随笔分类 -  安全/敏捷

摘要：按照一般WEB程序功能，可以归结为处理用户的访问和处理用户的输入。（1）处理用户访问，也就是处理资源浏览的请求。从安全性角度，将资源又可抽象为授权资源和非授权资源，这里安全的定义就是用户不可获取非授权的资源。保证用户访问的安全机制主要有三种：身份验证、会话管理和访问控制。 身份验证，最常见的是登录功能，往往是提交用户名和密码，在安全性要求更高的情况下，有防止密码暴力破解的验证码，基于客户端的证书，物理口令卡等等。 会话管理，HTTP本身是无状态的，利用会话管理机制来实现连接识别。身份验证的结果往往是获得一个令牌，通常放在cookie中，之后对用户身份的识别根据这个授权的令牌进行识别，而不需要每 阅读全文