把最近这些安全的问题整理一下
http是一个用户层的协议,这个协议中包括用户的数据,其中http的headers和body都是数据,然后所谓的token等都是http的内容,然后就ssl/tls的内容,这部分应该说是对http透明的,是在传输数据之前的加密层,是为了保证在http表单中的内容外界不可见;
session能被窃取吗?
除非用户的电脑被窃取,要不然session是不会被窃取的,因为session是http中的内容,已经被tls层给加密了;我之前的怀疑是session被窃取了,是说自己的电脑直接成了一台肉鸡,有病毒直接侵占了你的电脑,这种情况下谁都解决不了,因为你输入的密码,可能被浏览器上的病毒给截获掉了,那么这种情况谁都解决不了,所以有了验证码的机制,记录一下session就好了,django中的session也是为了解决这个问题呢。
好,那么现在django包括http相关的安全问题都解决好了,那么平常我们使用公钥鉴权目的是啥子呢?
有什么问题呢?是身份鉴定啊,我们登录的时候,使用自己的私钥加密,作为自己的身份的验证,然后在另一侧使用自己的公钥解密;这就是我们计算机当中的安全系统了,当然如果你的机器成为了一台肉鸡,那么这就是一颗深龋了,从根子上就是坏掉的了,人类已经无法解救你了。