本节开始项目的编码实现。首先我们来实现登录注册模块的相关API。本项目我们是使用前后端分离的模式，在实现登录注册功能之前，假设我们的接口是开放的，那么需要确定接口校验方案。 我们的目标是接口不能被抓包重复访问，并且要对客户端的可靠性进行验证。 时间戳的作用是，保证这个请求在一定…

严格的结构化。它自身（在 payload 中）就包含了所有与用户相关的验证消息，如用户可访问路由、访问有效期等信息，服务器无需再去连接数据库验证信息的有效性，并且 payload 支持为你的应用而定制化。 支持跨域验证，可以应用于单点登录。 JWT 自身（在 payload 中…

更好的阅读体验请点击文末「阅读原文」写在前面在一款应用的整个生命周期，我们都会谈及该应用的数据安全问题。用户的合法性与数据的可见性是数据安全中非常重要的一部分。但是，一方面，不同的应用对于数据的合法性

为期一个多月的Web安全问题整理暂时告一段落了，本文主要从我所了解的Web安全问题入手，了解原理才能构建更安全的Web应用。

因为HTTP是一个stateless的协议，服务器并不会保存任何关于状态数据。 所以需要登录功能让服务器在以后请求的过程中能够识别到你的身份，而不是每次发请求都要输入用户名和密码。 下面介绍一下，我比较常用的登录方案：请求头携带Token的方式。 首次登录，将用户名密码传给后端…

作为从业了十多年的IT行业和程序的老司机，今天如果你说你不懂微服务，都不好意思说自己的做软件的。SOA喊了多年，无人不知，但又有多少系统开发真正的SOA了呢？但是好像一夜之间所有人都投入了微服务的怀抱。 作为目前最主流的“微服务框架”，Spring Cloud发展速度很快，成为…

最近一段时间工作之余都在开发这个项目. 希望大家能够用到. 目前已经发布到GitHub上了. 也部署了在线体验的地址. 直接贴一下项目介绍吧: wolf是一个通用RBAC系统，适用于所有的HTTP应用．统一授权及访问控制. 每个公司内部会有各种不同的后台服务及相应的管理后台．通…

基于RBAC模型的权限系统设计(github开源项目)

本篇开始写「单点登录与权限管理」系列的第一部分：单点登录与权限管理本质，这部分主要介绍相关的知识概念、抽象的处理过程、常见的实现框架。通过这部分的介绍，能够对单点登录与权限管理有整体上的了解，对其相关概念、处理流程、常见实现有个基本的认识。 cookie的跨域问题会在后续文章单…