Безпека і авторизація в протоколі http

Безпека і авторизація в протоколі http

Стандартний механізм заголовків HTTP також представляє ядро ​​стандартного механізму безпеки HTTP.

Безпечна транзакція документа відбувається наступним чином:

Основні з них це:

  • Базова аутентифікація (Basic)
  • Дайджест-аутентифікація (Digest)
  • Аутентифікація по пред'явленню цифрового сертифікату
  • Аутентифікація по Cookies
  • Децентралізована аутентифікація (OpenID, OpenAuth, OAuth)

Зазвичай використовується тільки одна з них - базова (Basic) аутентифікація.

Незважаючи на те що базова аутентифікація HTTP «закодована». вона насправді не є безпечною. оскільки інформація передається у відкритому вигляді (кодування маскує, але реально не приховує ім'я і пароль користувача). Хоча аутентифікація Digest технічно більш захищена, більшість Web-браузерів не підтримують її. а тому її не підтримують і більшість Web-сайтів.

Крім традиційного захисту на базі HTTP, яка реалізована на рівні Web-сервера, безпеку рівня додатків реалізується розробниками додатків. Цей підхід зазвичай використовує cookie-набори для збереження ідентифікації користувача. Ключовий вигодою відмови від застосування HTTP-захисту є те, що це дає можливість розробнику повністю контролювати вигляд і поведінку форми реєстрації користувача.

Одним з головних мінусів децентралізованої аутентифікації (OpenID, OpenAuth, OAuth) є те, що злом дає доступ відразу до багатьох сервісів.

Схожі статті