写在前面
写一篇这样的文章是专门针对客户端认证机制的文章,为了对之前的一些相关的验证机制进行一个总结,对有关的一些授权机制能够更熟悉。在此之前,因为cookie跟session等的问题可能会使得一些授权信息混乱,想根据自己的实际经验跟HTTP权威指南的一些指引下,做一个总结。
客户端验证机制
在HTTP的请求由许多的首部组成,
比如说 reference、host,每一个首部都会包含着一种请求信息。
首部由
key: value
这样的形式组成
在最开始的互联网世界当中,在访问互联网站点的时候第一次访问并没有记住一些数据内容,
这样使得在第二次访问的时候用户需要重新输入一些内容,
这样就会造成许多不便
那么在指定HTTP标准的时候,便想有一种机制
对用户身份进行识别,
在初期有几个识别方案
- ip地址
根据ip地址对客户端进行识别验证显然不是一个好的选择,因为ip地址很容易伪造
比如说我可以通过使用代理去伪造身份,还有另外一个原因就是对于一些网络运营商,往往分配的ip是动态ip,
因此在服务器对客户端验证的时候并不能作为一个唯一的标识,对其进行识别
- reference
用reference能够识别访问来源,但是同样也可以很容易进行伪造,从而使得无法对用户进行有效验证。
假设一种场景,作为一个个人用户,在访问网页的
开通VIP 解锁文章