itwxming的博客

前后端交互时不能只将用户信息封装进JWT中，否则token被人截获可以冒用。应该将所有的动态参数也封装进token里去，使之变成动态token，并解析比对token里的参数和获取到的参数的一致性。防止token有效，但参数被篡改！！！（相对彻底解决token被劫持，一个比较简单的解决思路：关于测试报告中第一个垂直越权漏洞，并不是完全像测试报告说的那样。首先，1、api/passwordchec...

原文链接：https://liuyanzhao.com/7569.html1、MD5加盐加密所谓加盐加密，就是在原先密码上加点“盐”然后加密。因为虽然MD5加密是不可逆的，但是别人可以根据你的MD5密码不断比较发现你的原密码，比如你的密码设置得很简单是123456，加密后是e10adc3949ba59abbe56e057f20f883e，一旦数据库泄露，密码丢失，不法分子很容易...

基本概念对称加密：加密和解密用同一份密钥；非对称加密：加密和解密用不同的秘钥，分别是私钥和公钥，这两个密钥是成对出现的，公钥加密过的密文只有对应的私钥能解密；私钥签名过的密文可以通过对应的公钥验签。原则上私钥是不能在网络中传递的。目标场景：甲要给乙发送一段机密信息要保证这次信息传递的机密性、完整性、可信赖性，需要规避以下几条潜在风险：风险一：明文在传递时被截获并读取...

1、Expries:网页的cache过期时间，到指定日期网页cache失效 2、Last-Modified:网页的最新更新时间 3、Cache-Control 缓存控制no-cache:不缓存网页no-store:不缓存网页，如果有则删除之must-revalidate:使之前，服务器响应使用cache生存时间生效...

OAuth是一个关于授权（authorization）的开放网络标准，在全世界得到广泛应用，目前的版本是2.0版。本文对OAuth 2.0的设计思路和运行流程，做一个简明通俗的解释，主要参考材料为RFC 6749。一、应用场景为了理解OAuth的适用场合，让我举一个假设的例子。有一个"云冲印"的网站，可以将用户储存在Google的照片，冲印出来。用户为了使用该服务，必须让"云冲...

OAuth2.0是目前最流行的授权机制，用来授权第三方应用，获取用户数据。这个标准比较抽象，使用了很多术语，初学者不容易理解。其实说起来并不复杂，下面我就通过一个简单的类比，帮助大家轻松理解，OAuth 2.0 到底是什么。一、快递员问题我住在一个大型的居民小区。小区有门禁系统。进入的时候需要输入密码。我经常网购和外卖，每天都有快递员来送货。我必须找到一个办法...

上一篇文章介绍了 OAuth 2.0 是一种授权机制，主要用来颁发令牌（token）。本文接着介绍颁发令牌的实务操作。下面我假定，你已经理解了 OAuth 2.0 的含义和设计思想，否则请先阅读这个系列的上一篇文章。RFC 6749OAuth 2.0 的标准是RFC 6749文件。该文件先解释了 OAuth 是什么。OAuth 引入了一个授权层，用来分离两种不同的角色：客...

这组 OAuth 系列教程，第一篇介绍了基本概念，第二篇介绍了获取令牌的四种方式，今天演示一个实例，如何通过 OAuth 获取 API 数据。很多网站登录时，允许使用第三方网站的身份，这称为"第三方登录"。下面就以 GitHub 为例，写一个最简单的应用，演示第三方登录。一、第三方登录的原理所谓第三方登录，实质就是 OAuth 授权。用户想要登录 A 网站，A 网站让用户提供第...