网络攻击的方式: 钓鱼网站,提供给用户恶意的链接,当用户访问链接时,会窃取用户的隐私信息。 XSS攻击,在用户网页注入恶意的JS代码,当用户通过浏览器访问网页时,会执行JS代码窃取用户如cookies,sessionid等隐私信息。 分布式拒绝服务,伪造大量的多端的请求请求目标服务器,使目标服务器瘫痪。 CSRF请求,利用用户以登录的身份,去执行用户未授权的操作。 DNS解析,通过篡改URL和IP的映射,诱导用户提交隐私信息到恶意服务器。 SQL注入,在表单项注入恶意的SQL语句,用户执行改SQL语句篡改数据库的数据。 暴力破解,利用大量自动化工具对破解获得真实的密码操作。 木马攻击,通过伪造恶意软件注入目标设备,实现远程监听,数据操作。 双token: 客户端第一次请求时,服务器校验客户端信息后,返回访问令牌和刷新令牌。 用户请求时,携带访问令牌获取API的资源。当用户携带的访问令牌过期后,会携带刷新令牌给服务端。服务端校验用户携带的刷新令牌是否有效,如果有效,响应给客户端新的访问令牌,旧的访问令牌实现。后续用户请求服务端资源时,携带新的访问令牌。
