摘要:
重放攻击(Replay Attacks)1.什么是重放攻击顾名思义,重复的会话请求就是重放攻击。可能是因为用户重复发起请求,也可能是因为请求被攻击者获取,然后重新发给服务器。2.重放攻击的危害请求被攻击者获取,并重新发送给认证服务器,从而达到认证通过的目的。我们可以通过加密,签名的方式防止信息泄露, 阅读全文
posted @ 2017-12-27 18:31
zzfx
阅读(2196)
评论(0)
推荐(0)
摘要:
基本认证便捷灵活,但极不安全。用户名和密码都是以明文形式传送的,也没有采取任何措施防止对报文的篡改。安全使用基本认证的唯一方式就是将其与 SSL 配合使用。 摘要认证是另一种 HTTP 认证协议,它与基本认证兼容,但却更为安全。摘要认证试图修复基本认证协议的严重缺陷。具体来说,摘要认证进行了如下改下 阅读全文
posted @ 2017-12-27 18:28
zzfx
阅读(263)
评论(0)
推荐(0)
摘要:
基本概念 对于许多人来说,都知道的是,cookie是存储在客户端的,可以用来放需要长期使用的内容,例如用户密码、用户账户等等,服务器是可以获取到cookie的内容的;而session则是存储在服务器端,通过唯一的session_id来区别用户,用于保存用户的登录状态和请求等,客户是不能获取到其内容的 阅读全文
posted @ 2017-12-27 18:10
zzfx
阅读(217)
评论(0)
推荐(0)
摘要:
token 登录握手与身份验证; cookie、session 记录会话状态 兼有 token的功能; cookie session 功能更强大。 所有这些都是为了便捷和密码安全考虑。 阅读全文
posted @ 2017-12-27 17:38
zzfx
阅读(165)
评论(0)
推荐(0)
摘要:
token的作用:认证、授权; 生成:随机码、时间戳、用户 设备 合成; 验证:是否存在、合成验证; 管理:有效期(服务器存储时间or cookie存储过期时间)、展期。 token生成:或者和用户信息一起传输、或者token本身自带用户信息和其他信息。 阅读全文
posted @ 2017-12-27 17:32
zzfx
阅读(292)
评论(0)
推荐(0)
摘要:
服务器端不存token,而存设备ID、登录时时间戳、userID等。 服务器端使用存储信息生成token,与会话token比较完成鉴权。 在做接口测试时,经常会碰到请求参数为token的类型,但是可能大部分测试人员对token,cookie,session的区别还是一知半解。为此我查阅大量的资料做了 阅读全文
posted @ 2017-12-27 11:37
zzfx
阅读(492)
评论(0)
推荐(0)
摘要:
加盐-混淆、混入 阅读全文
posted @ 2017-12-27 10:18
zzfx
阅读(296)
评论(0)
推荐(0)
浙公网安备 33010602011771号