HTTP讀書筆記(五)

                          第八章 HTTP安全

1.HTTP提供了一個原生的質詢/響應框架，簡化對用戶的認證過程。流程是：你請求一個文檔，服務器受到後發現文檔加密，就提出質詢用401的狀態碼回覆，並說明須要用戶名和密碼。客戶端收到後，從新發出請求，但會附加一個Authorization首部用來認證算法。服務端若是驗證成功，返回200 ok 並在Authorization-info首部提供受權會話的附加信息。(這種框架最好指定一個安全域)

2.摘要認證：摘要是對信息主體的濃縮。摘要是一種單向函數，主要用戶將無限的輸入值轉換爲有限的濃縮輸出值。常見的摘要函數MD5，會將任意長度的字節序列轉換爲128的摘要。可能會衝突但，密碼衝突並無任何影響。

3.用隨機數防止重放攻擊，客戶端計算摘要以前要將隨機數綁定在密碼上，就保證每次摘要都不一樣。隨機數是服務端質詢的時候給客戶端的。

4.HTTPS是最流行的HTTP安全形式。使用HTTPS時全部的請求和響應數據在發送到安全網絡以前都要進行加密，提供一個傳輸級的密碼安全層SSL，TLS傳輸層安全是後繼者。

5.數字證書，不過沒有全球標準，大部分用的是X.509 v3證書。

6.若是是HTTPS的url方案，客戶端會打開一條到服務端443端口的鏈接，以二進制的形式與服務器交換一些ssl安全參數附上加密的HTTP內容。若是ssl從80端口到達，web服務器會認爲是錯誤的HTTP請求並關閉鏈接。

7.OpenSSL是SSL和TLS最多見的開源實現。