账号系统
koukou2009
这个作者很懒,什么都没留下…
展开
-
【微思探索】【实战】账号系统有了cookie,为什么还需要token
大家在使用很多网站的过程中,实际上都只需要cookie来管理用户session就够了,然而实际上,笔者认为如果在cookie的基础上,再加入用户的token,两者共同来管理用户的session,那就更加完美了。以我新上线的网站微思探索为例,我们使用了cookie的同时,也增加了token作为用户的另外一重身份认证机制。众所周知,cookie存在CSRF窃取session的问题,当然你可以通...原创 2018-07-22 19:39:33 · 1418 阅读 · 0 评论 -
【微思探索】【实战】www.wisexplore.com为什么不用https,但是已足够安全
微思探索没有使用https,但是笔者认为已足够安全。这么说的原因有以下几点:1.未登录场景比如登录,注册,忘记密码等,我们采取了足够的安全措施,比如阿里云滑块保护,非对称秘钥协商,短信检验码认证等2.登录后的所有后端接口都受token保护,请参考笔者的前一篇文章“账号系统有了cookie,为什么还需要token”首先说一下登录前的场景,以注册为例,阿里云滑块为各个接口的保护提供...原创 2018-08-11 14:59:39 · 394 阅读 · 0 评论 -
【微思探索】【实战】账号的身份设计和权限的主体设计
账号系统是一个网站不可或缺的系统,一个账号标识了一个用户。权限系统主要用于控制该用户拥有哪些权限,能访问到网站的哪些资源。从另外一个角度讲,账号的主要概念是身份,权限的主要概念是主体。什么是身份?举个例子,一个人只有一个身份证,但是他会有多种身份identity存在,比如他的邮箱可以代表他的身份,他的手机和微信号也可以代表他的身份,某一时刻,他往往只会以其中一种身份存在。也就是说,多...原创 2018-08-11 16:27:56 · 401 阅读 · 0 评论