手记

【九月打卡】第8天 API接口安全

第一模块 学习课程

名称: 六大场景 梳理开发痛点 解锁前端进阶路

章节名称:

6-1 API接口安全相关知识(加密&算法&HTTPS)

讲师: Brian

第二模块 课程内容


Header    --> 规定Token使用的加密方式以及Token使用的类型 --> { "alg":"HS256","typ": "JWT" }

Payload   -->Token中包含的用户信息 --> { "sub":"2019-10-01", "name":"Brian", "admin": true }

Signature -->Header Base64 + Payload Base64 + secret字符串 --> HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload), secret)


JWT特点

  • 防CSRF(主要是伪造请求,带上Cookie)

  • 适合移动应用

  • 无状态,编码数据



第三模块 课程收获

常见鉴权方式:

  1. Session Cookie 

    优点: 较易扩展,简单

    缺点: 安全性低,性能低,服务端存储,多服务器同步session困难,跨平台困难

  2. JWT

    优点: 易扩展,支持移动设备,跨应用调用、安全、承载信息丰富

    缺点: 刷新与过期处理,Payload不易过大,中间人攻击

  3. Oauth

    优点: 开放、安全、简单、权限指定

    缺点: 需要增加授权服务器,增加网络请求

第四模块 学习打卡截图




0人推荐
随时随地看视频
慕课网APP