所有資料的傳輸過程應當保證安全,保證資料不會在傳輸過程中洩露或劫持
實質是資料傳輸的安全,防止資訊洩露。這對這種情況,目前最好的方法就是使用https,而不是使用http
應當有一種機制來校驗請求發起人是否是之前登陸的使用者
在web開發中經常遇到的安全問題——跨站請求偽造(csrf/xsrf)。即攻擊者可以利用漏洞在其他**上傳送請求偽造本站的正常請求,這樣攻擊者可以在使用者完全不知情的情況下進行任何操作。這種問題目前的解決方法就是使用token機制,當使用者登入後服務端返回乙個token,之後的每次請求都要攜帶這個token,如果在服務端token不匹配則意味著授權失敗
應當有一種過期機制使使用者不能保持永久登入狀態
讓使用者不能永久處於登入狀態,否則使用者登入一次就能獲得永久授權。在實際中,token本身要具備時效性,要有過期機制。至於過期後是返回登入頁面重新登入抑或是自動續期或是自動重新整理,這就是由禍端決定了,前端只要配合好即可。
當使用者訪問伺服器,伺服器在必要的時候,會建立乙個session物件,該物件有乙個唯一的id,稱之為sessionid,建立完畢後,該物件被儲存到伺服器的記憶體中
伺服器程式會自動把sessionid通過客戶端請求過來的response物件的set-cookies方法設定到客戶端的瀏覽器.http請求缺省會攜帶所有的cookies,所以以後所有的請求,都會攜帶乙個存有sessionid的cookies
服務端可以根據客戶端請求是否具有cookies,而且儲存了sessinid來判斷使用者是否登入和區分不同的使用者.
4.cookies是存在於客戶端的,可以設定過期時間,session是存在於伺服器的,也可以設定過期時間
伺服器程式可以手動清除伺服器指定session
當使用者登入成功,伺服器會根據特定的演算法,根據使用者資訊,生成乙個唯一的標識,我們稱之為token,並且把token返回給客戶端
客戶端之後的每次請求,需要手動實現攜帶token
伺服器根據客戶端的token,判斷是否登入成功,並且可以根據演算法驗證token是否有效
token有過期時間,如果接近過期,客戶端需要續期,但是客戶端沒辦法清除當前伺服器的token
C LDAP認證登入
寫了乙個通用的認證類,請看 public class ldaphelper else if objdirectoryentry.properties null objdirectoryentry.properties.count 0 return false 檢測乙個使用者和密碼是否正確 uid c...
使用者登入認證
salt 用來跟原始密碼合在一起的乙個字串。原始密碼加上鹽值後組成乙個新的字串,然後用加密函式對其加密。使用者進入登入頁面登入,post提交資料到login方法,根據使用者名稱作為條件從資料庫查詢是否存在使用者名稱,不存在返回false,存在繼續驗證密碼是否正確,不正確返回false,當密碼驗證成功...
rest framework登入認證
class user models.model user models.charfield max length 32 pwd models.charfield max length 32 class usertoken models.model token models.charfield max...