背景知识 (1)口令字段信息的处理方法 ① 接收用户提供的口令Dpw ; ② 生成一个盐值:Dsalt=Arandom( ) ; ③ 生成口令信息:s=Agen(Dsalt,Dpw) ; ④ 把口令信息s 和Dsalt 存入数据库的口令字段中。 (2)口令字段信息的生成算法 ① 给口令Dpw 撒盐: ...
分类:
其他好文 时间:
2020-05-02 20:55:17
阅读次数:
55
1 Kerberos概述 1 什么是Kerberos Kerberos是一种计算机网络授权协议,用来在非安全网络中,对个人通信以安全的手段进行身份认证。这个词又指麻省理工学院为这个协议开发的一套计算机软件。软件设计上采用客户端/服务器结构,并且能够进行相互认证,即客户端和服务器端均可对对方进行身份认 ...
分类:
其他好文 时间:
2020-04-22 13:03:17
阅读次数:
96
HTTPS是一种通过计算机网络进行安全通信的传输协议,经由HTTP进行通信,利用SSL/TLS建立全信道,加密数据包。 HTTPS使用的主要目的是提供对网站服务器的身份认证,同时保护交换数据的隐私与完整性。 注意:TLS是ssl的前身。 http与https的区别 https协议需要到ca申请证书, ...
分类:
Web程序 时间:
2020-04-22 10:19:59
阅读次数:
68
为什么要使用JWT?传统的Web应用一般采用Cookies+Session来进行认证。但对于目前越来越多的App、小程序等应用来说,它们对应的服务端一般都是RestFul 类型的无状态的API,再采用这样的的认证方式就不是很方便了。而JWT这种无状态的分布式的身份验证方式恰好符合这样的需求。 HS2 ...
分类:
Web程序 时间:
2020-04-21 20:04:13
阅读次数:
107
背景: SSO统一身份认证,可以节省重复认证开发,也能统一保证安全、可用; 但sso在接入使用时也存在误区,会产生安全风险. 如网站应用先拿到用户口令,再去跟sso交互认证,这个过程中存在风险点 应用网站就能拿到口令 交互中存在被盗取、劫持的风险 sso使用建议 访问网站,先跳转到SSO 认证通过后 ...
分类:
其他好文 时间:
2020-04-21 15:22:16
阅读次数:
63
敏感信息如,图片、视频等要在第三方存储的, 鉴于图片存在第三方服务中,无法对c端用户进行访问图片服务的身份认证,只能基于第三方的 签名 来进行访问控制:1、使用私有bucket保存, 注意一般不要用在url中签名的方式(会留下浏览记录,且在过期时间内任何人均可访问) 2、签名使用在在heder里的方 ...
分类:
其他好文 时间:
2020-04-21 15:22:03
阅读次数:
68
一、回顾 1、技术:加密和解密,服务 2、加密算法和协议 a、对称加密:数据加密(保密性),常用的加密算法为3DES,AES b、公钥加密:身份认证(加密的是特征码),密钥交换(加密的密钥),数据加密(不常用,比对称加密要慢三个数量级,即10的三次方倍),常用的算法为RSA,DSA c、单向加密:数 ...
分类:
系统相关 时间:
2020-04-19 14:40:39
阅读次数:
84
在日常业务场景中,有很多安全性操作例如密码修改、身份认证等等类似的业务,需要先短信验证通过再进行下一步。 一种直接的方案是提供2个接口: 1.SendActiveCodeFor密码修改,发送相应的短信+验证Code。 2.VerifyActiveCodeFor密码修改,参数带入手机接收到的短信验证C ...
分类:
其他好文 时间:
2020-04-18 23:14:23
阅读次数:
66
在上一讲中,我们初步学习了 HTTPS,知道 HTTPS 的安全性是由 TLS 来保证的。 你一定很好奇,它是怎么为 HTTP 增加了机密性、完整性,身份认证和不可否认等特性的呢? 先说说机密性。它是信息安全的基础,缺乏机密性 TLS 就会成为“无水之源”“无根之木”。 实现机密性最常用的手段是“加 ...
分类:
其他好文 时间:
2020-04-18 14:07:16
阅读次数:
91
什么是Zuul? Zuul是Netflix开源的微服务网关。 Zuul可以和Eureka、Ribbon、Hystrix等组件配合使用。 Zuul的核心是一系列的过滤器,可以完成以下功能。 身份认证和安全:识别每个资源的验证请求,并拒绝那些与要求不符的请求。 审查与监控:在边缘位置追踪有意义的数据和统 ...
分类:
编程语言 时间:
2020-04-14 16:42:35
阅读次数:
69