随着网际网络的快速发展,Web生活与人们的日常生活休戚相关。然而网路环境复杂多变,用户的讯息很容易被截获和复制。认证用户身份的合法性,保护用户敏感数据隐秘性,将倍受关注。至今为止,最广泛的Web认证方式仍然是通过帐号-口令来识别用户的身份。分析Web服务中身份认证的特点,在研究当前认证方案的实现机制存在不足的基础上,提出一种基于单向散列函数的Web身份认证方案。该方案有效地解决了传统口令认证或者数字签名在实现Web身份认证中存在的不足,可以抵御重放,窃取,篡改等常见攻击,且成本低,运行效率高,满足Web服务中身份认证安全性和高效性的需要。在口令保护关键环节,设计了一种基于浏览器的安全功能扩展,通过单向散列函数为特定的网域产生唯一的强口令,口令强度高,实现了抗钓鱼攻击,抗字典攻击。该安全功能扩展采用单向散列函数处理用户明文口令,运算以目标域和用户私有口令作为双参数,且安全存储私有参数。通过钓鱼欺骗获取的哈希口令,已经不适应于合法站点。同时,方案满足服务器端不作改变,客户端做到安全,友好,高效,低成本。通用密码问题,钓鱼欺骗等对强服务器端安全认证机制提出了巨大的挑战,以客户端为重心的哈希强口令认证,是一种有效的思路。在实现过程中,描述了浏览器环境中的各类安全问题,并提出了解决方案。