文章目錄
- Part1 令牌
- 簽名
- 防抖節流
- 再高逼格一點
- 三層token :
一套完整的能力範圍,要涵蓋哪些方面?
最近在做畢設嘛,這一塊以前從來沒有關注過,這不是大學階段最後一個學生項目了嘛,使勁的折騰,不斷的翻新。對,業務層接口經過我一天半的努力已經全部傳遞給用戶端了,不過我改主意了,我要返廠重做,在不影響用戶端聯調的前提下。
我要加上這個新功能。
網上這類文章不少,但是我還要寫,表示我現在知道這個東西了。
玩過爬蟲的都知道,cookie是個什麼東西。
一圖勝千言:
爬蟲完多了就知道什麼叫抓包了嘛。當然,網絡攻擊的中間人咱是沒做過。
為了防止中間人攻擊(用戶端發來的請求被第三方攔截篡改),引入參數的簽名機制。
我不當中間人好多年,我拿着一些正當賬号,DOS我玩不夠,我分布式DOS。你怎麼辦呢?
首先用戶端需要做防抖,這不能讓我服務端來做。
降級的時候也需要用戶端來做第一道防線,服務端自己也要有措施。
怎麼辦呢?時間戳。
以上三個總結一下:
用戶端處再做個防抖。
1 臨時token(有效期短)
2 長期token(有效期長) ,一般在登入的時候擷取,臨時token失效後,通過長期token擷取。
3 使用者token(做混淆,可選)
備注:不限于三層token,根據業務,安全性和效率做出平衡。