-
TLS 1.3 完全指南:从握手流程到 Let's Encrypt 实战
"为什么 HTTPS 比 HTTP 安全?""TLS 握手到底在做什么?""TLS 1.3 比 1.2 快在哪?" —— TLS 是当代互联网的基石,但大多数工程师对它的认识停留在"加个证书就行"。这篇文章把 TLS 握手讲透,涵盖密钥交换、证书验证、性能优化、生产配置。 TLS 解决什么 HTTP 在明文 TCP 上…- 0
- 0
-
密码哈希完全指南:从 bcrypt 到 Argon2 的现代选型
"为什么不能用 MD5 存密码?""bcrypt、scrypt、argon2 选哪个?""salt 是干嘛的?" —— 密码哈希是 Web 应用最常被做错的安全设计。这篇文章把密码哈希的原理、攻击手段、现代算法选型一次讲透。所有结论都配可运行代码。 为什么不能用 MD5 / SHA1 / SHA256 它们是通用哈希算法,设计目标是&qu…- 0
- 0
-
JWT 完全指南:从结构到 RS256 与 Refresh Token 的生产实战
JWT(JSON Web Token)是当代 API 鉴权的事实标准。微服务之间互信、单点登录、API Key、OAuth2 的 access_token —— 全是 JWT 或其变种。它的"无状态、自包含"特性让分布式鉴权变得简单。但 JWT 也是被误用最严重的技术之一,"把 JWT 当 Session 用" / "用 none 算法"…- 0
- 0
-
OWASP Top 10 完全指南:Web 应用最重要的 10 类安全威胁
OWASP Top 10 是 Web 安全的"必读清单",每 3-4 年更新一次,反映当下最严重的应用层安全问题。但很多团队对它的认识停留在"听说过",真到了开发中并没系统防护。这篇文章把 2021 版 OWASP Top 10 完整讲透,所有威胁配真实代码示例和修复方案,2024 年新趋势也会提到。 A01 Broken Access Control(失效…- 0
- 0
-
OAuth2 与 OIDC 完全指南:从授权码模式到 PKCE 的安全实战
"用户用 GitHub 登录我的网站,这是怎么工作的?""我能不能自己实现微信扫码登录?" —— 这类需求背后都是 OAuth2 / OIDC。看似简单的"第三方登录",实际涉及一套精密的授权流程和安全设计。这篇文章把 OAuth2 / OIDC 从概念讲到完整时序图,覆盖所有 grant type 和真实场景。 OAuth2 解决什么问…- 0
- 0
-
RSA 加密算法详解:从数学原理到生产级代码
RSA 是非对称加密的代表算法,几乎所有 HTTPS、SSH、签名场景都直接或间接用到它。但很多教程要么把它说成"两个大质数相乘",要么直接堆数学公式 —— 都不解决"它到底怎么工作、为什么安全、怎么用"的问题。这篇文章用具体数字 + 完整代码把 RSA 走一遍,然后讲清楚生产场景里怎么用、容易踩什么坑。 RSA 的核心思路:单向函数 RSA 建立在一个数论…- 0
- 0
安全
-
¥优惠劵使用时效:无法使用使用时效:
之前
使用时效:永久有效优惠劵ID:×