V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  mingszu  ›  全部回复第 3 页 / 共 3 页
回复总数  56
1  2  3  
2020-09-04 11:02:58 +08:00
回复了 lighting233 创建的主题 北京 大家发没发现最近感冒的好多啊
感冒加 1
2020-08-20 13:10:53 +08:00
回复了 itfisher 创建的主题 职场话题 工作一年想裸辞,我到底该怎么办?
cy
2020-08-11 13:54:08 +08:00
回复了 JeremyTan 创建的主题 职场话题 今年裸辞找工作有感
请问楼主,刷题性价比高吗?好多东西要准备啊
老哥没有试试大厂吗,唉同 19 届最近也想裸辞找工作了
2020-04-21 10:19:38 +08:00
回复了 zxCoder 创建的主题 问与答 大家对于读不读研这个问题有什么看法
19 年毕业到所谓的互联网公司工作,现在也有考研的想法,主要是因为不想留在大城市卖命赚钱了,想考研回家工作
2020-04-20 14:47:01 +08:00
回复了 likeshu 创建的主题 职场话题 大龄有三年工作经验正在读研的职业 OR 人生规划请教?
楼主是用了多少时间准备考研呀?
2020-04-08 19:11:22 +08:00
回复了 1109599636 创建的主题 职场话题 突然觉得自己蛮幸运的
唉,我是年前沟通了一次涨薪,年后再次确认,谁知道最后一天 ceo 发邮件暂停涨薪
2020-01-21 13:29:36 +08:00
回复了 calvincc 创建的主题 问与答 这个肺炎应不应该重视下
去看看吧
2019-05-18 19:38:20 +08:00
回复了 threr123 创建的主题 求职 [深圳] Java 实习求职
找一个比较熟的项目详细写, 列那么多有点无用功
2018-07-31 16:07:25 +08:00
回复了 ericgui 创建的主题 程序员 前后端是怎么验证身份的?
说说我的看法:

首先 restful 也是基于 HTTP 协议,而 HTTP 事务本来就是无状态的,也就是每一次请求与响应都是相互独立的,而身份认证那些都是慢慢扩展出来的

认证方法
(一) HTTP 请求头例如 Authorization,用于存储用户名与密码来实现用户验证,就算是 restful 也是 http,你也可以每次都在请求头上带上你的用户名密码来验证,但是每次都传输用户名密码太不安全了
(二) session-cookie 模式:用户第一次登陆验证通过服务器将用户信息存储于 session 中,然后将 session 存储在本地服务器中,将 sessionid 发给客户端,客户端将 sessionid 存于 cookie,以后每次请求都带上 cookie,服务器根据 cookie 中的 sessionid 去查询 session,从而获取用户信息,就这样实现了身份认证
(三)基于 token 认证方式:用户第一次登陆验证通过时服务器将用户信息等生成 token,然后返回给客户端,客户端下次访问时带上 token,服务器解析 token 就可以获取用户信息;
token 与 session 相比:token 存储在客户端,session 存储在服务器,因此 token 适用手机 app 与服务器通信而 session 不适合
(四) oauth2 第三方授权
(五)签名:防篡改防重放,客户端将每一个请求参数与值即 key-value 对排序(末尾加上 appscret )排序然后生成签名然后发给给服务端,服务端验证自己生成的签名与客户端的是否相同(根据客户端发来的 appkey 查找对应的),相同即请求未被篡改,而根据时间戳就可以限制该客户端访问次数,从而避免流量丢失
2018-07-30 16:33:18 +08:00
回复了 linbomb 创建的主题 PHP oauth 协议里 request token 和 access token 的疑问?
这里有讲
https://stackoverflow.com/questions/13387698/why-is-there-an-authorization-code-flow-in-oauth2-when-implicit-flow-works-s

大概讲的是授权服务器会重定向到你所指定的 url,但是重定向没有 body 只能通过 URL 里拼接传参数,这样带来安全问题;而客户端服务器根据授权码向授权服务器发请求,它们之间的交流可以不通过 URL 传参数,可以通过 hash 段 access Token,hash 段不属于 http 请求它只能被浏览器所识别因此不能被中间人获取

除此之外,我自己的一些看法:
1.客户端会暴露 token
授权服务器是会根据客户端传来的 redirect_url 返回给客户端 3xx 重定向状态码,然后客户端再把授权码 code 传给客户端服务器,首先前端的都是不安全的,直接将 token 传给客户端会把 token 暴露,坏人就可以获取拿来干坏事了

2.授权服务器不会直接发 token
所有授权客户都需要向授权中心注册获取 appkey 与 appscrete,其中 appkey 为公开的而 appscrete 是只有客户端与服务器可见的,更重要的是 appscrete 只能存在客户端服务器不能直接存在客户端上不然同样会暴露。
因此客户端向授权中心申请授权时会发送自己的 appkey,然后授权中心会返回授权码,经过重定向到客户端服务器,客户端服务器申请授权时要将 appscrete 一起传给授权服务器,授权服务器一一对比确认无误后才会发放 token。
如果客户端只发送 appkey 就能直接获取 token,那么所有人都可以模拟该客户端来获取 token 了,这得多可怕
2018-07-30 15:28:58 +08:00
回复了 evgm 创建的主题 程序员 非科班应届生自学到什么程度可以找到 Java 实习
@vansl bat 的话大三下学期开始招实习生,内推的话可能简历不过,但是网申是大家一起笔试再面试的
2018-06-05 19:46:10 +08:00
回复了 evgm 创建的主题 程序员 非科班应届生自学到什么程度可以找到 Java 实习
@mingszu 准备一年到大三下学期去投内推网申
2018-06-05 19:45:15 +08:00
回复了 evgm 创建的主题 程序员 非科班应届生自学到什么程度可以找到 Java 实习
@vansl 我个人认为大二不必去找实习,如果你想找 BAT 那些级别实习的话,项目跟着培训的视频做个 xx 商城就足够了(尽量多用些新技术),然后去某刷题网站刷笔试题,最重要的是基础,要准备一两个能让面试官深挖的技术点,例如数据库,可以让跟面试官扯很久就差不多了。。
1  2  3  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5385 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 30ms · UTC 09:10 · PVG 17:10 · LAX 01:10 · JFK 04:10
Developed with CodeLauncher
♥ Do have faith in what you're doing.