛脩裘艽a以及內(nèi)容都是以非加密的方式傳輸。
B. Form-based
基于Form的認(rèn)證方式是高度可定制,也應(yīng)該是目前用地最多的一種認(rèn)證方式。
流程簡(jiǎn)介:
1. 客戶端通過(guò)一個(gè)form,把用戶名和密碼post給服務(wù)端。
2. 服務(wù)端通過(guò)一些邏輯來(lái)判斷認(rèn)證是否有效。
3. 如果認(rèn)證成功,服務(wù)器返回一個(gè)cookie(一個(gè)能唯一確認(rèn)客戶端的cookie,比如sessionId),用于客戶端接下來(lái)的訪問(wèn)。如果認(rèn)證失敗,會(huì)提示用戶進(jìn)行重新輸入用戶名密碼再次認(rèn)證。
特點(diǎn):
1). 高度可定制:可以根據(jù)自己的需要來(lái)實(shí)現(xiàn)認(rèn)證邏輯。
2). 服務(wù)器端要有一個(gè)保存客戶端信息的地方,比如session。
3)客戶端要有一個(gè)cookie來(lái)表明自己的身份,一般是username和一個(gè)cookie值(比如sessionId)的組合。
4)客戶端cookie的生命周期和安全性息息相關(guān)。比如現(xiàn)在很多站點(diǎn)都支持“remember me”,其實(shí)就是在服務(wù)器端remember session并在客戶端remember cookie。有些站點(diǎn)為了更好的安全性,用這種方式登錄時(shí),如果要執(zhí)行一些重要的操作比如改無(wú)線覆蓋密碼,會(huì)要求客戶用用戶名和密碼的方式重新登錄。
來(lái)源:互聯(lián)網(wǎng)
企業(yè)通訊