幽雨雨幽

最近在重构公司以前产品的前端代码，摈弃了以前的session-cookie鉴权方式，采用token鉴权，忙里偷闲觉得有必要对几种常见的鉴权方式整理一下。目前我们常用的鉴权有四种：HTTP Basic Authenticationsession-cookieToken 验证OAuth(开放授权)一.HTTP Basic Authentication   这种授权方式是浏览器遵守h...

引言： 本文系《认证鉴权与API权限控制在微服务架构中的设计与实现》系列的第一篇，本系列预计四篇文章讲解微服务下的认证鉴权与API权限控制的实现。1. 背景最近在做权限相关服务的开发，在系统微服务化后，原有的单体应用是基于Session的安全权限方式，不能满足现有的微服务架构的认证与鉴权需求。微服务架构下，一个应用会被拆分成若干个微应用，每个微应用都需要对访问进行鉴权，每个微应用都需要明确...

几种常用的认证机制HTTP Basic AuthHTTP Basic Auth简单点说明就是每次请求API时都提供用户的username和password，简言之，Basic Auth是配合RESTful API 使用的最简单的认证方式，只需提供用户名密码即可，但由于有把用户名密码暴露给第三方客户端的风险，在生产环境下被使用的越来越少。因此，在开发对外开放的RESTful API时，尽量避...

Token 是在服务端产生的，如果前端使用用户名/密码向服务端请求认证，服务端认证成功，那么在服务端会返回 Token 给前端。前端可以在每次请求的时候带上 Token 证明自己的合法地位。不久前，我在前后端分离实践中提到了基于 Token 的认证，现在我们稍稍深入一些。通常情况下，我们在讨论某个技术的时候，都是从问题开始。那么第一个问题：为什么要用 Token？要回答这个问题...

JSON Web Token（JWT）是目前最流行的跨域身份验证解决方案。虫虫今天给大家介绍JWT的原理和用法。1.跨域身份验证Internet服务无法与用户身份验证分开。一般过程如下。1.用户向服务器发送用户名和密码。2.验证服务器后，相关数据（如用户角色，登录时间等）将保存在当前会话中。3.服务器向用户返回session_id，session信息都会写入到用户的Cookie...

互联网繁荣昌盛的今天，离不开核心技术团队的支持。就拿防止非法盗链来说吧，如果任意来源请求都可以盗链自己服务器的资源，那么将会降低企业的行业竞争力，还会导致企业为额外的非法流量买单。就此问题，光网烈火科技部上线了内部的资源鉴权服务器，可有效防止非法用户盗链光网资源，用户可查看演示地址，这种方法不仅适用于压缩包文件下载保护，也适用于音频、视频的有效保护，相比以前的referer防盗技术，此方法更为有效...

配置文件：http://www.cnblogs.com/tinywan/p/5983694.html通过加密后的文件：正确地址：curl -i http://访问的IP地址(这里是直播节点IP地址)/hls/S0000_8.m3u8?key=c7e2d8f498920f1a86e4c95d4a58a27e参数错误地址：curl -i http://访问的IP地址(这里是直播节点IP地...

前言最近工作中频繁和其他部门甚至公司进行接口上的对接，不免接触到林林总总的签名验权算法。其中属HMAC-SHA1签名算法最多，刚开始接触的时候我也觉得有一点懵，慢慢搞清楚了原理，所以在这里跟大家如何理解这种签名算法中涉及到的各种各样的东西。扫盲：首先做个简单的扫盲1、md5（md家族）Message Digest Algorithm 缩写为MD，消息摘要算法，一种被广泛使用的密码散列函...

基于Base64编码的HTTP Basic Authentication由于安全问题，已经不再广泛使用了。在云存储中，数据的安全性一直被广泛关注。亚马逊的AWS S3和Openstack Swift分别采取了不同的算法来对每一个HTTP请求进行鉴权。以下是二者的鉴权过程：一、AWS S3的HTTP请求鉴权流程    AWS采取的鉴权算法类似于HTTP基本认证。我们知道Base64只是对字符串进...