图解HTTP---第八章

第八章

1. 何为认证：核对的信息通常指以下这些：密码；动态令牌；数字认证；生物认证；IC卡等
2. BASIC认证：是Web服务器与通信客户端之间进行的认证方式。如果想再一次进行BASIC认证，一般的浏览器却无法实现认证注销操作，这也是问题之一。BASIC认证使用尚不够便捷灵活，且达不到多数Web网站期望的安全性等级，因此它并不常用。
3. DIGEST认证：DIGEST认证同样使用质询/响应的方式,但不会像BASIC认证那样直接发送明文密码。
4. 所谓质询响应方式是指一开始 一方会先发送认证要求给另一方，接着使用从另一方发送过过来的质询码计算生成响应码，最后响应码返回给对方进行认证的方式
5. SSL客户端认证：SSL客户端认证是借由HTTPS的客户端证书完成认证的方式，凭借客户端证书认证，服务器可确认访问是否来自已登录的客户端。
6. 为达到SSL客户端认证的目的，需要事先将客户端证书分发给客户端，且客户端必须安装此证书。
7. SSL客户端认证采用双因素认证是指，认证过程不仅需要密码这一个因素，还需要申请认证者提供其他持有信息从而作为另一个因素与其组合使用的认证方式。
8. 换言之，第一个因素SSL客户端证书用来认证客户端计算机，另一个因素的密码是用来确定这是用户本人的行为。
9. SSL客户端认证需要的费用：从认证机构购买客户端证书费用以及服务器运营者为保证自己搭建的认证机构安全运营所产生的费用。
10. 基于表单认证：客户端会向服务器上的Web应用程序发送登录信息，按登录信息的验证结果认证。
11. SSL客户端认证虽然具有高度的安全等级，但因为导入及维持费用的问题，还尚未普及。
12. 对于Web网站的认证功能能够满足其安全使用级别的标准规范并不存在，所以只好使用由Web应用程序各自实现基于表单的认证方式
13. Session管理及Cookie应用：由于HTTP是无状态协议，之前已认证成功的用户状态无法通过协议层面保存下来，因此即使当该用户下一次继续访问，也无法区分它与其他用户，于是我们会使用Cookie管理Session。
14. Cookie会保存在本地。
15. 不仅基于表单认证的登录信息以及认证过程都无标准化的方法，服务器端应如何保存用户提交的密码等登陆信息也没有标准化。
16. 一种安全保存方法是，先利用给密码加盐的方式，增加额外信息，再使用散列函数计算散列之后保存。