第八章 确认访问用户身份的认证
某些Web页面只想让特定的人浏览,或者干脆仅让本人可见,为了达到这个目的,必不可少的就是认证功能。
何为认证
- 密码: 只有本人才会知道的字符串信息;
- 动态令牌: 仅限本人持有的设备内显示的一次性密码;
- 数字证书: 仅限本人终端持有的信息;
- 生物认证: 指纹和虹膜等本人的生理信息;
- IC卡等: 仅限本人持有的信息。
HTTP/1.1使用的认证方式
- BASIC认证:基本认证
- DIGEST认证:摘要认证
- SSL客户端认证:
- FormBase认证:基于表单认证
由于使用的便利性和安全性的问题,HTTP协议标准提供的BASIC认证和DIGEST认证几乎不怎么使用,另外SSL客户端认证虽然具有高度的安全等级,但因为导入及维护费用等问题,还尚未普及,认证多为基于表单认证。