松鼠豪的坚果

现在很多网站都可以用第三方的账号登陆，比如，现在我要登录淘宝买东西，而如果我没有淘宝的账号，我也可以用微博的账号登录，这个微博账号就是第三方账号了。这个三方登录的实现主要包含OpenID和OAuth技术。OpenID强调验证 authentication，验证就是说“我”是不是(微博用户) OAuth强调授权 authorization。，授权是说“淘宝”可不可以用我的微博账号，而可不可...

单点登录(SSO) 英文全称Single Sign On，人话：在多个应用系统中，只需要登录一次，就可以访问其他相互信任的应用系统。如图所示，图中有4个系统，分别是Application1、Application2、Application3、和SSO。Application1、Application2、Application3没有登录模块，而SSO只有登录模块，没有其他的业务模块，当App...

本文是Scrat自己在学习中对相关教程的提炼总结，满满干货，闲话少叙，进入正题~一. 什么是HTTP？HTTP ------ Hyper Text Transfer Protocol（超文本传输协议）的缩写, 用于从服务器传输超文本到本地浏览器的传送协议。。HTTP是一个基于TCP/IP通信协议来传递数据（HTML 文件, 图片文件, 查询结果等）。简单提一下TCP/IP协议族：...

众所周知，WEB服务存在http和https两种通信方式：http默认采用80作为通讯端口，对于传输采用不加密的方式。 https默认采用443，对于传输的数据进行加密传输。目前主流的网站基本上开始默认采用HTTPS作为通信方式，一切的考虑都基于对安全的要求，那么如何对自己的网站配置HTTPS通信，是本文着重介绍的。本文的主要内容包括：https加密传输的原理、 如何申请http...

应用层———消息传输层———数据段（segment）网络层———-分组、数据包（packet）链路层———-帧物理层———-PDU（bit比特）1、报文报文是网络中交换和传输的数据单元，也是网络传输的单元。报文包含了将要发送的完整的数据信息，其长短不需一致。报文在传输过程中会不断地封装成分组、包、帧来传输，封装的方式就是添加一些控制信息组成的首部，那就是报文头。2、分组分组是在网络中传输的...

作者：茶客furu声今天的文章介绍一种适用于restful+json的API认证方法，这个方法是基于jwt，并且加入了一些从oauth2.0借鉴的改良。1. 常见的几种实现认证的方法首先要明白，认证和鉴权是不同的。认证是判定用户的合法性，鉴权是判定用户的权限级别是否可执行后续操作。这里所讲的仅含认证。认证有几种方法： 1.1 basic auth这是http协议中所带带基本...

一、HTTP通信的隐患：通信使用明文，内容可能会被窃听。 不验证通信方的身份，因此可能会遭到窃听。 无法证明报文的完整性，有可能已经遭到篡改。 二、秘钥加密加密解密都会用到秘钥，秘钥加密总体分两类：1.对称秘钥加密：加密解密用同一个秘钥的方式，称为共享秘钥加密（对称秘钥加密）聊胜于无，为啥这么说呢 ?缺点：只要发送秘钥就有被窃听的风险，不发送对方就不能解密，而且如果秘...

互联网上的攻击，大都将web站点作为目标。下面本文讲解一下具体有哪些攻击手段。一、HTTP的劣势HTTP不具备必要的安全功能。就只是一个通用的单纯协议机制，有较多优势，但安全性方面呈劣势。比如SSH协议的远程登录，SSH有协议级别的认证及会话管理等功能。HTTP则没有。web应用中，浏览器接收到的HTTP请求的全部内容，都可以在客户端自由变更，篡改。所以web应用可能会受到与预期数...

一、MD5哈希加密算法 MD5即Message-Digest Algorithm 5（信息-摘要算法 5），用于确保信息传输完整一致。是计算机广泛使用的散列算法之一（又译摘要算法、哈希算法），主流编程语言普遍已有MD5实现。 将数据（如汉字）运算为另一固定长度值，是散列算法的基础原理，MD5的前身有MD2、MD3和MD4。MD5一度被广泛应用于安全领域。但是由于MD5的弱点被不断发现以及...

原文链接：http://www.libuchao.com/2013/07/05/password-salt 为什么要在密码里加点“盐”盐（Salt）在密码学中，是指通过在密码任意固定位置插入特定的字符串，让散列后的结果和使用原始密码的散列结果不相符，这种过程称之为“加盐”。以上这句话是维基百科上对于 Salt 的定义，但是仅凭这句话还是很难理解什么叫 Salt，以及它究竟起...