摘要:
身份认证的核心问题是身份管理,因此我们可以采用单点登录的形式,来解决复杂的身份管理问题。常用的单点登录方式包括CAS流程、JWT、OAuth和OpenID。 通过身份认证,我们只能够确认用户的身份,而对用户的操作和访问行为的把控,就是授权和审计的任务了。 “授权”和“访问控制”其实是同一个概念,都是 阅读全文
摘要:
高效安全的对称加密算法,解决密钥分发难题的加密算法(防止对称密钥泄露),以及提供单向加密的三列算法 问题 现在公司有好几个应用,每一个应用都有独立的账号体系,管理起来失分复杂。而且,内部员工的账号系统也没有建设起来,应该怎么解决这些问题? 身份认证 分为两个部分:对外认证和对内认证 对外认证,其实就 阅读全文
摘要:
非对称加密和对称加密算法的最大区别就是加密和解密使用的密钥是不同的 对称加密具备较高的安全性和性能 在一对多的场景中(如多人登录服务器),存在密钥分发难题的时候,要使用非对称加密 不需要可逆计算的时候(如存储密码),可以使用散列算法 对称加密用AES-CTR(CTR分组计算模式)、非对称加密ECC散 阅读全文
摘要:
机密性、完整性、可用性 简单说,以购买极客时间为例,机密性就是未付费用户无法学习这个专栏,完整性就是这个专栏不会变成别的其他方向的内容,可用性就是作为付费用户,能够随时学习这个专栏。 那么该怎么解决安全问题呢 黄金法则 三部分:认证(Authentication)、授权(Authorization) 阅读全文
摘要:
安全的本质 数据被窃取后,你能意识到问题来源吗 安全是什么 当我们遇到某一个特定的攻击或者安全问题时,往往看到的都是表象的影响,而能否找到根本原因并进行修复,才是安全投入的关键。 任何应用最本质的东西其实都是数据。用户使用产品的过程,就是在和企业进行数据交换的过程。 从另一层面来说,安全的本质就是保 阅读全文
摘要:
安全基础: 系统地讲解安全基础概念、知识框架以及解决安全问题的思路,带你从宏观层次认知安全,能够系统地看待安全问题、评估安全需求,同时也为你的安全学习指明方向。 Web 安全: 结合实际场景讲解 Web 安全中一些经典安全问题的成因,结合当下 App 端各类接口中存在的 Web 漏洞,让你了解常见的 阅读全文