首页
个人开发
工作相关
搜索
登录
搜索
colo
欲买桂花同载酒
累计撰写
1823
篇文章
累计收到
0
条评论
首页
栏目
首页
个人开发
工作相关
认证授权
2025-12-12
HTTP Basic认证的原理与实现
HTTP Basic认证是一种简单的客户端认证机制:客户端发送未认证请求服务器返回401状态码和WWW-Authenticate: Basic头客户端将用户名密码用冒号拼接后Base64编码,放入Authorization头服务器验证凭据并返回资源或403错误注意:必须配合HTTPS使用,否则凭据易被窃取。
2025年-12月-12日
4 阅读
0 评论
认证授权
2025-12-12
设计安全的OAuth 2.0授权码流程并防御CSRF与授权码注入攻击
安全实现OAuth 2.0授权码流程的核心要点:强制使用state参数并绑定会话防止CSRF攻击采用PKCE(Proof Key for Code Exchange)防御授权码注入攻击使用HTTPS加密所有通信严格验证重定向URI和客户端身份设置短有效期的授权码(≤10分钟)和访问令牌令牌存储使用HttpOnly Cookie或安全内存
2025年-12月-12日
4 阅读
0 评论
认证授权
2025-12-11
简述认证与授权的区别及常见实现方式
认证(Authentication)是验证用户身份的过程,解决"你是谁"的问题;授权(Authorization)是验证用户权限的过程,解决"你能做什么"的问题。常见实现方式:Session-Cookie:服务端存储会话数据Token(如JWT):客户端存储加密令牌
2025年-12月-11日
4 阅读
0 评论
认证授权
2025-12-11
设计一个抵御重放攻击和令牌劫持的OAuth 2.0授权服务器
设计安全OAuth 2.0授权服务器的核心要点:强制使用PKCE(Proof Key for Code Exchange)防止授权码拦截攻击实施mTLS(双向TLS)证书绑定保护令牌传输采用JWT令牌格式并添加jti(JWT ID)和exp(过期时间)声明集成OpenID Connect时使用nonce参数防止重放攻击实现令牌内省端点并记录使用指纹(客户端IP/User-Agent)
2025年-12月-11日
4 阅读
0 评论
认证授权
2025-12-8
设计安全的JWT认证与授权系统
关键设计要点:使用HS256或RS256算法签名防止篡改JWT应包含exp(过期时间)和iat(签发时间)声明敏感数据不存储在JWT payload中采用HTTPS传输防止中间人攻击实现Refresh Token机制延长会话服务端维护Token黑名单应对提前注销
2025年-12月-8日
5 阅读
0 评论
认证授权
