《HTTP权威指南》– 9.识别和认证

客户端识别与Cookie机制

承载用户相关信息的HTTP首部

• From Email地址
• User-Agent 浏览器软件
• Referer 跳转链接<来自>
• Author ziation 用户名、密码
• Client-IP IP地址
• X-Forwarded-For IP地址
• Cookie 服务器产生的ID标签

Cookie类型：

临时cookie 记录了用户访问站点时的设置和偏好，用户退出浏览器时，回话cookie就被删除了。持久cookie 生存时间更长一些，它们存储在硬盘上，浏览器退出，计算机重启时它们仍然存在。不同的浏览器会以不同的方式 存储cookie，网景的 Navigator 会将cookie存储在一个名为 cookie.txt 的文本文件中，例：

domain	allh	path	secure	expires	name	value
www.example.com	FALSE	/	FALSE	1136109078	cc	/us/
www.example2.com	FALSE	/	FALSE	1136109078	cc	/us/

文本文件中的每一行都代表一个cookie

• domain ： cookie的域；
• allh ： 是域中的所有主机都获取cookie，还是只有指定了名字的主机获取；
• path ： 域中与cookie相关的路径前缀
• secure ： 是否只有在使用SSL连接时蔡发松这个cookie
• expires ： 过期秒数
• name ： cookie名字
• value ： cookie值

基本认证机制：

HTTP通过一组可定制的控制首部，为不同的认证协议提供了一个可扩展框架。认证的四个步骤：

1. 请求： 没有认证消息；
2. 质询： 服务器用401状态拒绝了请求，说明需要用户提供用户名和密码；
3. 授权： 客户端重新发出请求 <附加一个 Authorization首部> 用来说明认证算法、用户名和密码；
4. 成功： 如果授权证书是正确的，服务器返回相关资源和一个正常的状态码，对高级认证算法来说，可能还会在Authorization-Info首部附加一些额外信息；

基本认证存在以下安全缺陷：

1. 基本认证会通过网络发送用户名和密码。这些用户名和密码都是以一种很容易的解码形式存的的；
2. 即使密码是以更难解码的方式加密的，第三方用户仍然可以捕获被修改过的用户名和密码；
3. 用户没有良好的安全意识；
4. 基本认证没有提供任何针对代理和作为中间人的中间节点的防护措施；
5. 假冒服务器很容易骗过基本验证；

摘要认证：

摘要认证 是另一种HTTP认证协议。它试图修复基本认证协议的严重缺陷，进行了如下改进：

1. 永远不会以明文方式在网络上发送密码；
2. 可以防止恶意用户捕获并重置认证的握手过程；
3. 可以有选择地方式对报文内容的篡改；
4. 防范几种常见的攻击方式；

摘要认证 并不是最安全的协议，但比基本认证要强大很多。传输层安全（Transport Layer Security : TLS）和安全HTTP（HTTPS）协议更安全一些。

摘要认证的握手机制：

1. 服务器会计算出一个随机数；
2. 服务器将这个随机数放在www - Authentiocate质询报文中，与服务器所支持的算法列表一同发往客户端；
3. 客户端选择一个算法，计算出密码和其他数据的摘要；
4. 将摘要放在一条Authorization报文中发回服务器，如果客户端认证服务器，可以发送客户端随机数；
5. 服务器接受摘要，选中的算法以及支撑数据，计算出与客户端相同的摘要；

### 图灵图书 -- HTTP权威指南

豆瓣读书 -- HTTP权威指南