介绍： 身为一个不怎么接触后台的前端，一直想知道web安全究竟是怎么攻击的以及做了哪些处理，什么htttp响应头设置总是一脸懵。最近在学习node，就顺便写了web安全攻击的示例以及解决方案。参考了一

很多人都知道token作为用户会话凭证，其实应用场景还有很多，分类也很多，文中阐述了token的分类问题、隐私性参数设置问题、使用场景问题、不同生命周期的 token 分层转化关系等；以及介绍了不同使用场景。 在存在账号体系的信息系统中，对身份的鉴定是非常重要的事情。 随着移动…

Spring Security 系列前前后后整了 68 篇文章了，是时候告一个段落了。 这两天松哥抽空把该系列的文章整理了一下，做成了一个索引，方便小伙伴们查找。 前面 javaboy.org 是国外服务器，如果响应慢小伙伴只需要 xxx 即可，不需要我多说了吧。 后面的 it…

权限这一概念可以说是随处可见：等级不够进入不了某个论坛版块、对别人发的文章我只能点赞评论但不能删除或修改、朋友圈一些我看得了一些看不了，一些能看七天内的动态一些能看到所有动态等等等等。 每个系统的权限功能都不尽相同，各有其自身的业务特点，对权限管理的设计也都各有特色。不过不管是…

本文的完整示例代码，见github仓库。小q只在文中介绍最关键的代码块。 关于jwt是什么，这里就不再啰嗦了。总体来讲，它有Header、Payload、Signature三个部分，每一部分，都有一些细分的属性，这个原理扫一眼就可以，对我们的使用没有实质性的帮助。 使用jwt可…

千里之堤，溃于蚁穴。 在Web系统中，一个小小的漏洞，往往能引发极其严重的后果。因此，Web安全是每个系统在设计、开发、运维时必须要重点考虑的问题。 等等。这些基础的防御措施是必须要做的，且实施的成本不高，但它们只是系统安全防御中的基础部分。很多开发人员在意识中认为做好这些就足…

前端一般会面临 XSS 这样的安全风险，但随着 React 等现代前端框架的流行，使我们在平时开发时不用太关注安全问题。以 React 为例，React 从设计层面上就具备了很好的防御 XSS 的能力。本文将以源码角度，看看 React 做了哪些事情来实现这种安全性的。 Cro…

我们知道一个字节可表示的范围是 0 ～ 255（十六进制：0x00 ～ 0xFF）， 其中 ASCII 值的范围为 0 ～ 127（十六进制：0x00 ～ 0x7F）；而超过 ASCII 范围的 128～255（十六进制：0x80 ～ 0xFF）之间的值是不可见字符。 在 AS…

一直想实现一套相对完善的权限控制系统。在实践过程中总结了一些权限相关的基础知识。准备基于 go-micro + Casbin + And-Design-Pro 实现 RBAC 模型的权限管理. 权限管理是后台系统经常会涉及的模块，主要是对不同的用户访问资源进行权限的控制，避免因…