- 博客(5)
- 资源 (3)
- 收藏
- 关注
转载 使用OTP动态口令(每30s变一次)进行登录认证
GIT地址:https://github.com/suyin58/otp-demo在对外网开放的后台管理系统中,使用静态口令进行身份验证可能会存在如下问题:(1) 为了便于记忆,用户多选择有特征作为密码,所有静态口令相比动态口令而言,容易被猜测和破解;(2) 黑客可以从网上或电话线上截获静态密码,如果是非加密方式传输,用户认证信息可被轻易获取;(3) 内部工作人员可通过合法授权取得用户密码...
2019-03-22 17:30:24 16740 1
转载 CSRF 的防御
对于如何防范 CSRF,一般有三种手段。1、判断请求头中的 Referer这个字段记录的是请求的来源。比如 http://www.example.com 上调用了百度的接口 http://api.map.baidu.com/service 那么在百度的服务端,就可以通过 Referer 判断这个请求是来自哪里。在实际应用中,这些跟业务逻辑无关的操作往往会放在拦截器中(或者说过滤器,不同技术使...
2019-03-21 15:21:21 4906
原创 XXL-SSO分布式单点登录框架,Cookie代码逻辑解析
XXL-SSO登录逻辑这种设计方式巧妙的解决了cookie的跨域问题代码逻辑描述访问pro.com,获取pro.com域的cookie(xxl_sso_sessionid,由userId_随机数码组成)为空,从请求参数获取cookie为空;获取用户信息为空,重定向sso服务;sso服务,获取sso.com域cook’ie为空,获取用户信息为空,跳转登陆页登录页输入用户名密码登陆,登...
2019-03-20 17:17:13 776
转载 拦截器(Interceptor)和过滤器(Filter)的执行顺序和区别
https://blog.csdn.net/zxd1435513775/article/details/80556034
2019-03-18 16:54:02 91
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人