-
三种常见web架构
ASP.NET = windows + iis + SQL server +ASP
J2EE = UNIX + TOMCAT + OPACLE + JSP
LAMP + LINUX + APACHE + MYSQL + PHP
-
手段:后门、webshell、提权
cookie,session,token
cookie:是某些网站为了辨别用户身份,进行Session跟踪而储存在用户本地终端上的数据(通常经过加密),由服务器生成,发送给用户浏览器,由用户客户端计算机暂时或永久保存的信息(有生命周期,有的页面关闭就失效,有的可以保存7天等) 。下一次请求同一网站会把该cookie发送给服务器
session(“会话控制”):Session对象存储特定用户会话所需的属性及配置信息。相当于区分请求对象的“身份标识”。客户端一边以cookie的方式保存,服务器使用session把用户的信息临时保存在服务器上,用户离开就被销毁。session有时用于首选项设置
token(临时令牌):常用于身份验证,特点:1-无状态、可扩展 2-支持移动设备 3-跨程序调用 4-安全
过程:
- 用户通过用户名和密码发送请求
- 程序验证
- 程序返回一个签名的token给客户端
- 客户端存储token,并且每次用于每次发送请求(每一次请求都需要token,且token应该在HTTP的头部发送从而保证了HTTP请求无状态)
- 服务端验证token并返回数据
思路:
- 用户登录校验,成功后就返回token给客户端
- 客户端收到数据后保存在客户端
- 客户端每次访问API是携带token到服务器端
- 服务器端采用filter过滤器校验。校验成功则返回请求数据,失败则返回错误码。
彻底理解cookie,session,token学习网址: