前面的话 上一篇介绍的基本认证便捷灵活,但极不安全.用户名和密码都是以明文形式传送的,也没有采取任何措施防止对报文的篡改.安全使用基本认证的唯一方式就是将其与SSL配合使用 摘要认证与基本认证兼容,但却更为安全.本文将详细介绍绍摘要认证的原理和实际应用 工作原理 摘要认证是另一种HTTP认证协议,它试图修复基本认证协议的严重缺陷.具体来说,摘要认证进行了如下改进:永远不会以明文方式在网络上发送密码:可以防止恶意用户捕获并重放认证的握手过程:可以有选择地防止对报文内容的篡改:防范其他几种常见的攻击…

前面的话 人们用Web进行私人事务处理,访问私有的数据.通过Web可以很方便地访问这些信息,但仅仅是方便访问还是不够的.我们要保证只有特定的人能看到我们的敏感信息并且能够执行我们的特权事务 服务器需要通过某种方式来了解用户身份.一旦服务器知道了用户身份,就可以判定用户可以访问的事务和资源了.认证就意味着要证明你是谁.通常是通过提供用户名和密码来进行认证的.HTTP为认证提供了一种原生工具.尽管我们可以在HTTP的认证形式和cookie基础之上“运行自己的”认证工具,但在很多情况下,HTTP的原生…

前端学做 PPT 公司做技术分享.年终总结都需要用到ppt. 要快速.省事的做出高质量的 ppt,一方面需要熟练使用制作 ppt 的工具,另一方面得知道用工具做成什么样子才是好作品.前者比较简单,后者则需要长时间的练习.比如提高审美水平就不是一蹴而就的事,得多看优秀的作品,否则你都知道到设计成什么样子才是好的 本篇首先展示一些案例,之后就主要讲解 ppt 工具的使用,以及示例的制作方法,中间则会穿插一些简单的设计规则. Tip:笔者使用 office 2016 专业增强版. 案例展示 ppt 开…

× 目录 [1]网络 [2]OSI [3]TCP/IP 前面的话 HTTP协议对于前端工程师是非常重要的.我们在浏览网站时,访问的每一个WEB页面都需要使用HTTP协议实现.如果不了解HTTP协议,就不可能了解网站的本质.在学习HTTP之前,本文先介绍一些网络基础知识 网络 简单地说,网络就是在一定的区域内将两个或两个以上的计算机以一定的方式连接起来,以供用户共享文件.程序.数据等资源.下面就几种常见的网络类型及分类方法做简要介绍 1.按覆盖范围分 局域网(local area network,…

一.使用的spring boot +mybatis-plus+shiro+maven来搭建项目框架 <!--shiro--> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <version>1.4.0</version> </dependency> <dependency…

前面的话 简单的HTTP协议本身并不存在安全性问题,因此协议本身几乎不会成为攻击的对象.应用HTTP协议的服务器和客户端,以及运行在服务器上的Web应用等资源才是攻击目标.本文将详细介绍攻击web站点的手段 总括 与最初的设计相比,现今的Web网站应用的HTTP协议的使用方式已发生了翻天覆地的变化.几乎现今所有的Web网站都会使用会话(session)管理.加密处理等安全性方面的功能,而HTTP协议内并不具备这些功能 从整体上看,HTTP就是一个通用的单纯协议机制.因此它具备较多优势,但是在安全…

前面的话 首部和方法配合工作,共同决定了客户端和服务器能做什么事情.在请求和响应报文中都可以用首部来提供信息,有些首部是某种报文专用的,有些首部则更通用一些.本文将详细介绍HTTP报文中的首部 结构 HTTP首部字段是构成HTTP报文的要素之一.在客户端与服务器之间以HTTP协议进行通信的过程中,无论是请求还是响应都会使用首部字段,它能起到传递额外重要信息的作用.使用首部字段是为了给浏览器和服务器提供报文主体大小.所使用的语言.认证信息等内容 HTTP首部字段是由首部字段名和字段值构成的,中间用…

前面的话 几乎所有的服务器和代理都会记录下它们所处理的HTTP事务摘要.这么做出于一系列的原因:跟踪使用情况.安全性.计费.错误检测等等.本文将谥介绍日志记录 记录内容 大多数情况下,日志的记录出于两种原因:査找服务器或代理中存在的问题(比如,哪些请求失败了),或者是生成Web站点访问方式的统计信息.统计数据对市场营销.计费和容量规划(比如,决定是否需要增加服务器或带宽)都非常有用 可以把一个HTTP事务中所有的首部都记录下来,但对每天要处理数百万个事务的服务器和代理来说,这些数据的体积超大,很…

前面的话 HTTP并不是独自运行在网上的.很多协议都会在HTTP报文的传输过程中对其数据进行管理.HTTP只关心旅程的端点(发送者和接收者),但在包含有镜像服务器.Web代理和缓存的网络世界中,HTTP报文的目的地不一定是直接可达的 重定向技术通常可以用来确定报文是否终结于某个代理.缓存或服务器集群中某台特定的服务器.重定向技术可以将报文发送到客户端没有显式请求的地方去.本文将详细介绍重定向技术以及负载均衡 总括 由于HTTP应用程序需要可靠地执行HTTP事务,最小化时延,并且节约网络带宽,所以…

前面的话 HTTP的主要不足包括通信使用明文(不加密),内容可能会被窃听:不验证通信方的身份,有可能遭遇伪装:无法证明报文的完整性,有可能被篡改 基本认证和摘要认证能够使得用户识别后较安全的访问服务器,但在实际环境中,它们并不足以保护那些重要的事务处理.这时,就需要一种更复杂.更安全的技术,通过数字密码来保护HTTP事务免受窃听和篡改的侵害.本文将详细介绍安全HTTP HTTPS介绍 人们会用Web事务来处理一些很重要的事情.如果没有强有力的安全保证,人们就无法安心地进行网络购物或使用银行业务.…