17 - 04 - 14 Web安全(10)
来源:互联网 发布:淘宝推广大师下载 编辑:程序博客网 时间:2024/05/16 10:11
# SSL客户端认证
从使用用户ID和密码的认证方式方面来讲,只要二者的内容正确,即可认证是本人的行为。
但如果用户ID和密码被盗,就很有可能被第三者冒充。利用SSL客户端认证则可以避免该情况的发生。
SSL客户端认证是借由HTTPS的客户端证书完成认证的方式。凭借客户端证书(在HTTPS一章已讲解)认证,
服务器可确认访问是否来自已登录的客户端。
SSL客户端认证的认证步骤:为达到 SSL 客户端认证的目的,
需要事先将客户端证书分发给客户端,且客户端必须安装此证书。
步骤 1 : 接收到需要认证资源的请求,服务器会发送 Certificate Request报文,要求客户端提供客户端证书。
步骤 2 : 用户选择将发送的客户端证书后,客户端会把客户端证书信息以Client Certificate报文方式发送给服务器。
步骤 3 :服务器验证客户端证书验证通过后方可领取证书内客户端的公开密钥,然后开始HTTPS加密通信。
# SSL 客户端认证采用双因素认证
在多数情况下,SSL客户端认证不会仅依靠证书完成认证,一般会和基于表单认证(稍后讲解)组合形成一种双因素认证
(Two-factor authentication)来使用。所谓双因素认证就是指,认证过程中不仅需要密码这一个因素,
还需要申请认证者提供其他持有信息,从而作为另一个因素,与其组合使用的认证方式。
换言之,第一个认证因素的SSL客户端证书用来认证客户端计算机,另一个认证因素的密码则用来确定这是用户本人的行为。
通过双因素认证后,就可以确认是用户本人正在使用匹配正确的计算机访问服务器。SSL 客户端认证必要的费用
# 使用SSL客户端认证需要用到客户端证书。而客户端证书需要支付一定费用才能使用。
费用指:从认证机构购买客户端证书的费用,以及服务器运营者为保证自己搭建的认证机构安全运营所产生的费用。
平摊到一张证书上,一年费用约几千到几万。服务器运营者也可以自己搭建认证机构,但要维持安全运行就会产生相应的费用。
- 17 - 04 - 14 Web安全(10)
- 17 - 04 - 18 Web安全(14)
- 17 - 04 - 10 Web安全(06)
- 17 - 04 - 17 Web安全(13)
- 17 - 04 - 21 Web安全(17)
- 17 - 04 - 08 Web安全(04)
- 17 - 04 - 05 Web安全(01)
- 17 - 04 - 06 Web安全(02)
- 17 - 04 - 07 Web安全(03)
- 17 - 04 - 09 Web安全(05)
- 17 - 04 - 11 Web安全(07)
- 17 - 04 - 12 Web安全(08)
- 17 - 04 - 13 Web安全(09)
- 17 - 04 - 15 Web安全(11)
- 17 - 04 - 16 Web安全(12)
- 17 - 04 - 19 Web安全(15)
- 17 - 04 - 20 Web安全(16)
- 17 - 04 - 22 Web安全(18)
- 异常类型_异常变量的生命周期
- VI的虚拟编辑-Visual(3)
- js常见问题汇总(不定期更新)
- Android学习-传感器的使用
- op的压摆率和增益带宽积的选择
- 17 - 04 - 14 Web安全(10)
- 删除指定节点的两种方法
- 最优化学习笔记(十八)——拟牛顿法(4)DFP算法
- POJ 2251 Dungeon Master
- 基于Bootstrap的Java开发问题总结
- AngularJS最理想开发工具WebStorm
- LTE基础技术及协议帧结构
- centos7 u盘安装
- 动画 Android