五种常用的web安全认证方式

https://www.oldboyedu.com/blog/4538.html

HTTP 认证用户身份的四种方法

一、BASIC认证（基本认证）

二、DIGEST认证（摘要认证）

三、SSL客户端认证

四、FormBase认证（基于表单认证）

web安全认证方式

现如今web服务器随处可见，千万台web程序被部署到公网上供用户访问，有些系统只针对指定用户开放，属于安全级别较高的web应用，他们需要有一种认证机制以保护系统资源的安全，今天给大家介绍5种常用的web认证方式，请看下文：

1、Http Basic Auth

这种方式就是访问API的时候，带上访问的username和password，由于信息会暴露出去，所以现在也越来越少用了，现在都用更加安全保密的认证方式，可能某些老的平台还在用。

基础认证，属于HTTP协议标准验证。

客户端的请求需包含Authorization请求头（请求头格式：Basic (用户名:密码)Base64编码）。

若客户端是浏览器，则浏览器会提供一个输入用户名和密码的对话框，用户输入用户名和密码后，浏览器会保存用户名和密码，用于构造Authorization值。当关闭浏览器后，用户名和密码将不再保存。

显然这种认证方式并不安全，因为Base64编码的用户名和密码很容易被解码出来，所以这种认证方式一般要配合SSL使用。

假如用户名：admin，密码：123456，经过Basic (admin:123456)Base64编码的到值：Basic YWRtaW46MTIzNDU2，这就是Authorization请求头的值。

　 2. Digest：摘要认证

摘要认证，属于HTTP协议标准验证。

Digest是Basic的升级版，因为Basic是明文传输密码信息，而Digest是加密后传输，更加安全。

Digest摘要认证步骤：

客户端访问Http资源服务器。由于需要Digest认证，服务器返回了两个重要字段nonce（随机数）和realm。
客户端构造Authorization请求头，值包含username、realm、nouce、uri和response的字段信息。其中，realm和nouce就是第一步返回的值。nouce只能被服务端使用一次。uri(digest-uri)即Request-URI的值，但考虑到经代理转发后Request-URI的值可能被修改、因此实现会复制一份副本保存在uri内。response也可叫做Request-digest，存放经过MD5运算后的密码字符串，形成响应码。
服务器验证包含Authorization值的请求，若验证通过则可访问资源。
Digest认证可以防止密码泄露和请求重放，但没办法防假冒。所以安全级别较低。

Digest和Basic认证一样，每次都会发送Authorization请求头，也就相当于重新构造此值。所以两者易用性都较差。

      2、OAuth2

OAuth是一个开放标准，允许用户让第三方应用访问该用户在某一网站上存储的私密资源，而无需将用户名和密码提供给第三方。

  3、Cookie-Session Auth

Cookie-Session认证机制就是为一次请求认证在服务端创建一个Session对象，同时在客户端的浏览器端创建了一个Cookie对象；通过客户端带上来Cookie对象来与服务器端的session对象匹配来实现状态管理的。默认的，当我们关闭浏览器的时候，cookie会被删除。但可以通过修改cookie 的expire time使cookie在一定时间内有效。

但是这种基于cookie-session的认证使应用本身很难得到扩展，随着不同客户端用户的增加，独立的服务器已无法承载更多的用户，而这时候基于session认证应用的问题就会暴露出来。

表单认证，并不属于HTTP协议标准验证，实现方式多种多样。

最常用的实现方式是cookie+sessiond的配合使用：

浏览器将用户名和密码发送到服务端进行认证服务端认证通过后会将sessionId返回给浏览器浏览器会保存sessionId到浏览器的cookie中下次客户端发送的请求中会包含sessionId值，服务端发现sessionId存在并认证过则会提供资源访问。

4. Bearer：不记名令牌认证

不记名令牌验证（Bearer Token Auth），属于HTTP协议标准验证。它是随着OAuth协议而流行起来的。

Bearer验证的核心是BEARER_TOKEN（或者叫：access_token），它的颁发和验证完全由我们自己的应用程序来控制，而不依赖于系统和Web服务器。

客户端的请求需包含Authorization请求头（请求头格式：Bearer access_token）。

其中比较流行的access_token编码方式是JWT（Json Web Token），JWT特别适用于分布式系统的单点登录（SSO）场景。JWT是一种分布式、无状态认证方式。

       4、Token Auth

基于token的鉴权机制类似于http协议也是无状态的，它不需要在服务端去保留用户的认证信息或者会话信息。这就意味着基于token认证机制的应用不需要去考虑用户在哪一台服务器登录了，这就为应用的扩展提供了便利。

      5、JWT认证机制（Json Web Token）

JWT作为一个开放的标准（RFC 7519），定义了一种简洁的，自包含的方法用于通信双方之间以Json对象的形式安全的传递信息。因为数字签名的存在，这些信息是可信的，JWT可以使用HMAC算法或者是RSA的公私秘钥对进行签名。