jwt

第一章：接口规范 01 Web API接口 02 Restful 接口规范 第二章：请求响应组件 01 请求组件 02 响应组件 03 解析组件 第三章：序列化组件 01 Serializer组件 02 ModelSerializer组件 03 ListModelSerializer组件 第四章：视图组件 01 两个视图基类 02 五个视图扩展类 03 七个功能视图子类 04 视图集 第五章：三大认证组件 01 认证组件 02 权限组件 03 频率组件 第六章：jwt认证 01 jwt认证 第七章：其他功能组件 01 其他功能组件 来源： oschina 链接： https://my.oschina.net/u/4363260/blog/3378528

JWT 在用户注册或登录后，我们想记录用户的登录状态，或者为用户创建身份认证的凭证。我们不再使用Session认证机制，而使用Json Web Token认证机制。 什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准（ (RFC 7519 ).该token被设计为紧凑且安全的，特别适用于分布式站点的单点登录（SSO）场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息，以便于从资源服务器获取资源，也可以增加一些额外的其它业务逻辑所必须的声明信息，该token也可直接被用于认证，也可被加密。 起源 说起JWT，我们应该来谈一谈基于token的认证和传统的session认证的区别。 传统的session认证 我们知道，http协议本身是一种无状态的协议，而这就意味着如果用户向我们的应用提供了用户名和密码来进行用户认证，那么下一次请求时，用户还要再一次进行用户认证才行，因为根据http协议，我们并不能知道是哪个用户发出的请求，所以为了让我们的应用能识别是哪个用户发出的请求，我们只能在服务器存储一份用户登录的信息，这份登录信息会在响应时传递给浏览器，告诉其保存为cookie,以便下次请求时发送给我们的应用，这样我们的应用就能识别请求来自哪个用户了,这就是传统的基于session认证。

一、身份鉴定。这个可以使用Oauth2.0规范，或者带有不对称密钥加密的token，选择JWT等形式,配合身份鉴定系统来保证。 二、内容防篡改。可以使用数字签名算法来进行哈希校验，强制HTTPS通信。最新的系统可以考虑http/2。 三、 DDoS 攻击。通过设置防火墙， 控制API调用频. 率，例如协议的rate- -limit 等设置来进行沟通和控制。 四、注入攻击。这个需要从输入校验、编解码、输入过滤和转化方面着手，主流框架都有基本的防注入设计。 五、同源策略。通过正确的配置CORS来防止异常调用，但是只对浏览器有效。对于移动端可以通过分发证书或者token来验证有效的调用来源，加签名验证 六、中间人攻击。这个貌似没有想到太好的办法，只能在调用端提示用户处于不安全网络，有攻击风险而自行规避。 1，网关限流，大量恶意攻击应该屏蔽进入服务器之前 2，c端设置token过期时间 3，增加吞吐量 来源： oschina 链接： https://my.oschina.net/u/4390260/blog/4817265

世界上最快的捷径，就是脚踏实地，本文已收录【架构技术专栏】关注这个喜欢分享的地方。 网站安全 从从互联网发展开始，各种网络安全问题也就伴随而生。 近些年来有很多网站遭到攻击，如新浪微博遭XSS攻击，以CSDN为代表的多个网站泄露用户密码和个人信息。 特别是后者，因为影响人群广泛，部分受影响网站涉及用户实体资产和交易安全，一时成为舆论焦点。 那么新浪微博是如何被攻击的？CSDN的密码为何会泄露？如何防护网站免遭攻击，保护好用户的敏感信息呢？ 常见的攻击与防御 XSS攻击，它和SQL注入攻击构成网站应用攻击最主要的两种手段，全球大约70%的Web应用攻击都来自XSS攻击和SQL注入攻击。此外，常用的Web应用还包括CSRF、Session劫持等手段。 XSS攻击 XSS攻击又称CSS,全称Cross Site Script （跨站脚本攻击），其原理就是攻击者像有XSS漏洞的网站注入恶意HTML脚本，在用户浏览网页时，这段恶意的HTML 脚本会自动执行，从而达到攻击的目的。 常见的XSS攻击类型： 反射型，通过在请求地址上加入恶意的HTML代码 dom型 ，通过一些API向网站注入恶意HTML 持久型，将恶意代码内容发给服务器，服务器没过滤就存储到数据库中了，下次再请求这个页面时就会从数据库中读取出恶意代码拼接到页面HTML上 1、反射型XSS攻击 攻击步骤： 1

最近沉寂了一段，主要是上半年相当于休息和调整了一段时间，接下来我将开始陆续学习一些新的技能，比如Docker、Jenkins等，都会以生活实例从零开始讲解起，到时一并和大家分享和交流。接下来几节课的内容将会讲解JWT，关于JWT的原理解析等等大有文章，就不再叙述，这里我们讲解使用和一些注意的地方。 在.NET Core之前对于Web应用程序跟踪用户登录状态最普通的方式则是使用Cookie，当用户点击登录后将对其信息进行加密并响应写入到用户浏览器的Cookie里，当用户进行请求时，服务端将对Cookie进行解密，然后创建用户身份，整个过程都是那么顺其自然，但是这是客户端是基于浏览器的情况，如果是客户端是移动app或者桌面应用程序呢？ 关于JWT原理可以参考系列文章https://www.cnblogs.com/RainingNight/p/jwtbearer-authentication-in-asp-net-core.html，当然这只是其中一种限制还有其他。 如果我们使用Json Web Token简称为JWT而不是使用Cookie，此时Token将代表用户，同时我们不再依赖浏览器的内置机制来处理Cookie，我们仅仅只需要请求一个Token就好。 这个时候就涉及到Token认证，那么什么是Token认证呢？ 一言以蔽之： 将令牌

　　最近51学工坊的小编在偶然间看到一个据说是可以比 Spring Boot 快的框架，有这么神奇吗?到底是何方神圣呢?下面小编带您来了解一下! 　　这个框架名叫：light-4j。 　　官网简介：A fast, lightweight and more productive microservices framework 　　很简单，翻译过来就是：一个快速、轻量级和更高效的微服务框架。 　　为什么叫light-4j?它和其他的Java框架相比有什么优势呢? 　　1、降低成本 　　它比同类型的主流微服务框架平台要快 44 倍，并且只需要用其 1/5 内存，内存空间大大降低。 　　下面是51学工坊的小编整理的一份测试报告，速看： 　　 　　从以上的表格中不难看出，性能表现非常靠前，吊打 Spring 等各种框架! 　　2、丰富的特性 　　带有启动/关闭钩子和各种中间件的插件架构，分布式OAuth2 JWT安全验证作为框架的一部分，基于OpenAPI规范进行请求和响应验证，收集测量指标并支持服务和客户端在控制台显示，全局运行时异常处理，如API异常及其他受检查异常。 　　请求体支持各种类型的content-type，配置标准化响应码及响应消息，支持外部配置化Docker环境所有模块。客户端侧发现和负载平衡，消除代理层 　　Java 日益宠大的同时，其内部依赖集成了太多东西

来自：ThinkJS（来源：掘金） 什么是 CSRF 在了解 CSRF 之前我们需要科普两个前提。首先是登录权限验证的方式有很多种，目前绝大多数网站采用的还是 session 会话任务的方式。session 机制简单的来说就是服务端使用一个键值对记录登录信息，同时在 cookie 中将 session id（即刚才说的键）存储到 cookie 中。另外我们又知道浏览器中 HTTP(s) 请求是会自动帮我们把 cookie 带上传给服务端的。这样在每次请求的时候通过 cookie 获取 session id，然后通过它在服务端获取登录信息即可完成用户权限的校验。 本来这也是个不错的功能。但是由于 cookie 实在是太开放了，如果一个用户在 A 网站登录了，如果用户在 B 网站访问的时候发送了一个 A 网站的请求，那么这个请求其实是带有这个用户在 A 网站的登录信息的。如果这时候 B 站的 A 网站请求是用户不知道的，那就是非常严重的危害了。以上的过程就是跨站请求攻击，即 Cross-Site Request Forgery，即 CSRF。 CSRF 的危害 简单总结 CSRF 漏洞就是利用网站权限校验方面的漏洞在用户不知觉的情况下发送请求，达到“伪装”用户的目的。攻击者利用 CSRF 实现的攻击主要有以下几种： 攻击者能够欺骗受害用户完成该受害者所允许的任一状态改变的操作，比如

点击上方蓝字" 小黑在哪里 "关注我吧 前言 IdentityServer4 是为ASP.NET Core系列量身打造的一款基于 OpenID Connect 和 OAuth 2.0 认证的框架 IdentityServer4官方文档：https://identityserver4.readthedocs.io/ 看这篇文章前默认你对IdentityServer4 已经有一些了解。 本篇使用IdentityServer4的4.x版本，跟老版本的稍微有些差别。下面直接进入正题。 鉴权中心 创建IdentityServer4项目 使用IdentityServer4 来搭建一个鉴权中心，首先建议安装一下IdentityServer4的官方项目模板。也可以不安装，自己创建项目，然后NuGet安装需要的包也行。（不过还是推荐用官方的模板，很方便）。 命令行执行： dotnet new -i IdentityServer4.Templates image-20200629205619088 安装完成后会多出以下项目模板： image-20200629205731577 我这里选用is4inmem这个模板来创建项目，这个模板的数据都是写死在内存中的，并且包含了Quickstart页面，比较简单方便。 来到我的项目目录下执行： dotnet new is4inmem --name Idp