第八章 确认访问用户身份的认证

第八章 确认访问用户身份的认证

8.1 何为认证

• HTTP/1.1使用的认证方式
  • BASIC认证（基本认证）
  • DIGEST认证（基本认证）
  • SSL客户端认证
  • FormBase认证（基于表单认证）

8.2 BASIC认证

• BASIC认证是从HTTP/1.0就定义的认证方式，是Web服务器与通信客户端之间进行的认证方式。

• BASIC认证步骤

  1. 当请求的资源需要BASIC认证时，服务器会返回状态码401 Authorization Required，返回带WWW-Authenticate首部字段的响应。该字段内包含认证的方式（BASIC）及Request-URI安全域字符串（realm）。
  2. 接收到状态码401的客户端为了通过BASIC认证，需要将用户ID及密码发送给服务器。发送的字符串内容是由用户ID和密码构成，两者中间以冒号（：）连接后，再经过Base64编码处理。
     • 假设用户ID为guest，密码是guest，连接起来就会形成guest:guest这样的字符串。然后经过Base64编码，最后的结果即是Z3Vlc3Q6Z3Vlc3Q=。把这串字符串写入首部字段Authorization后，发送请求。
     • 当用户代理为服务器时，用户仅需输入用户ID和密码即可，之后，浏览器会自动完成到Base64编码的转换工作。
  3. 接收到包含首部字段Authorization请求的服务器，会对认证信息的正确性进行验证。验证通过，则返回一条包含Request-URI资源的响应。

• BASIC认证虽然采用Base64编码方式，但这不是加密处理。在HTTP等非加密通信的线路上进行BASIC认证的过程中，如果被人窃听，被盗的可能性极高。

8.3 DIGEST认证

• DIGEST认证使用质询/响应的方式（challenge/response），不会直接发送明文密码。
• 质询/响应
  • 一开始一方会先发送认证要求给另一方，接着使用从另一方那接收到的质询码计算生成响应码。最后将响应码返回给对方进行认证的方式。
  • 因为发送给对方的只是响应摘要及质询码产生的计算结果，所以比起BASIC认证，密码泄露的可能性就降低了。
• DIGEST认证步骤

  1. 请求需认证的资源时，服务器会随着状态码401 Authorization Required，返回带WWW-Authenticate首部字段的响应。该字段内包含质询/响应方式认证所需的临时质询码（随机数，nonce）。

     • 首部字段WWW-Authenticate内必须包含realm和nonce这两个字段的信息。客户端就是依靠向服务器回送这两个值进行认证的。
     • nonce是一种每次随返回的401响应生成的任意随机字符串。该字符串通常推荐由Base64编码的十六进制数的组成形式，但实际内容依赖服务器的具体实现。

  2. 接收到401状态码的客户端，返回的响应中包含DIGEST认证必须的首部字段Authorization信息。

     • 首部字段Authorization内必须包含username，realm，nonce，uri和response的字段信息。其中，realm和nonce就是之前从服务器接收到的响应中的字段。
     • username是realm限定范围内可进行认证的用户名。
     • uri（digest-uri）即Request-URI的值，但考虑到经代理转发后Request-URI的值可能会被修改，因此事先会复制一份保存在uri内。
     • response也叫做Request-Digest，存放经过MD5运算后的密码字符串，形成响应码。

  3. 接收到包含首部字段Authorization请求的服务器，会确认认证信息的正确性。认证通过后则返回包含Request-URI资源的响应。

     • 并且这时会在首部字段Authentication-info写入一些认证成功的相关信息。
     • DIGEST认证提供了高于BASIC认证的安全等级，但是和HTTPS的客户端认证相比仍旧很弱。DIGEST认证提供防止密码被窃听的保护机制，但并不存在防止用户伪装的保护机制。
     • DIGEST认证和BASIC认证一样，使用上不那么便捷灵活。且仍达不到多数Web网站对高度安全等级的追求标准。因此它的适用范围也有所限制。

8.4 SSL客户端认证

• 使用用户ID和密码的认证方式来讲，只要两者的内容正确，即可判断是用户本人，但是如果被第三者冒充。SSL客户端认证可以避免该情况。
• SSL认证是借由HTTPS的客户端证书完成认证的方式。凭借客户端证书认证，服务器可确定访问是否来自己登录的客户端。
• SSL客户端认证步骤
  • 为达到SSL客户端认证的目的，需要事先将客户端证书分发给客户端，且客户端必须安装此证书。
  1. 接收到需要认证资源的请求，服务器会发送Certificate Request报文，要求客户端提供客户端证书。
  2. 用户选择将发送的客户端证书后，客户端会把客户端证书信息以Client Certificate报文方式发送给服务器。
  3. 服务器验证客户端证书验证通过后方可领取证书内客户端的公开密钥，然后开始HTTPS加密通信。
     

8.4.1 SSL客户端认证采用双因素认证

• 多数情况下，SSL客户端认证不会仅依靠证书完成认证，一般会和基于表单认证组合形成一种双因素认证。
• 双因素认证：认证过程中不仅需要密码这一个因素，还需要申请者提供其他持有信息，从而作为另一个因素，与其组合使用的认证方式。

8.5 基于表单认证

• 基于表单认证方法并不是在HTTP协议中定义的。客户端会向服务器上的Web应用程序发送登录信息（Credential），按登录信息的验证结果认证。

8.5.1 多半认证为基于表单认证

• 由于使用上的便利性及安全性问题，HTTP协议标准提供的BASIC认证和DIGEST认证几乎不怎么使用。SSL虽然具有高度的安全等级，但因为导入及维持费用等问题，还尚未普及。

8.5.2 Session管理及Cookie应用

• 基于表单认证本身是通过服务器端的Web应用，将客户端发送过来的用户ID和密码与之前登录过的信息做匹配来进行认证的。
• 但是HTTP是无状态协议，之前已经认证成功的用户状态无法通过协议层面保存下来。即，无法实现状态管理。于是我们会使用Cookie来管理Session，以弥补HTTP协议中不存在的状态管理功能。

Cookie管理Session工作流程

1. 客户端把用户ID和密码等登录信息放入报文的实体部分，通常是以POST方法把请求发送给服务器。而这时，会使用HTTPS通信来进行HTML表单画面的显示和用户输入数据的发送。
2. 服务器会发放用以识别用户Session ID。通过验证从客户端发送过来的登录信息进行身份认证，然后把用户的认证状态与Session ID绑定后记录在服务器端。向客户端返回响应时，会在首部字段Set-Cookie内写入Session ID。（为减轻跨站脚本攻击（XSS）造成的损失，建议事先在Cookie内加上httponly属性）
3. 客户端接收到从服务器端发送来的Session ID后，会将其作为Cookie保存在本地。下次向服务器发送请求时，浏览器会自动发送Cookie，所以Session ID也随之发送到服务器。服务器端可通过验证接收到的Session ID识别用户和其认证状态。