随笔分类 - web知识
摘要:https://www.ruanyifeng.com/blog/2019/04/oauth_design.html https://www.ruanyifeng.com/blog/2019/04/oauth-grant-types.html http://www.ruanyifeng.com/blo
阅读全文
摘要:什么是JWT Json web token(JWT)是一个含签名并携带用户相关信息的JSON串,页面请求校验登录接口时,请求头中携带JWT串到后端服务,后端通过签名加密串匹配校验,保证信息未被篡改,特别适用于分布式站点的单点登陆(SSO)场景。 传统session认证: 1、用户向服务器发送用户名和
阅读全文
摘要:第一方cookie和第三方cookie 第一方cookie:你正在浏览的域所建立的Cookie,比如你正在访问百度的官网baidu.com,那么你的浏览器将会生成一个baidu.com域的Cookie保存起来。 第三方cookie:三方指的是非同站,这个同站和同源协议中的源origin不同,它的要求
阅读全文
摘要:攻击原理 用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A; 在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A;3. 用户未退出网站A之前,在同一浏览器中,打开一个TAB页访问网站B; 网站B接收到用户请求后,返回一些
阅读全文
摘要:认证机制 1. session认证 浏览器第一次发送请求时,服务器自动生成了Session(用户会话所需的属性及配置信息),并且生成了Session ID来唯一标识这个Session,并将其通过响应发送到浏览器。浏览器第二次发送请求会将前一次服务器响应中的Session ID放在请求的Cookie中
阅读全文
