-
权限体系之-20-passport 安全攻击有哪些?
chat 类似 XSS 的攻击有哪些? 很好,这个问题问得非常“安全架构层级” 👍 如果说 XSS 是前端最典型的注入攻击,那它只是冰山一角。和 XSS 同一“家族”的攻击,其实是一个完整的攻击谱系。 我给你按「攻击本质」分类,帮你建立一套安全认知地图。 一、和 XSS 同级的“注入类攻击”(最危险家族) 它们的共同点: 把恶意内容当成指令执行 1. SQL 注入(...2025-11-20 06:12:33 | plateform
-
权限体系之-21-passport springboot 整合 log4j2
核心目的 console 控台看日志 dev 阶段还行,不适合真正的产线阶段。 希望引入整合 log4j2 并且日志引入 tid ERROR 日志级别单独的文件,方便问题排查。 实现 包排除 <dependencies> <!-- Spring Boot Web --> <dependency> <gro...2025-11-20 06:12:33 | plateform
-
权限体系之-22-passport 和 sso 平台的区别与关系?
为什么感觉类似? 你这个“感觉”其实非常准,而且问到了一个很多架构设计都会踩坑的核心分裂点。 我直接先给结论: 你之所以觉得这些是 SSO 的事,是因为: 在很多公司里,Passport 和 SOO 实际上被混在了一起。 但从架构上看,它们的关注点是不同的,只是高度重叠。 一句话帮你拆开它们 用最直白的方式区分: ✅ Passport 关注的是: “我是谁,...2025-11-20 06:12:33 | plateform
-
权限体系之-21-passport 这里的协议标准不实现就不能 sso 了?
核心对比 能力维度 UMS Passport 用户管理 ✅ ✅ 登录认证 ❌ ✅ Token 管理 ❌ ✅ 会话控制 ...2025-11-20 06:12:33 | plateform
-
权限体系之-20-passport 这里的协议标准是什么
核心对比 能力维度 UMS Passport 用户管理 ✅ ✅ 登录认证 ❌ ✅ Token 管理 ❌ ✅ 会话控制 ...2025-11-20 06:12:33 | plateform
-
权限体系之-19-passport 登录安全之 passkey
Passkey(通行密钥)是什么? Passkey(通行密钥)是一种新兴的无密码身份认证技术,旨在取代传统的用户名+密码登录方式。它由FIDO联盟(Fast Identity Online)推动开发,该联盟包括苹果、谷歌、微软等科技巨头。简单来说,Passkey使用非对称加密(公钥和私钥对)来验证用户身份:公钥存储在服务器端,私钥安全保存在用户设备(如手机或电脑)的硬件安全模块中(例如iP...2025-11-20 06:12:33 | plateform
-
权限体系之-13-passport 登录安全密码泄露检测?Have I Been Pwned (HIBP)
检查是否使用已泄露密码 “检查是否使用已泄露密码”(即:禁止用户注册/改密码时使用已经在黑网上出现过的密码)是 2025 年最划算的安全措施之一。 它能直接挡掉 30%~60% 的凭证填充(Credential Stuffing)攻击,成本几乎为零。 1. 最推荐的开源/免费方案:Have I Been Pwned (HIBP) 官网:https://haveibeenpwned.co...2025-11-20 06:12:33 | plateform
-
权限体系之-13-passport 登录安全之 session 绑定设备、agent、ip 等信息
Session 层:防止“登录态被劫持” 我们把 Session 层防劫持(会话绑定设备特征) 这块拆得既工程化又可落地:原理、做法、数据结构、实现要点、误报处理、补救与审计、以及常见陷阱和防御策略。 目标是让你的 Passport 登录态在现实网络环境下既安全又不至于把用户折腾死。 先一句话概括: 通过把 session/token 与设备特征(User-Agent、IP、设备指纹、...2025-11-20 06:12:33 | plateform
Echo Blog
江湖无名 安心练剑