2019-12-10

将用户添加进来：ssh-add ~/.ssh/github_id_rsa

测试github是否连接成功：ssh -T [email protected]

Token

1.服务端产生的。如果前端使用用户名/密码向服务端请求认证，服务端认证成功，那么在服务端会返回 Token 给前端。前端可以在每次请求的时候带上 Token 证明自己的合法地位;

2.Token 完全由应用管理，所以它可以避开同源策略

-同源策略：same origin policy，浏览器最核心也最基本的安全功能。web的功能都是构建在同源策略基础之上的，浏览器只是针对同源策略的一种实现。所谓同源，是指域名、协议、端口相同

3.Token 可以避免 CSRF 攻击(http://dwz.cn/7joLzx)

-CSRF攻击：cross site request forgery，跨站点请求伪造。攻击者盗用你的身份，向服务器发送看似合法的恶意请求，比如邮件、消息、购买商品、虚拟货币等
防御：
-验证HTTP Referer字段
-在请求地址中添加token并验证
-在HTTP头中自定义属性并验证
-XSS攻击：cross site scripting，跨站脚本攻击。是一种经常出现在web应用中的计算机安全漏洞，它允许恶意web用户将代码植入到提供给它用户使用的页面中。盗取用户账户、控制企业数据、盗取具有商业价值的资料、非法转账、强制发送电子邮件、网站挂马、控制受害者机器向其他网站发起攻击。
攻击方式：
-反射型
-存储型
防范手段：
-入参字符过滤：把输入不合法的东西都过滤掉
-出参进行编码：如<>输出的时候后进行转换编码
-入参长度控制
-设置cookie httponly为true

4.Token 可以是无状态的，可以在多个服务间共享

session

为了解决在操作过程不能让用户感到 Token 失效这个问题，有一种方案是在服务器端保存 Token 状态，用户每次操作都会自动刷新（推迟） Token 的过期时间——Session 就是采用这种策略来保持用户登录状态的。

openid

是一个以用户为中心的数字身份识别框架，具有开放性、分散性。可以用来作为用户身份的一个身份认证。

cookie

cookie就是一个存在本地的一个字符串。每次请求的时候带上去给服务器，服务器通过这个字符串判断用户是谁，然后服务器那边也存了一个这个值，但是名字不一样，服务器那边存的值的名字叫做session。