第一模块 学习课程

名称: 六大场景 梳理开发痛点 解锁前端进阶路

章节名称:

6-1 API接口安全相关知识(加密&算法&HTTPS)

讲师: Brian

第二模块 课程内容

Header    --> 规定Token使用的加密方式以及Token使用的类型 --> { "alg":"HS256","typ": "JWT" }

Payload   -->Token中包含的用户信息 --> { "sub":"2019-10-01", "name":"Brian", "admin": true }

Signature -->Header Base64 + Payload Base64 + secret字符串 --> HMACSHA256(base64UrlEncode(header) ＋ "." + base64UrlEncode(payload), secret)

JWT特点

• 防CSRF（主要是伪造请求，带上Cookie）

• 适合移动应用

• 无状态，编码数据

第三模块 课程收获

常见鉴权方式:

1. Session Cookie 

   优点: 较易扩展，简单

   缺点: 安全性低，性能低，服务端存储，多服务器同步session困难，跨平台困难

2. JWT

   优点: 易扩展，支持移动设备，跨应用调用、安全、承载信息丰富

   缺点: 刷新与过期处理，Payload不易过大，中间人攻击

3. Oauth

   优点: 开放、安全、简单、权限指定

   缺点: 需要增加授权服务器，增加网络请求

第四模块 学习打卡截图