协议/规范
文章平均质量分 82
熊猫猛男
1.科技发展太快,日新月异,互联网/移动互联网/IOT,我只懂了一点点; 2.社会发展太快,用眼、用心、用行动却已无法追逐其前行的脚步。
展开
-
HTTP认证模式:Basic and Digest Access Authentication
一. Basic 认证 客户端以“ : ”连接用户名和密码后,再经BASE64编码( Base64 Content-Transfer-Encoding )通过Authorization请求头发送该密文至服务端进行验证,每次请求都需要重复发送该密文。可见Basic认证过程简单,安全性也低,存在泄露个人账号信息以及其他诸多安全问题,最好在实现了Transport Layer Security (T原创 2017-07-17 09:27:11 · 1697 阅读 · 0 评论 -
Unicode 与 Unicode Transformation Format(UTF-8 / UTF-16 / UTF-32)
由于UTF-8采用的是变长字符编码,与UTF-16和UTF-32相比,无论是计算字符数,还是执行索引操作效率都不高,因此UTF-8适合在传输数据中使用,可在数据接收完毕后将其转换为UTF-16或UTF-32进行处理,最后再转换回UTF-8(但这转换本身也会有性能损耗);但UTF-8空间足够大,无字节序问题,且容错性高,局部的字节错误(丢失、增加、改变)不会导致连锁性的错误,因为 UTF-8 的字符边界很容易检测出来原创 2017-08-08 13:46:34 · 794 阅读 · 0 评论 -
WEB跨域资源共享:Cross-origin Resource Sharing(CORS)
浏览器同源策略中的同源指协议+域名+端口三者完全一致,其中任何一个不同即为跨域1. 浏览器同源策略是隔离潜在恶意文件的安全机制,限制信息传递和使用的边界,不是信息的保密机制。<img><script><link>以及表单提交都可实现跨域请求,但可能会不同程度受同源策略的限制,因浏览器不同而异;2. 跨域资源共享(CORS)是一个W3C标准,是在客户端和服务端同时遵循的情况下执行的,整个CORS通信过程,都是浏览器自动完成,在编码上与同源资源共享并无不同(CORS交互中使用WithCredentials除原创 2017-09-17 19:45:09 · 2890 阅读 · 0 评论 -
OpenID Connect:OAuth 2.0协议之上的简单身份层
OpenID Connect是什么?OpenID Connect(目前版本是1.0)是OAuth 2.0协议(可参考本人此篇:OAuth 2.0 / RCF6749 协议解读)之上的简单身份层,用 API 进行身份交互的框架,允许客户端根据授权服务器的认证结果最终确认用户的身份,以及获取基本的用户信息;它支持包括Web、移动、JavaScript在内的所有客户端类型;它是可扩展的协议,允许你使用某些可选功能,如身份数据加密、OpenID提供商发现、会话管理OpenID Connect vs OpenID原创 2017-09-10 07:46:01 · 3321 阅读 · 0 评论 -
OAuth 2.0: Bearer Token Usage
Bearer Token (RFC 6750) 用于OAuth 2.0授权访问资源,任何Bearer持有者都可以无差别地用它来访问相关的资源,而无需证明持有加密key。一个Bearer代表授权范围、有效期,以及其他授权事项;一个Bearer在存储和传输过程中应当防止泄露,需实现Transport Layer Security (TLS);一个Bearer有效期不能过长,过期后可用Refresh T原创 2017-07-17 09:27:16 · 2883 阅读 · 0 评论 -
OAuth 2.0 / RCF6749 协议解读
OAuth是第三方应用授权的开放标准,目前最新版本是2.0,以下将要介绍的内容和概念主要来源于该版本。恐篇幅太长,OAuth 的诞生背景就不在这里赘述了,可参考 RFC 6749 。 四种角色定义:Resource Owner:资源所有者,即终端用户Resource server:资源服务器,即提供资源存储访问一方Client:通常指第三方应用Authorization server原创 2017-07-17 09:27:21 · 632 阅读 · 0 评论