前言:此文用户群体是:不了解身份认证和跨域技术的知识。分享了视频链接和一些知识总结
三个简单易懂的视频讲解
- 包含原理讲解、命令行请求和服务器响应的实践
- 包含原理讲解、命令行请求和服务器响应的实践、分析 jwt token 的组成
- 从跨域的产生,到原理讲解,再到跨域的解决
- 解决方式
- 在后端请求响应头解决
- 增加 Access-Control-Allow-Origin 头
- 通过代理服务器解决
- 在后端请求响应头解决
jwt
注意
- 签名算法和数据没有加密,可被解码出来
- 关于安全性:签名由签名算法和数据再加上加密产生的,用来防止别人用其它数据(签名算法由数据)比如来获得管理员权限。
小结:session 和 jwt 有什么区别和共同点
!
- 由存储位置引出扩展性和安全性,以及适用场景
- 都用于身份验证,这类技术也会有以下共性。加密机制、过期时间、防止跨站点伪造请求的攻击
拓展:关于 CSRF 攻击(Cross-Site Request Forgery)
关于 CSRF 完全基于 gpt,如果有理解错误的地方,希望大家一起交流讨论
- gpt 可能会说一些正确的废话,但删了感觉理解又不完整,大家可以给点建议
引入,同源策略是用来防止 CSRF 攻击的
防止 CSRF 攻击的方式 :通过在 HTTP 请求头中添加 CSRF Token 来防止 CSRF 攻击
CSRF 攻击的具体描述和作用:
CSRF 攻击的具体形式是利用会话状态(比如 Session ID 和 jwt token)
CSRF token 的特殊性,和 JWT Token 和 Session ID 的区别
CSRF Token 自动刷新维持登录
尾声
gpt 是一个很好的老师,你用它来学习,可以完美满足独立思考提问,快速获取准确回答(相对于搜索引擎)的效果。
后续的更新,应该是加入我在学习 session 和跨域的笔记,等有空我就整理进来
