Web和移动安全之Web 认证

认证

Web和移动平台上的身份验证是一种重要的安全机制，旨在使人类用户能够向Web应用程序、移动设备或移动应用程序声明其身份。身份验证与描述的授权齐头并进。对资源的访问权限的规范。指定的访问权限稍后用于授予或拒绝经过身份验证的用户访问资源的权限。本节不会详细概述身份验证和授权概念（参见身份验证，授权和责任CyBOK知识领域[4]），但将重点介绍与网络和移动平台相关的身份验证机制和技术。

HTTP身份验证

在HTTP上下文中，身份验证通常是指向服务器验证客户端身份的概念，例如，通过要求客户端在请求中提供一些预先建立的机密，例如用户名和密码。本节重点介绍Web上广泛使用的两种身份验证方法：基本HTTP身份验证和更常用的基于表单的HTTP身份验证。

基本HTTP身份验证[52]是一种机制，其结果用于对资源实施访问控制。它不依赖于会话标识或cookie数据。基本HTTP身份验证方案也不要求设置专用登录页面，因为所有主要浏览器都提供集成的登录表单。服务器可以通过发送包含“HTTP401未授权”状态代码和“WWW身份验证：基本”字段的响应标头来触发此身份验证选项。客户端在此表单中输入的凭据与“：”（“用户名：密码”），Base64编码用于传输（“VXNlcm5hbWU6UGFzc3dvcmQK”）组合在一起，并作为授权标头添加到下一个请求（“授权：基本VXNlcm5hbWU6UGFzc3dvcmQK”）。服务器和客户端之间的交换示例如图5所示。基本身份验证方案不安全，因为凭据是在简单的Base64编码之后传输的，这很容易逆转。因此，登录凭据在网络上以纯文本形式传输，这使得攻击者或网络观察者可以轻松窃取凭据。因此，如果没有确保机密性和完整性的其他增强功能（如HTTPS），则不应使用基本HTTP身份验证。

基于表单的HTTP身份验证（其中网站使用表单收集登录凭据）是现代Web和移动应用程序中广泛流行的身份验证形式。对于此方案，尝试访问受限内容的未经身份验证的客户端将显示一个基于HTML的Web表单，该表单提示输入其凭据。然后，客户端将输入的凭据提交到服务器（例如，在POST请求中）。服务器验证表单数据，并在成功验证后对客户端进行身份验证。与基本身份验证类似，如果不受HTTPS保护，则基于表单的身份验证将以纯文本形式公开用户凭据。

移动设备身份验证

移动设备部署了各种身份验证机制来解锁设备、授予用户访问权限并保护其数据免受非法访问。最常见的移动设备身份验证机制是密码、PIN、模式和生物识别功能。

用户可以使用常见的字母数字密码，包括特殊字符。然而，由于移动设备身份验证是一项常见的任务[53]，许多用户倾向于使用数字PIN解锁他们的移动设备。Android设备还支持解锁模式（参见图6）。用户可以从3x3网格中选择解锁图案，而不是选择密码或PIN。

现代移动设备允许用户使用生物识别功能进行身份验证，包括指纹和面部识别。这些身份验证功能依赖于硬件安全原语，例如ARM的TrustZone（参见人为因素CyBOK知识领域[20]）。

原文始发于微信公众号（河南等级保护测评）：Web和移动安全之Web 认证