首页 > 代码库 > 确保web安全的https、确认访问用户身份的认证(第七章、第八章)

确保web安全的https、确认访问用户身份的认证(第七章、第八章)

第七章 确保web安全的https

1.http的缺点:

(1)通信使用明文,内容可能会被窃听

(2)不验证通信方的身份,因此有可能遭遇伪装

(3)无法证明报文的完整性,因此有可能已遭篡改。

2.通信的加密

(1)http没有加密机制,但可以通过和SSL或TLS的组合使用,加密http的通信内容,与SSL组合的http被称为https

(2)内容的加密,就是将需要传输的内容进行加密,不过这种还是有可能被篡改内容。

3.不验证通信方可能遭遇伪装

SSL不仅提供了加密处理,而且还使用了一种被称为证书的手段,可用于确定方。

3.无法证明报文的完整性、可能已遭篡改

4.一般的网站使用http就够了,不过涉及安全比较高的网站还是需要https,http相对于https的优点就是传输速度更快,

对硬件资源消耗更小,不需要购买安全证书等。

 

第八章 确认访问用户身份的认证

1.密码、动态令牌、数字证书、生物证书、IC卡等。

2.一般是基于表单的认证。

确保web安全的https、确认访问用户身份的认证(第七章、第八章)