web安全基礎知識(接上篇文章)
十,HTTP認證——BASIC認證
1,認證過程:
(1)客戶端發起HTTP請求,請求的資源是受限資源(登錄能夠訪問)
(2)服務器接收到請求後,先不返回資源,給客戶端返回登陸名和密碼
(3)客戶端收到頁面後輸入用戶名和密碼,發送給服務器。服務器返回數據庫驗證
(4)驗證成功後用戶能夠訪問首先資源
2,用途:小型網絡認證(如路由器)
3,特色:base64編碼後明文傳輸用戶名及口令
4,優勢:幾乎全部瀏覽器都支持
5,缺點:安全性無保障
web
十一,HTTP認證——HTTP OAuth
1,認證過程
客戶端詢問用戶是否通過受權,贊成受權後,客戶端向第三方服務器請求token,認證服務經過後返回token,接下來的請求的資源會攜帶token去請求
2,OAuth認證過程
實現功能:豆瓣受權登錄頁面,第三方登陸OAuth認證。
①用戶請求豆瓣網站登陸,登錄後用戶請求第三方QQ等率,豆瓣執行302跳轉到QQ受權網站
②執行完跳轉之後至關於用戶向受權服務器發送請求,即用戶想QQ受權服務器發送請求
③用戶輸入QQ的用戶名和密碼,給QQ的受權服務器進行認證。認證成功後執行302網站跳轉,跳轉回豆瓣網站,此時攜帶的含有QQ受權信息的token
④在瀏覽器端感知不到,最終完成用戶看起來登陸成功,並進入了豆瓣首頁
⑤接下來的請求直接向豆瓣請求,豆瓣每次請求都會向QQ服務器發送請求,攜帶的就是以前驗證成功信息的token,返回200,接下來攜帶着有用戶名、密碼等信息的返回請求。登錄時發現QQ信息同步到豆瓣網站上。
——這個過程叫作OAuth認證。
數據庫
十二,HTTP認證——Cookie Auth
是什麼?用戶請求網站;網站要求提供用戶名和密碼認證;認證成功後。網站將返回一個cookie信息;洪武再次登陸,若是沒有清楚cookie,則不須要再進行認證。瀏覽器
十三,SSL/TLS
是什麼?用於在兩個通訊應用程序之間提供保密性和數據完整性的通訊協議;TLS是SSL的繼任者,叫傳輸層安全安全
十四,HTTP和HTTPS的區別
HTTP明文傳輸,80端口
HTTPS加密傳輸,443端口
服務器
十五,TLS握手過程
十六,HTTPS握手過程