微信开放平台：微信扫码登录功能 1、授权流程说明 微信OAuth2.0授权登录让微信用户使用微信身份安全登录第三方应用或网站，在微信用户授权登录已接入微信OAuth2.0的第三方应用后，第三方可以获取

最近我们推出了一款 IDE 插件，帮助各位开发者轻松解决代码安全问题，推荐给大家！ MurphySec Code Scan 简介 这款插件可以让开发者在 IDE 中即可检测代码依赖的安全问题，轻松识别

引言 前段时间，公司对运行的系统进行了一次安全扫描，使用的工具是 IBM 公司提供的 AppScan 。 这个正所谓不扫不要紧，一扫吓一跳，结果就扫出来这么个问题。 我们的一个年老失修的内部系统，在登

OAuth2最初是基于开放系统间授权问题提出的，假设现在有一个第三方应用：“云冲印服务”，可以将用户存储在Google的照片冲印出来。用户为了使用该服务，必须让“云冲印服务”读取自己储存在Google上的照片。问题是只有得到用户的授权，Google才会同意“云冲印服务”读取这些…

跨站请求伪造（英语：Cross-site request forgery），也被称为 one-click attack 或者 session riding，通常缩写为 CSRF 或者 XSRF， 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。

为了保证系统安全稳定，保护用户数据安全，服务中一般引入身份认证手段，对用户的请求进行安全拦截、校验与过滤。常用的身份认证方式有： JWT： JWT提供了一种用于发布接入令牌（Access Token)，并对发布的签名接入令牌进行验证的方法。 令牌（Token）本身包含了一系列声…

前段时间在上线一个 go 语言编写的服务的时候，发现所有的 https 请求全部挂了，报错是 x509 certificate signed by unknown authority, 因为线上环境和测试环境访问的域名不同，所以这个问题在测试环境并没有遇到，而且线上环境一开始是用

OAuth协议，是一种授权协议，不涉及具体的代码，只是表示一种约定的流程和规范。OAuth协议一般用于用户决定是否把自己在某个服务商上面的资源（比如：用户基本资料、照片、视频等）授权给第三方应用访问。此外，OAuth2.0协议是OAuth协议的升级版，现在已经逐渐成为单点登录（…