好文章记录一下

《This API is So Fetching》

1. 地址
   1. https://www.w3ctech.com/topic/854
2. 主要内容
   1. Fetch API 替代 XMLHttpRequest
   2. 用Fetch 修正 XHR的一些缺陷
3. Fetch 优化点
   1. 改善离线体验
   2. 保持可扩展性
4. 扩展内容
   1. HEADERS
      1. https://developer.mozilla.org/zh-CN/docs/Web/API/Headers
   2. BODy
      1. https://developer.mozilla.org/zh-CN/docs/Web/API/Body
   3. REQUEST
      1. https://developer.mozilla.org/zh-CN/docs/Web/API/Request
   4. RESPONSE
      1. https://developer.mozilla.org/zh-CN/docs/Web/API/Response

《基于 Redis 的分布式锁到底安全吗》

1. 地址
   1. https://juejin.im/post/58b3a93c1b69e60058b49767
2. 主要内容
   1. Redlock算法(主要解决单个分布式锁不安全的问题)
      1. https://redis.io/topics/distlock
   2. 基于单Redis节点的分布式锁
3. 感想
   1. 作者分析的还是很有道理的
   2. 分析的内容还是很有用的，从简单的原理开始慢慢的深入，想学习分布式锁相关知识的可以好好看看
   3. 一些基础知识点对我们写程序还是很有帮助的，比如redis设置一个键的值并且设置过期时间，你是一句完成呢，还是分两句？

《程序猿必读-防范CSRF跨站请求伪造》

1. 地址（地址比较长，内容很重要）
   1. https://github.com/mylxsw/growing-up/blob/master/doc/%E7%A8%8B%E5%BA%8F%E7%8C%BF%E5%BF%85%E8%AF%BB-%E9%98%B2%E8%8C%83CSRF%E8%B7%A8%E7%AB%99%E8%AF%B7%E6%B1%82%E4%BC%AA%E9%80%A0.md
2. 主要内容
   1. 什么是CSRF
   2. CSRF的危害
   3. 产生原来以及利用方式
   4. 防范原理
3. 扩展内容
   1. 《从零开始学CSRF》 http://www.freebuf.com/articles/web/55965.html
   2. http://www.freebuf.com (这个网站内容很nice,都是和安全相关的，大部分内容都是手把手教，教程很详细，想要防御必定先懂得攻击)
4. 感想
   1. 安全方面是程序员很容易忽视的一点
   2. 很多程序员都以为功能完成了就好
   3. 忽视了代码中的安全
   4. hash、签名算 法最好不要用md5,sha1 , 很多浏览器都不支持用md5、sha1
      1. 《SHA-1 加密算法破解现已只需要 10 天》 http://www.oschina.net/news/66889/sha-1-break-only-need-10-days
      2. 《紧随Mozilla：微软计划提前放弃支持SHA-1证书 》https://www.oschina.net/news/67824/microsoft-sha-1-certificates
   5. 使用安全性更高的 sha256 sha512 算法

《JSON Web Token - 在Web应用间安全地传递信息》

1. 地址
   1. http://blog.leapoahead.com/2015/09/06/understanding-jwt/
2. 主要内容
   1. JSON Web Token（JWT）是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。
   2. 主要介绍jwt的实现原来
3. 拓展内容
   1. 《八幅漫画理解使用JSON Web Token设计单点登录系统》 http://blog.leapoahead.com/2015/09/07/user-authentication-with-jwt/
   2. 使用场景
   1. 单点登录
   2. 信息校验
   3. 非敏感信息传递
4. 注意点
   1. 一定不要存敏感信息，数据是明文的，只是加了签名