我们在开发接口的时候通常会考虑接口的安全性，比如说我们通常会要求请求的url携带一个经过算法加密的签名sign到服务端进行验证，如果验证通过，证明请求是合法的。比如以下的url: 其中sign的常用加密算法为MD5，MD5算法是一种不可逆算法，也就是说你加密之后就不能解密了。这…

基于 Token 的 WEB 后台认证机制

上一篇文章《开放API网关实践(一)》中的接口设计提到timestamp和nonce两个参数的作用是用来防重放. 本文就重放攻击及其防御进行探讨. 先抛出两个问题: 打开浏览器的调试工具并访问一个网站, 在网络工具中找到一个请求并右键选择Replay. 如图: 上述的重放操作是…

总的来说安全是很复杂的一个领域，不可能通过这一篇文章就能学习到这部分的所有内容。我们会学习到常见的一些安全问题及如何防范的内容，在当下其实安全问题越来越重要，已经逐渐成为前端开发必备的技能了。 XSS 简单点来说，就是攻击者想尽一切办法将可以执行的代码注入到网页中。 XSS 可…