Tom098的博客

具体可以参考网站：Authorization Code Flow里边介绍的非常详细。1. Oauth2支持多种授权流程，其中的一种是Authorization code Flow，具体见图： 2. Oauth2 的参与方，以及什么时候Client与Resource Owner是同一个对象。具体说一下Resource Server，一直以为Resource Server是那种第三方提供的，可以用于下载用户头像等基础信息的，实际上远不止于此。如果我们开发自己的API应用的话。但是对于前后端分离的项目，前端是SP

token进行用户身份验证的流程：客户端使用用户名和密码请求登录 服务端收到请求，验证用户名和密码 验证成功后，服务端会签发一个token，再把这个token返回给客户端 客户端收到token后可以把它存储起来，比如放到cookie中 客户端每次向服务端请求资源时需要携带服务端签发的token，可以在cookie或者header中携带 服务端收到请求，然后去验证客户端请求里面带着的token，如果验证成功，就向客户端返回请求数据这种基于token的认证方式相比传统的session认证方式更节

CSRF攻击原理及过程如下：1. 用户C打开浏览器，访问受信任网站A，输入用户名和密码请求登录网站A；2.在用户信息通过验证后，网站A产生Cookie信息并返回给浏览器，此时用户登录网站A成功，可以正常发送请求到网站A；3. 用户未退出网站A之前，在同一浏览器中，打开一个TAB页访问网站B；4. 网站B接收到用户请求后，返回一些攻击性代码，并发出一个请求要求访问第三方站点A；5. 浏览器在接收到这些攻击性代码后，根据网站B的请求，在用户不知情的情况下携带Cookie信息，向网站A发出请

加密算法：有对称加密和非对称加密。对称加密就是加密和解密时用的是同样的算法和密钥， 常见的对称加密算法有DES、3DES、Blowfish、IDEA、RC4、RC5、RC6和AES。而非对称加密是加密和解密用的是不同的密钥， 常见算法有RSA等。散列算法：散列(HASH)算法可以将不管多大的原始数据生成定长的数据，而且不同的原始数据一般可以保证经过hash算法计算之后，得到的定长数据不同。根据生成的定长数据(散列值)也无法倒退出原始数据值。主要有以下一些应用场景：1. 在java的HashM