HTTP中访问用户身份认证

原创 转载请注明地址

下面的内容都是自己的理解，如有不对之处，欢迎各路大神批评指正！鞠躬！

此处着重介绍SSL身份认证和基于表单的认证方式。

• Basic 认证

  
  

• 关键点：带有WWW-Authenticate首部字段的响应、401状态码以及通过验证需要的信息(userid:password经过base64编码后得到的字符串)
  ps:wso2 esb中发布的服务调用需要通过basic 认证

• DIGEST认证

  
  
  
• SSL客户端认证
  可避免用户id、密码被盗被第三者冒充。
  客户端必须安装事先分发的客户端证书。
  步骤：
  1、服务器发送Certificate Request报文，要求客户端提供客户端证书；
  2、用户选择发送的客户端证书后，将证书信息以Client Certificate的形式发送给服务器；
  3、服务器验证客户端证书通过后可领取客户端的公钥，开始HTTPS加密通信。

ps:通常，SSL客户端会依靠证书+基于表单验证的形式完成认证，即双因素认证；其中，SSL客户端认证用于认证客户端计算机，基于表单的认证用于确定这是用户本人的行为。

• 基于表单的认证
  并非HTTP协议中定义的。
  一般使用cookie管理session