关于身份认证和跨域的知识分享

118 阅读2分钟

前言:此文用户群体是:不了解身份认证和跨域技术的知识。分享了视频链接和一些知识总结

三个简单易懂的视频讲解

session

  • 包含原理讲解、命令行请求和服务器响应的实践

jwt

  • 包含原理讲解、命令行请求和服务器响应的实践、分析 jwt token 的组成

跨域

  • 从跨域的产生,到原理讲解,再到跨域的解决
  • 解决方式
    • 在后端请求响应头解决
      • 增加 Access-Control-Allow-Origin 头
    • 通过代理服务器解决

jwt

Img 注意

  • 签名算法和数据没有加密,可被解码出来
  • 关于安全性:签名由签名算法和数据再加上加密产生的,用来防止别人用其它数据(签名算法由数据)比如来获得管理员权限。

小结:session 和 jwt 有什么区别和共同点

!Img

  • 由存储位置引出扩展性和安全性,以及适用场景

Img

  • 都用于身份验证,这类技术也会有以下共性。加密机制、过期时间、防止跨站点伪造请求的攻击

拓展:关于 CSRF 攻击(Cross-Site Request Forgery)

关于 CSRF 完全基于 gpt,如果有理解错误的地方,希望大家一起交流讨论

  • gpt 可能会说一些正确的废话,但删了感觉理解又不完整,大家可以给点建议

引入,同源策略是用来防止 CSRF 攻击的Img

防止 CSRF 攻击的方式 :通过在 HTTP 请求头中添加 CSRF Token 来防止 CSRF 攻击Img

CSRF 攻击的具体描述和作用:Img

CSRF 攻击的具体形式是利用会话状态(比如 Session ID 和 jwt token) Img

CSRF token 的特殊性,和 JWT Token 和 Session ID 的区别Img

CSRF Token 自动刷新维持登录 Img

尾声

gpt 是一个很好的老师,你用它来学习,可以完美满足独立思考提问,快速获取准确回答(相对于搜索引擎)的效果。

后续的更新,应该是加入我在学习 session 和跨域的笔记,等有空我就整理进来