摘要:
基于http协议的api接口对于客户端的身份认证方式以及安全措施 由于http是无状态的,所以正常情况下在浏览器浏览网页,服务器都是通过访问者的cookie(cookie中存储的jsessionid)来辨别客户端的身份的,当客户端进行登录服务器也会将登录信息存放在服务器并与客户端的cookie中的j 阅读全文
摘要:
在前一篇文章《设计安全的账号系统的正确姿势》中,主要提出了一些设计的方法和思路,并没有给出一个更加具体的,可以实施的安全加密方案。经过我仔细的思考并了解了目前一些方案后,我设计了一个自认为还比较安全的安全加密方案。本文主要就是讲述这个方案,非常欢迎和期待有读者一起来讨论。 首先,我们明确一下安全加密 阅读全文
摘要:
引子 最近有个虚拟练习项目,涉及到系统安全保障的设计,于是对安全保障这块做了一些更深入的了解。发现了很多有趣的东西,开阔了眼界。中间查了一些资料,于是我打算重新整理,用更加循序渐进,大家都能懂的方式,说一说如何设计一个安全的系统。 著名的安全事件 首先来看看最近几年比较著名的拖库撞库后密码泄露的事件 阅读全文
摘要:
1.常见攻击手段 2.密码学基础 2.1 HASH 2.2 随机数 2.3 对称加密 2.4 非对称加密 3.身份认证方案 3.1HTTP基本认证 3.1 HMAC 3.2 HTTP摘要认证(Digest access authentication, rfc2069) 3.3 https/tls 3 阅读全文