概述

幾乎所有的系統(tǒng)都會(huì)面臨安全認(rèn)證相關(guān)的問題，但是安全相關(guān)的問題是一個(gè)很麻煩的事情。因?yàn)樗划a(chǎn)生直接的業(yè)務(wù)價(jià)值，而且處理起來復(fù)雜繁瑣，所以很多時(shí)都容易被忽視。很多后期造成重大的安全隱患，往往都是前期的不重視造成的。但慶幸的是安全問題是普遍存在的，而且大家面臨的問題幾乎相同，所以可以制定行業(yè)標(biāo)準(zhǔn)來規(guī)范處理，甚至是可以抽出專門的基礎(chǔ)設(shè)施（例如：AD、LDAP 等）來專門解決這類共性的問題。總之，關(guān)于安全問題非常復(fù)雜而且麻煩，對于大多數(shù) 99% 的系統(tǒng)來說，不要想著在安全問題領(lǐng)域上搞發(fā)明和創(chuàng)新，容易踩坑。而且行業(yè)的標(biāo)準(zhǔn)解決方案已經(jīng)非常成熟了。經(jīng)過長時(shí)間的檢驗(yàn)。所以在安全領(lǐng)域，踏踏實(shí)實(shí)的遵循規(guī)范和標(biāo)準(zhǔn)就是最好的安全設(shè)計(jì)。

HTTP 認(rèn)證

HTTP 認(rèn)證協(xié)議的最初是在 HTTP/1.1標(biāo)準(zhǔn)中定義的，后續(xù)由 IETF 在 RFC 7235 中進(jìn)行完善。HTTP 協(xié)議的主要涉及兩種的認(rèn)證機(jī)制。

基本認(rèn)證

常見的叫法是 HTTP Basic，是一種對于安全性不高，以演示為目的的簡單的認(rèn)證機(jī)制（例如你家路由器的登錄界面），客戶端用戶名和密碼進(jìn)行 Base64 編碼（注意是編碼，不是加密）后，放入 HTTP 請求的頭中。服務(wù)器在接收到請求后，解碼這個(gè)字段來驗(yàn)證用戶的身份。示例：

GET /some-protected-resource HTTP/1.1
Host: example.com
Authorization: Basic dXNlcjpwYXNzd29yZA==

雖然這種方式簡單，但并不安全，因?yàn)?nbsp;base64 編碼很容易被解碼。建議僅在 HTTPS 協(xié)議下使用，以確保安全性。

摘要認(rèn)證

主要是為了解決 HTTP Basic 的安全問題，但是相對也更復(fù)雜一些，摘要認(rèn)證使用 MD5 哈希函數(shù)對用戶的密碼進(jìn)行加密，并結(jié)合一些鹽值（可選）生成一個(gè)摘要值，然后將這個(gè)值放入請求頭中。即使在傳輸過程中被截獲，攻擊者也無法直接從摘要中還原出用戶的密碼。示例：

GET /dir/index.html HTTP/1.1
Host: example.com
Authorization: Digest username="user", realm="example.com", nonce="dcd98b7102dd2f0e8b11d0f600bfb0c093", uri="/dir/index.html", qop=auth, nc=00000001, cnonce="0a4f113b", response="6629fae49393a05397450978507c4ef1", opaque="5ccc069c403ebaf9f0171e9517f40e41"

補(bǔ)充：另在 RFC 7235 規(guī)范中還定義當(dāng)用戶沒有認(rèn)證訪問服務(wù)資源時(shí)應(yīng)返回 401 Unauthorized 狀態(tài)碼，示例：

HTTP/1.1 401 Unauthorized
WWW-Authenticate: Basic realm="Restricted Area"

這一規(guī)范目前應(yīng)用在所有的身份認(rèn)證流程中，并且沿用至今。

Web 認(rèn)證

表單認(rèn)證

雖然 HTTP 有標(biāo)準(zhǔn)的認(rèn)證協(xié)議，但目前實(shí)際場景中大多應(yīng)用都還是基于表單認(rèn)證實(shí)現(xiàn)，具體步驟是：

1. 前端通過表單收集用戶的賬號和密碼

2. 通過協(xié)商的方式發(fā)送服務(wù)端進(jìn)行驗(yàn)證的方式。

常見的表單認(rèn)證頁面通常如下：

<!DOCTYPE html>
<html>
<head>
    <title>Login Page</title>
</head>
<body>
    <h2>Login Form</h2>
    <form action="/perform_login" method="post">
        <div class="container">
            <label for="username"><b>Username</b></label>
            <input type="text" placeholder="Enter Username" name="username" required>
            
            <label for="password"><b>Password</b></label>
            <input type="password" placeholder="Enter Password" name="password" required>
            
            <button type="submit">Login</button>
        </div>
    </form>
</body>
</html>

為什么表單認(rèn)證會(huì)成為主流 ？主要有以下幾點(diǎn)原因：

• 界面美化：開發(fā)者可以創(chuàng)建定制化的登錄界面，可以與應(yīng)用的整體設(shè)計(jì)風(fēng)格保持一致。而 HTTP 認(rèn)證通常會(huì)彈出一個(gè)很丑的模態(tài)對話框讓用戶輸入憑證。

• 靈活性：可以在表單里面自定義更多的邏輯和流程，比如多因素認(rèn)證、密碼重置、記住我功能等。這些功能對于提高應(yīng)用的安全性和便利性非常重要。

• 安全性：表單認(rèn)證可以更容易地結(jié)合現(xiàn)代的安全實(shí)踐，背后也有 OAuth 2 、Spring Security 等框架的主持。

表單認(rèn)證傳輸內(nèi)容和格式基本都是自定義本沒啥規(guī)范可言。但是在 2019 年之后 web 認(rèn)證開始發(fā)布標(biāo)準(zhǔn)的認(rèn)證協(xié)議。

WebAuthn

WebAuthn 是一種徹底拋棄傳統(tǒng)密碼的認(rèn)證，完全基于生物識別技術(shù)和實(shí)體密鑰作為身份識別的憑證（有興趣的小伙伴可以在 github 開啟 Webauhtn 的 2FA 認(rèn)證體驗(yàn)一下）。在 2019 年 3 月，W3C 正式發(fā)布了 WebAuthn 的第一版規(guī)范。

相比于傳統(tǒng)的密碼，WebAuthn 具有以下優(yōu)勢：

1. 減少密碼泄露：傳統(tǒng)的用戶名和密碼登錄容易受到釣魚攻擊和數(shù)據(jù)泄露的影響。WebAuthn，不依賴于密碼，不存在密碼丟失風(fēng)險(xiǎn)。

2. 提高用戶體驗(yàn)：用戶不需要記住復(fù)雜的密碼，通過使用生物識別等方式可以更快捷、更方便地登錄。

3. 多因素認(rèn)證：WebAuthn 可以作為多因素認(rèn)證過程中的一部分，進(jìn)一步增強(qiáng)安全性。使用生物識別加上硬件密鑰的方式進(jìn)行認(rèn)證，比短信驗(yàn)證碼更安全。

總的來說，WebAuthn 是未來的身份認(rèn)證方式，通過提供一個(gè)更安全、更方便的認(rèn)證方式，目的是替代傳統(tǒng)的基于密碼的登錄方法，從而解決了網(wǎng)絡(luò)安全中的一些長期問題。WebAuthn 目前已經(jīng)得到流程的瀏覽器廠商（Chrome、Firefox、Edge、Safari）、操作系統(tǒng)（WIndows、macOS、Linux）的廣泛支持。

實(shí)現(xiàn)效果

當(dāng)你的應(yīng)用接入 WebAuthn 后，用戶便可以通過生物識別設(shè)備進(jìn)行認(rèn)證，效果如下：

實(shí)現(xiàn)原理

WebAuthn 實(shí)現(xiàn)較為復(fù)雜，這里不做詳細(xì)描述，具體可參看權(quán)威的官方文檔，大概交互過程可以參考以下時(shí)序圖：

登錄流程大致可以分為以下步驟：

1. 用戶訪問登錄頁面，填入用戶名后即可點(diǎn)擊登錄按鈕。

2. 服務(wù)器返回隨機(jī)字符串 Challenge、用戶 UserID。

3. 瀏覽器將 Challenge 和 UserID 轉(zhuǎn)發(fā)給驗(yàn)證器。

4. 驗(yàn)證器提示用戶進(jìn)行認(rèn)證操作。

5. 服務(wù)端接收到瀏覽器轉(zhuǎn)發(fā)來的被私鑰加密的 Challenge，以此前注冊時(shí)存儲(chǔ)的公鑰進(jìn)行解密，如果解密成功則宣告登錄成功。

WebAuthn 采用非對稱加密的公鑰、私鑰替代傳統(tǒng)的密碼，這是非常理想的認(rèn)證方案，私鑰是保密的，只有驗(yàn)證器需要知道它，連用戶本人都不需要知道，也就沒有人為泄漏的可能；

備注：你可以通過訪問 webauthn.me 了解到更多消息的信息

因?yàn)楣娞栁恼虏贿m合加入過多的演示代碼，想要手上體驗(yàn)的可以參考 okta 官方給出基于 Java 17 和 Maven 構(gòu)建的 webauthn 示例程序，如下：

• 訪問地址：https://github.com/oktadev/webauthn-java-example

轉(zhuǎn)自博客園，作者肖衛(wèi)衛(wèi) https://www.cnblogs.com/xiao2shiqi/p/18118300