MỖI LẦN VÀO BLOG LÀ 1 LẦN STRESS. DO ĐÚNG MK CŨNG PHẢI CÀI LẠI NHIỀU LẦN.
VẬY HIỆN TẠI CÓ NHỮNG Phương Pháp Xác Thực Người Dùng NÀO VỪA AN TOÀN BẢO MẬT VỪA TIỆN LỢI KHÔNG?
Hiểu đơn giản
Dễ dàng thấy rằng authentication sẽ luôn diễn ra trước authorization. Tức là phải xác định được danh tính của bạn trước khi thực hiện uỷ quyền. Vậy với các ứng dụng web, ta có những phương thức xác nhận danh tính hay uỷ quyền nào.
Để hiểu về cách xác định danh tính với web thì trước tiên phải hiểu giao thức mà các trang web đang dùng. Ở đây chúng là HTTP hay HTTPS, sự khác biệt của hai giao thức này nằm ở việc dữ liệu của HTTPS được bảo mật, tuy nhiên cả hai đều thực hiện request/response giữa client và server một cách độc lập. Tức là khi client thực hiện một request đến server (ở đây có thể là một HTTP POST để đăng ký hay đăng nhập). Server thực hiện tạo tài khoản ở cơ sở dữ liệu sau đấy gửi về response là HTTP Status 200 OK. Tuy nhiên khi đến câu lệnh request tiếp theo thì server không thể nhận biết được, client gửi request này có phải là client trước đó hay không.
Ví dụ ở một trang blog mà người dùng tạo tài khoản sau đấy tiến hành đăng bài, thì server sẽ không xác định được request tạo tài khoản trước đó, và request tạo bài viết hiện tại có phải cùng một người không.
Để giải quyết vấn đề này, HTTP tích hợp xác thực vào trong phần header của mỗi request.
"Authorization: Basic dXNlcm5hbWU6cGFzc3dvcmQ=" your-website.com
Các thông tin đăng nhập của người dùng sẽ được nối lại với nhau và mã hoá (ở đây chính là đoạn dXNlcm5hbWU6cGFzc3dvcmQ), phương pháp mã hoá được dùng ở đây là base64.
WWW-Authenticate có giá trị là Basic.Authorization: Basic dcdvcmQ= vào.You need to login in order to like this post: click here
YOU MIGHT ALSO LIKE
