-
权限体系之-13-passport 登录安全之提升 session 会话安全(HttpOnly/Secure/SameSite + 登录后失效旧会话)
会话安全 下面把“会话安全”这一块拆得很细,全部围绕真实攻击场景来讲,每一条都告诉你攻击者怎么偷/怎么用,以及具体怎么彻底堵死。 1. Cookie 属性三件套:HttpOnly + Secure + SameSite(重点中的重点) 属性 写法(Node.js/Express 示例) 能防什么攻击 如果不设会怎样(真实...2025-11-20 06:12:33 | plateform
-
权限体系之-14-passport 登录安全之风控安全策略介绍
风控安全 Passport 的“风控安全”才是它和普通登录模块真正拉开代际差距的地方。 我们可以把 Passport 的风控理解为: 👉 不仅判断“你是谁”,还判断“你是不是一个正常的人、正常的行为、正常的设备”。 下面给你系统拆解这个「风控安全」在 Passport 里到底包含什么。 一、什么是 Passport 的风控安全? 一句人话版定义: Passport 风...2025-11-20 06:12:33 | plateform
-
权限体系之-14-passport 登录安全之重放攻击
登录接口防重放 登录接口防重放,其实是从“能不能登录”升级到“请求是不是这一次真实发起的。 下面系统展开一下,尽量说清楚原理 + 可落地方案。 一、什么是“重放攻击”? 最直观的场景是这样的: 用户正常登录,请求如下: POST /login { "username": "admin", "password": "123456" } 攻击者通过...2025-11-20 06:12:33 | plateform
-
权限体系之-12-passport 登录安全之加密策略 慢的艺术
chat 限制 详细介绍一下下面的几个加密算法:企业系统推荐: bcrypt > Argon2 > PBKDF2 > scrypt 对比一下 很好,这个问题非常“企业级”。 你给出的排序: bcrypt > Argon2 > PBKDF2 > scrypt 本质是在问:密码存储到底该用哪个算法最靠谱? 我从「原理 + 安全性 + 企业实践 + 场...2025-11-20 06:12:33 | plateform
-
权限体系之-12-passport 登录安全之加密策略 慢的艺术
旧的数据 以前的用户表,基于 password+salt md5,不够安全。 表结构如下。 mysql> desc user; +------------------+--------------+------+-----+----------------------+--------------------------------+ | Field | T...2025-11-20 06:12:33 | plateform
-
权限体系之-11-passport 登录安全之 weak-password 弱口令
弱口令是什么? 弱口令,几乎是所有系统沦陷的第一入口。 我们用“工程视角 + 安全实战”的方式,彻底讲清楚三件事: 什么是弱口令(不是只说“123456”这么简单) 弱口令为什么这么致命 如何系统性避免 + 安全加固方案(可直接落地) Passport 平台 – 强制复杂密码与密码黑名单功能设计文档 场景:企业内部 Passport 平台,统一账号体系安全...2025-11-20 06:12:33 | plateform
-
权限体系之-10-passport 登录提升安全之 MFA Multi-Factor Authentication(多因素认证)
MFA 是什么? MFA 全称是 Multi-Factor Authentication(多因素认证)。 简单理解,它就是在登录或敏感操作时,不仅要求你输入密码,还需要提供 至少另一种独立的身份验证方式,从而增强账户安全性。 一、核心概念 MFA 的核心是“多因素”,通常分为三类: 因素类别 示例 核心作用 ...2025-11-20 06:12:33 | plateform
-
权限体系之-10-passport 登录提升安全之二次验证(2FA)
一、什么是 2FA / MFA?为什么说是“质变级提升” 普通登录只有一个因子: 你知道什么 —— 密码 2FA 增加一层独立因子: 你拥有什么 / 你是什么 常见组合: 密码 + 短信验证码 密码 + 邮箱验证码 密码 + Google Authenticator 密码 + 指纹 / FaceID / 硬件令牌 攻击场景对比: ...2025-11-20 06:12:33 | plateform
Echo Blog
江湖无名 安心练剑