一、何为认证
核对的信息:
- 密码:只有本人才会知道的字符串信息
- 动态令牌:仅限本人持有设备内显示的一次性密码
- 数字证书:仅限本人(终端)持有的信息
- 生物认证:指纹和虹膜等本人的生理信息
- IC卡等:仅限本人持有的信息
HTTP使用的认证方式:
- BASIC认证(基本认证)
- DIGEST认证(摘要认证)
- SSL客户端认证
- FormBase认证(基于表单认证)
二、BASIC认证:
HTTP/1.0定义的认证方式 是Web服务器与通信客户端之间进行的认证方式
采用Base64编码解码,安全度不高
三、DIGEST认证
同样使用质询/响应的方式,但是不使用明文密码
四、SSL客户端认证
凭借HTTPS客户端证书完成认证
双因素认证:依靠证书和表单认证完成
收费
五、基于表单认证
认证多半为基于表单认证
使用Cookie来管理Session
一种安全的保存方法,先利用给密码加盐(salt)的方式增加额外信息,再使用散列(hash)函数计算出散列值后保存