摘要: 主要内容 密码认证 授权码认证 哪个client申请的code,使用哪个client获取token 客户端认证 在kc开通了服务端帐号之后,可通过client_id和client_secret来获取token,与用户无关,无刷新token机制 自动触发社区认证 当用户在社区网站上登录后,访问这个地址 阅读全文
posted @ 2025-02-14 13:32 张占岭 阅读(1088) 评论(1) 推荐(0)
摘要: 大叔推荐文章系列 keycloak kubernetes 云原生网关 java springboot Springcloud golang 设计模式 其它推荐文章列表 知其所以然~目录 DotNetCore跨平台~文章索引~永久更新 Lind.DDD敏捷领域驱动框架~介绍 Linux~学习笔记目录索 阅读全文
posted @ 2013-01-22 11:13 张占岭 阅读(15316) 评论(3) 推荐(27)
摘要: CSRF(跨站请求伪造)详解 CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种利用用户已登录身份,在用户不知情下执行非本意操作的攻击方式。常被戏称为"沉睡的间谍"或"骑在用户会话上的攻击"。 一、攻击原理(三个关键要素) CSRF攻击能够成功,需要同时满足以下三个 阅读全文
posted @ 2026-05-03 15:22 张占岭 阅读(6) 评论(0) 推荐(0)
摘要: Demonstrating Proof of Possession (DPoP) 是一个现代 OAuth 2.0 安全扩展(定义于 RFC 9449),旨在防止访问令牌被窃取后用于重放攻击,它通过密码学手段将令牌“绑定”到发起请求的特定客户端上。 1. 核心原理:从“持有者”到“发送方约束” 传统的 阅读全文
posted @ 2026-05-02 17:47 张占岭 阅读(6) 评论(0) 推荐(0)
摘要: CSP 是一个常见的缩写,在不同领域有多个含义。最著名的两个是计算机安全领域的“内容安全策略”(Content Security Policy)和体育领域的“国家德比/冠军赛”(Championship)。 根据你可能的关注方向,我重点介绍技术领域最常用的那个: 1. 内容安全策略 (Content 阅读全文
posted @ 2026-05-02 17:46 张占岭 阅读(11) 评论(0) 推荐(0)
摘要: 中间人攻击(MITM,Man-in-the-Middle Attack)是一种网络安全威胁。攻击者会在通信双方(例如你和某个网站)不知情的情况下,秘密插入双方建立的连接之间,拦截、中继甚至篡改通信数据。 可以把这种攻击想象成:你(Alice)寄出一封信给朋友(Bob),但信件在半路被攻击者(Mall 阅读全文
posted @ 2026-05-02 17:44 张占岭 阅读(9) 评论(0) 推荐(0)
摘要: 跨站脚本攻击(XSS)详细介绍 一、什么是XSS 跨站脚本攻击(Cross-Site Scripting,XSS)是一种常见的Web安全漏洞,攻击者通过在目标网站中注入恶意脚本代码,当用户访问该网站时,这些脚本会在用户的浏览器中执行,从而窃取用户敏感信息、劫持用户会话、篡改网页内容等。 核心原理:攻 阅读全文
posted @ 2026-05-02 17:44 张占岭 阅读(8) 评论(0) 推荐(0)