چندین روش مختلف جهت احراز هویت کاربران وجود دارد که هر کدام از این روش ها دارای ویژگی های متفاوت می باشند. در ادامه به بررسی روش های فوق خواهیم پرداخت.
روش های احراز هویت:
احراز هویت از طریق Authorization header در پروتکل های HTTP/HTTPS
پروتکل های HTTP و HTTPS احراز هویت را توسط فیلد های Authorization و WWW-Authenticate موجود در HTTP Header پشتیبانی می کنند.
یک وب سایت جهت الزامی کردن عملیات احراز هویت بمنظور دسترسی به یک URL، در جواب درخواست یک HTTP 401 Authorization Required را Reply می کند. که به معنای الزامی بودن انجام عملیات تایید اعتیار و احراز هویت توسط کاربر می باشد. در شکل زیر یک HTTP Authentication را در مرورگر گوگل کروم مشاهده می فرمایید.
اگر کاربر عملیات تایید اعتبار را انجام دهد، مرورگر در ئرخواست های بعدی جهت دسترسی به همان صفحه ی وب، اطلاعات تایید اعتبار را خواهد داشت.
احراز هویت از طریق فرم های تعبیه شده در HTML
وب اپلیکیشن ها می توانند عملیات تایید اعتبار کاربران را توسط تعبیه ی Input Tag ها یا همان فیلد های ورودی در یک Form Button ،Text Field ،Check Box در یک صفحه ی Login، انجام دهند.
در شکل زیر یک فرم تایید اعتبار را مشاهده می کنید.
این نوع از احراز هویت قادر به Offloaded شدن در FortiWeb نمی باشد. ولی ویژگی های آن می توانند توسط FortiWeb تحت حفاظت قرار گیرند. به عنوان مثال شما می توانید جهت الزامی کردن Complex Password یک Input Rule ایجاد کنید.
احراز هویت از طریق یک Personal Certificate
به جای وارد کردن نام کاربری و پسورد و یا در کنار وارد کردن نام کاربری و پسورد، کاربران می توانند از Personal Certificate نیز جهت انجام عملیات احراز هویت استفاده کنند. این روش می تواند یک انتخاب مناسب برای سازمان های بزرگ باشد. به عنوان مثال در شرایط زیر:
اگر کاربران از طریق پروتکل HTTPS به وب سایت متصل می شوند، می توانید دستگاه FortiWeb را به گونه ای تنظیم کنید که کاربران در حین عملیات Handshake ملزم به ارایه ی یک Personal Certificate باشند. این مورد Public Key Infrastructure - PKI نیز نامیده می شود.
