标签:安全
共 9 篇文章
-
AES 加密实战:从 GCM 认证加密到 PBKDF2 密钥派生的完整指南
系统讲解 AES 对称加密:GCM/CBC/CTR 三种工作模式对比、认证加密原理、padding oracle 攻击防御、IV/Nonce 管理最佳实践、PBKDF2 密码派生、密钥长度选择、Web Crypto API 加解密实现、加密-然后-MAC 方案、Node.js/Python/Java 服务端代码示例。配套在线 AES 加解密工具实操演练。
-
椭圆曲线密码学与 ECDSA 签名:从 ES256 到 JWT 实践
系统讲解椭圆曲线密码学(ECC)原理、ECDSA 签名算法、JWT 中 ES256/ES384/ES512 三种算法的曲线选择、密钥生成、签名格式(r||s raw 拼接)、与 RS256 的性能与安全对比,以及在浏览器中基于 Web Crypto API 的完整实现。配套在线 JWT 签名生成器实操。
-
JWT 验签实战:从签名校验到声明合规的完整指南
系统讲解 JWT 签名验证的完整流程:三类算法(HMAC/RSA/ECDSA)的验签密钥模型、Web Crypto API 验签实现、alg=none 攻击与算法白名单防御、exp/nbf/iat 时间声明校验、iss/aud/jti 业务声明合规、常量时间比较防时序攻击、JWKS 与密钥轮换、Node.js/Python/Java 服务端验签代码示例。配套在线 JWT 验签工具实操演练。
-
JWT 签名实战:HS256/RS256 算法选型、密钥管理与签发实现
从开发者签发 JWT 的视角,系统讲解 HMAC 对称密钥(HS256/HS384/HS512)与 RSA 非对称密钥(RS256/RS384/RS512)的算法选型、密钥生成与保管、Web Crypto API 签名实现细节、声明字段最佳实践、服务端验签要点与常见安全陷阱。配套在线 JWT 签名生成器实操演练。
-
国际化域名 IDN 与 Punycode:从 RFC 3492 到中文域名实战
深入解析国际化域名(IDN)与 Punycode 编码原理:Bootstring 算法、ACE 前缀 xn--、bias 自适应、码点升序编码、标签级处理与长度校验。涵盖 RFC 3492/5890/5891 标准演进、中文域名注册流程、Emoji 域名、IDN 同形字钓鱼风险与防御,并附纯原生 TypeScript 实现要点。
-
密码强度与熵:从随机数到强密码的完整指南
系统讲解密码强度的本质——香农熵,以及 CSPRNG 与 PRNG 的差异、模偏差与拒绝采样、字符集策略、记忆密码 vs 密码管理器、NIST SP 800-63 现代密码实践。结合在线密码生成器实操,帮你做出真正不可破解的强密码。
-
JWT 安全进阶:Refresh Token、黑名单、算法选择与漏洞防御
深入讲解 JWT 生产环境安全实践:双令牌刷新机制(access token + refresh token)、JWT 黑名单与吊销方案(Redis/数据库/内存)、HS256/RS256/ES256 算法选择决策树、alg=none 攻击与密钥混淆漏洞防御、Token 存储位置对比、CSRF 与 JWT 关系。配套在线 JWT 解码工具实操演练。
-
JWT 入门与安全实践:三段式结构、算法选型与解码实现
系统讲解 JSON Web Token 的三段式结构(Header.Payload.Signature)、base64url 编码、7 个标准声明字段、HS256/RS256/ES256 算法选型对比、签名密钥管理、过期与刷新机制、常见安全陷阱。配套在线 JWT 解码工具实操演练。
-
前端安全实战:CSP、XSS、CSRF 防护全景指南
系统讲解前端三大安全威胁:XSS(跨站脚本攻击)、CSRF(跨站请求伪造)、CSP(内容安全策略)。覆盖三种 XSS 类型与载荷、CSRF 与 XSS 的本质区别、SameSite Cookie 与 CSRF Token 防御、CSP 指令与 nonce/hash 用法、上下文相关编码策略。配套可交互工具矩阵,帮你一图搞清该用哪种防御手段。