课程名称：六大场景 什么是mock数据，如何使用mock

课程章节：第7天 API接口安全相关知识（加密&算法&HTTPS）
课程讲师： Brian

课程内容：

登录鉴权

核心：

鉴权的方式：

session/cookie ：

优点：较易扩展 /简单

缺点：安全性低、性能第，服务端存储，多服务器同步session困难，跨平台困难

JWT：

优点：易扩展，支持移动设备，跨应用调度，安全，承载信息丰富

缺点：刷新与过期处理，payload不易过大，中间人攻击

Oauth：

优点：开发，安全，简单，权限指定

缺点：需要增加授权服务器，增加网络请求

JWT：全程是JSON Web Token ，一个JWT由三部分构成：Header，Payload，signature

Header

{
‘alg’:“HS256”,
“typ”:“JWT”
}

Payload

{
“sub”:“2022-10-30”,
“name”:“suyichen”,
“admin”:true
}

signature

HMACSHA256{
base64UrlEncode(header)+’.’+base64UrlEncode(payload),
secret
}

JWT 特点

1、防CSRF(主要伪造请求，带上cookie）

2、适用移动应用

3、无状态，编码数据

JWT工作原理

算法/加密

算法中的指令描述的是一个计算，当其运行时能从一个初始状态和初始输入(可能为空)开始，经过一系系列有限而清晰定义的状态最终产生输出并停止于一个终态。

数据加密的基本过程，就是对原来为明文的文件或数据按某种算法进行处理，使其成为不可读的一段代码，通常称为“密文”。通过这样的途径，来达到保护数据不被非法人窃取、阅读的目的。

安全传输协议HTTPS

HTTPS (HyperText Transfer Protocol Secure)超文本传输安全协议，常称为HTTP over TLS、HTTP overSSL或HTTP Secure )是一种通过计算机网络进行安全通信的传输协议。

API安全设计

1、通信信道加密︰使用HTTPS

2、通信数据加密∶密文+加密关键数据

3、通信安全策略∶授权中间层、尝试次数、过期策略.

​

课程收获：
学习了登录鉴权的常见的是实现方式：session/cookie / JWT / Oauth，各自有各自的优缺点，现在普遍使用的是JWT，这是数据端使用的方式，传输阶段使用HTTPS更加安全的使用的传输等等，登录最普遍的功能也是，最安全的功能之一

​