qwe520liao 最近的时间轴更新
qwe520liao

qwe520liao

V2EX 第 449603 号会员,加入于 2019-10-28 16:09:52 +08:00
今日活跃度排名 12917
qwe520liao 最近回复了
容器化的目的是什么?更新频繁么?数据库这种软件要的就是稳定性,很少有频繁操作吧,那么容器话的目的是为了安装省事么?
8 天前
回复了 7911364440 创建的主题 Java 登录最佳实践是什么?
@ArmstrongLiu
1 、前端 Bcrypt 是可能的,我们需要的就是把“慢”这个过程放到客户端内,代码细节可以看一下我刚创建的这个测试,需要一个固定的盐值: https://jsfiddle.net/4zdw1jab/

2 、不使用明文不仅仅只是说为了传输上的考虑,明文就是“烫手山芋”,只要生成摘要的过程是安全可靠的,其实我们根本就不需要明文。其他的顾虑包括但不限于意外的日志输出或者其他的安全漏洞,所以彻底的做法就是后端根本就不接收明文。当然这一条只是作为一个建议,如果手动模拟注册请求给后端接口发送的就是明文,那么当然也可以模拟登录用之前的明文,关于这种“非法”注册的用户,当然也就排除在正常的产品流程之外了。
9 天前
回复了 7911364440 创建的主题 Java 登录最佳实践是什么?
登录其实就是认证,认证与授权是两个相对独立的过程。

认证解决的问题:你是谁?一般只是简单的通过标识(用户名)和凭证(密码)来确定身份。确定身份以后,认证系统一般会发放一个 Token (令牌)或者直接绑定身份信息并关联当前的 sessionid (会话,通过 cookie 传递)。

授权解决的问题:在已认证的情况下,也就是我知道你是谁的情况下,你能做什么?

关于密码:不要使用明文,后端也不要接收明文(固然有 TLS ),前端可以使用 BCrypt 慢哈希生成密码摘要,不要在后端使用慢哈希。后端生成(注册)/获取(登录)动态盐值,与前端发过来的摘要结合再次哈希一遍得到最终的摘要信息。

关于 JWT:JWT 只是作为令牌的一种承载形式,它不可伪造,不可篡改,表达了签发此令牌的真实意图,但是不要将敏感信息放进去。好处固然有,例如完全可以在不跟签发者通讯的情况下对其进行验证(签名以及有效期),但是涉及到撤销的情况下,就必须记录每一个令牌的状态( jti 是每一个令牌的 ID ),可以建立令牌黑名单机制,虽然丧失了完全的无状态好处,但是验证这个比较轻量级。

我想说的就是可以根据场景结合混合使用不同的技术,关于安全这一块,不要自己去发明东西,大胆的使用经过时间检验的通用方法,具体如何实现只是细节问题(比如框架,亦或是自己手写),但是在流程上,概念上一定要有清晰的认知。
14 天前
回复了 qwe520liao 创建的主题 咖啡 双 11 推荐一款性价比高一点的咖啡机?
刚刚看到跟我这个同型号的 Sage878 ,现在只要 3984 包邮包税: https://www.smzdm.com/p/42912826/
14 天前
回复了 rizon 创建的主题 程序员 有什么开源的文档管理系统吗?
@qwe520liao 不好意思看错了,我还以为直接使用呢,要自己做平台的话就不合适了
14 天前
回复了 rizon 创建的主题 程序员 有什么开源的文档管理系统吗?
自建 confluence
15 天前
回复了 qwe520liao 创建的主题 咖啡 双 11 推荐一款性价比高一点的咖啡机?
@oieoieoie 铂富 878 ,某东国际到手 4300
15 天前
回复了 3country 创建的主题 程序员 各位所在公司有 DDD 的落地实现吗?
我用的是 LV273HUPR ,目前系统是 Big Sur ,也就是说升级完以后必定会出现这个问题吗?
关于   ·   帮助文档   ·   API   ·   FAQ   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   1067 人在线   最高记录 5497   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 14ms · UTC 20:11 · PVG 04:11 · LAX 12:11 · JFK 15:11
♥ Do have faith in what you're doing.