登录接鉴权
用户名密码=>客户端=>/login=>服务端=>比对数据库=>数据库返回数据=>服务端=>返回数据=>给客户端
鉴权
基础鉴权,session/cookie,JWT,Oauth
算法加密
Base64,MD5/SHA-1,DES/AES ,RSA/ECC
HTTPS
SSL,HTTP劫持,数据篡改,敏感信息,中间人
常见的鉴权方式
Session
Cookie 优点:较易扩展简单
缺点:安全性低,性能低,服务端存储,多服务器同步session困难,跨平台困难
JwT
优点:易扩展
支持移动设备
跨应用调用安全
承载信息丰富缺点:
刷新与过期处理
Payload不易过大
中间人攻击
Oauth
优点∶
开放安全简单权限指定
缺点:
需要增加授权服务器
增加网络请求
什么是JWT
JWT的全称是JSON Web Token,一个JWT由三部分构成:Header , Payload,Signature。
Header {
"alg":"HS256",
"typ":"JWT"
}
payload"{
"sub":"2019-10-01"
"Name":"Braian"
"admin":true
}
Signature
HMACSHA256(
base64UrlEncode(header) + ".”+
Signature
base64UrlEncode(payload),secret
)
JWT特点
防CSRF(主要是伪造请求,带上Cookie )
适合移动应用
无状态,编码数据
JWT的工作原理
客户端发送 Post 请求=>服务端
服务端验证通过,返回Token 给客户端
客户端发送Header带Token的请求给服务端
服务端验证通过返回data给客户端
算法/加密
确定输入 hello World=>逻辑处理Fn=>加密内容xxxx
安全传输协议HTTPS
HTTPS (HyperText Transfer Protocol Secure)超文
本传输安全协议,常称为HTTP over TLS、HTTP over
SSL或HTTP Secure )是─种通过计算机网络进行安全通
信的传输协议。
API安全设计
通信信道加密:使用HTTPS
通信数据加密:密文+加密关键数据
通信安全策略:授权中间层、尝试次数、过期策略…
NCU 解决各个插件依赖问题
rimraf node_modules
