Authenticate Là Gì

Qua nội dung bài viết này, người sáng tác hy vọng có thể đem lại tầm nhìn tổng quan liêu về những cách làm đúng đắn web hiện giờ, tự phương thức đơn giản độc nhất là HTTPhường Basic authentication, rồi mang đến cookies và tokens, và sau cùng là signatures và one-time passwords.

Bạn đang xem: Authenticate là gì

HTTP.. Basic authentication

HTTP.. Basic authentication yêu cầu client cung cấp username và password mỗi lần điện thoại tư vấn request.

Đây là giải pháp đúng đắn đơn giản dễ dàng độc nhất vô nhị, ko tận hưởng cookies, sessions… Client buộc phải thêm header Authorization vào toàn bộ các request. Username cùng password không được encrypt cơ mà được kết cấu nhỏng sau:

nối username cùng password theo dạng username:passwordencode chuỗi bên trên với Base64thêm tự khoá Basic

lấy ví dụ như với username john cùng với password secret :

curl --header "Authorization: Basic am9objpzZWNyZXQ=" my-website.comChúng ta hoàn toàn có thể cần sử dụng Chrome nhằm quan liêu sát:

*
*
*
*

AWS Request Signing Flow – source

Bằng cách bên trên, nếu mà transport layer bao gồm bị hachồng thì attacker cũng chỉ có thể phát âm được nội dung của request, chứ đọng quan trọng nào mà vờ vịt là user để gửi request được vì chưng không có private key. Hầu hết các dịch vụ của AWS hồ hết thực hiện một số loại bảo đảm này.

Nhược điểm:

Không thể áp dụng cùng với browser/client, chỉ thực hiện cùng với APIs.One-Time passwords

Thuật toán thù One-Time passwords tạo nên 1 password dùng 1 lần (one-time password) dựa vào khoá kín được sử dụng phổ biến với thời gian bây giờ hoặc 1 cỗ đếm:

Time-based One-time Password Algorithm, dựa vào thời hạn hiện tạiHMAC-based One-time Password Algorithm, nhờ vào cỗ đếm

One-Time passwords hay được vận dụng trong các ứng dụng nên bảo mật nhị lớp: người tiêu dùng nhập username, password sau đó cả VPS và client đã thuộc tạo nên một one-time password.

Xem thêm: Cách Cài Tiếng Việt Cho Outlook 2010, Microsoft Office Language Interface Pack 2010

Nhược điểm:

Nếu khoá kín bị lộ thì attacker sẽ nuốm được one-time password.Client (thường là năng lượng điện thoại) hoàn toàn có thể bị trộm nên khối hệ thống cần có phương pháp để skip one-time password, ví như là rest qua gmail.Cách lựa chọn cách thức xác thực

Nếu mà lại chúng ta chỉ xây đắp web thì cookies và tokens là sàng lọc tương xứng. Với Cookies bạn cần chú ý về tiến công XSRF, còn với JWT thì nên để ý đến tiến công XSS.

Nếu mà lại bạn phải xuất bản cả web với tiện ích thì cần dựng API xác xắn qua token.

Nếu nhiều người đang thi công APIs để người tiêu dùng call đến API của người sử dụng thì nên cần cần sử dụng signatures.