web安全基础知识(接上篇文章)
十,HTTP认证——BASIC认证
1,认证过程:
(1)客户端发起HTTP请求,请求的资源是受限资源(登陆可以访问)
(2)服务器接收到请求后,先不返回资源,给客户端返回登录名和密码
(3)客户端收到页面后输入用户名和密码,发送给服务器。服务器返回数据库验证
(4)验证成功后用户可以访问首先资源
2,用途:小型网络认证(如路由器)
3,特点:base64编码后明文传输用户名及口令
4,优点:几乎所有浏览器都支持
5,缺点:安全性无保障
十一,HTTP认证——HTTP OAuth
1,认证过程
客户端询问用户是否经过授权,同意授权后,客户端向第三方服务器请求token,认证服务通过后返回token,接下来的请求的资源会携带token去请求
2,OAuth认证过程
实现功能:豆瓣授权登陆页面,第三方登录OAuth认证。
①用户请求豆瓣网站登录,登陆后用户请求第三方QQ等率,豆瓣执行302跳转到QQ授权网站
②执行完跳转以后相当于用户向授权服务器发送请求,即用户想QQ授权服务器发送请求
③用户输入QQ的用户名和密码,给QQ的授权服务器进行认证。认证成功后执行302网站跳转,跳转回豆瓣网站,此时携带的含有QQ授权信息的token
④在浏览器端感知不到,最终完成用户看起来登录成功,并进入了豆瓣首页
⑤接下来的请求直接向豆瓣请求,豆瓣每次请求都会向QQ服务器发送请求,携带的就是之前验证成功信息的token,返回200,接下来携带着有用户名、密码等信息的返回请求。登陆时发现QQ信息同步到豆瓣网站上。
——这个过程叫做OAuth认证。
十二,HTTP认证——Cookie Auth
是什么?用户请求网站;网站要求提供用户名和密码认证;认证成功后。网站将返回一个cookie信息;洪武再次登录,如果没有清楚cookie,则不需要再进行认证。
十三,SSL/TLS
是什么?用于在两个通信应用程序之间提供保密性和数据完整性的通信协议;TLS是SSL的继任者,叫传输层安全
十四,HTTP和HTTPS的区别
HTTP明文传输,80端口
HTTPS加密传输,443端口