充满各种数学证明的密码学是令人头疼的，一听到密码、黑客、攻击等词的时候，就给人一种神秘又高大上的感觉，但除非你真的从事密码学相关工作，否则你并不需要对密码学有多么深刻的理解。 这是一篇适合在饭后的品茶时光中阅读的文章，咱们虚构一个故事来讲解，虽然故事看起来很随性，但是 HTTP…

现在的人工智能过于强大, 大部分扭曲的图形验证码都可以被机器破解, 而且图形验证码体验很差, 输入困难。而滑动验证码操作简便, 破解难度大, 很快就流行起来了。今天来讲讲滑动验证码的破解办法。

在HTTP协议中，所有报文的发送、接收都是以明文的形式进行的。也就是说，在TCP/IP五层网络模型中，数据直接以明文的形式从应用层（HTTP）发送给传输层（TCP），之间没有任何加密过程，如下图所示： 中间人可以截获客户端、服务器之间的通信数据，一览无遗。 中间人截获数据之后，…

本篇文章会通过几个简单的例子来理解和学习web安全之XSS（跨站脚本攻击）。 XSS攻击，通常是指攻击者通过 “HTML注入”篡改了网页，插入了恶意的脚本，从而在用户浏览网页时，对用户的浏览器进行控制或者获取用户的敏感信息（Cookie, SessionID等）的一种攻击方式。…

「公开密钥加密」和「数字签名」无法保证公开密钥确实来自信息的发送者。因此，就算公开密钥被第三者恶意替换，接收方也不会注意到。数字证书可以完美的解决这一问题，保证公开密钥的正确性。 A持有公开密钥PA和私有秘钥SA，现在想要将公开密钥PA发送给B。 首先，A需要向认证中心申请发行…

HTTPS（全称： Hypertext Transfer Protocol Secure，超文本传输安全协议），是以安全为目标的HTTP通道，简单讲是HTTP的安全版。本文，就来深入介绍下其原理。 使用https的原因其实很简单，就是因为http的不安全。 当我们往服务器发送比…

大家都知道，在客户端与服务器数据传输的过程中，http协议的传输是不安全的，也就是一般情况下http是明文传输的。但https协议的数据传输是安全的，也就是说https数据的传输是经过加密。 下面我将带大家一步步了解https是如何加密才得以保证数据传输的安全性的。我们先把客户…

这篇文章写一下前后端分离下的登录解决方案，目前大多数都采用请求头携带 Token 的形式。 前端得到 401 状态码，重定向到登录页面。 使用 respone 拦截器，对 2xx 状态码以外的结果进行拦截。 如果状态码是401，则有可能是 Token 过期，跳转到登录页。 上面…

数字签名、信息加密 是前后端开发都经常需要使用到的技术，应用场景包括了用户登入、交易、信息通讯、oauth 等等，不同的应用场景也会需要使用到不同的签名加密算法，或者需要搭配不一样的 签名加密算法 来达到业务目标。这里简单的给大家介绍几种常见的签名加密算法和一些典型场景下的应用…