为用户提供授权以允许用户操作非公开资源，有很多种方式。比如使用 token、session、cookie，还有允许第三方登录授权的 OAuth 2.0. 为了理解这些技术的机制和它们之间的关系，本文就来一一使用这些方案实现一个前端通过后端验证授权来访问后端服务的应用。 我们将用…

随着互联网的高速发展，信息安全问题已经成为企业最为关注的焦点之一，而前端又是引发企业安全问题的高危据点。在移动互联网时代，前端人员除了传统的 XSS、CSRF 等安全问题之外，又时常遭遇网络劫持、非法调用 Hybrid API 等新型安全问题。当然，浏览器自身也在不断在进化和发…

关于前端鉴权这块，Token、Cookie、Session、JWT、单点登录、扫码登录、一键登录是什么意思？分别有什么作用？你一般是怎么做的？以及你是怎么存储的呢？那你又是怎么保证它的安全的呢？

本系列最开始是为了自己面试准备的.后来发现整理越来越多,差不多有十二万字符,最后决定还是分享出来给大家. 这种认证方式是浏览器遵守http协议实现的基本授权方式,HTTP协议进行通信的过程中，HTTP协议定义了基本认证认证允许HTTP服务器对客户端进行用户身份证的方法。 目前基…

前后端未分离以前，页面都是通过后台来渲染的，能不能访问到页面直接由后台逻辑判断。前后端分离以后，页面的元素由页面本身来控制，所以页面间的路由是由前端来控制了。当然，仅有前端做权限控制是远远不够的，后台还需要对每个接口做验证。 为什么前端做权限控制是不够的呢？因为前端的路由控制仅…

就是说这一次请求和上一次请求是没有任何关系的，互不认识的，没有关联的。 我们的网站都是靠HTTP请求服务端获得相关数据，因为HTTP是无状态的，所以我们无法知道用户是谁。 所以我们需要其他方式保障我们的用户数据。 当然了，这种无状态的的好处是快速。 比如说我在百度A页面进行了登…

放弃Cookie-Session，拥抱JWT？ 前言 皮一下🐒，只是觉得这类标题挺“有趣的”，社区好多这样的标题：放弃XXX，拥抱XXX......😶甚至更皮一下还可以试试将?换成! 接下来，请忽略标

我们先来看下数据在互联网上数据传递可能会出现的三个比较有代表性的问题，其实后面提到的所有方法，都是围绕解决这三个问题而提出来的。 最后，X 用他自己的密钥加密响应数据，并发送给 A，就这样，虽然 A、B 双方能顺利完成通信，但是恶意的第三方 X 能看到解密后的请求数据和响应数据…

百度已经上线了全站 HTTPS 的安全搜索，默认会将 HTTP 请求跳转成 HTTPS。本文就着重介绍了 HTTPS 协议涉及到的重要知识点和平时不太容易理解的盲区，希望能对大家理解 HTTPS 协议有帮助。百度 HTTPS 性能优化涉及到大量内容，从前端页面、后端架构、协议特性