鐵人檔案
大多數的系統,為了區分使用者權限,都會存在著身分與角色功能,像是如同超人一般的 root,抑或是毫無存在感的 guest。系統的身分驗證功能,是非常需要注重安全的,不然人人都是 root 豈不天下大亂?未來三十天將會跟大家討論,在網頁架構下如何安全地做身分驗證。
前面已經介紹了非常多密碼學相關的術語或實作,今天要介紹的數位簽章,是加密與雜湊的組合技! 原理 之前在介紹 RSA 時,有提過一般都是使用公鑰加密、私鑰解密。數...
今天將會是密碼學最後一個常見的主題:亂數。 分類 亂數的隨機性有三個參考標準: 統計學偽隨機性,看起來很亂,而且取樣極大的時候,分布是平均的。但產生的過程有...
近年來 Web 與相關技術進步,讓在此平台上的應用程式大放異彩,但同時對於身分驗證的安全要求也更加地嚴謹。 身分驗證會有下面三個必要的過程與注意事項,以下會一一...
在 Web 領域裡,要在公開服務上對一般的使用者做身分驗證,最常見的實作即帳號密碼驗證。包括 Google、Facebook、AppleID 等,都是使用帳號密...
一般使用者需要做身分驗證,呼叫 API 一樣也需要做身分驗證。只是因為情境與角色不同,所以驗證方法會稍有不同。 大部分的 API 設計目的都是讓其他服務呼叫(也...
即使有許多教科書以及第三方套件可以參考,但真的要從頭規劃與設計一個安全的帳號密碼驗證功能,並不是件容易的事。因此有另一個解決方案即為,透過安全可靠的第三方身分驗...
最近前天都在討論如何做身分驗證。目前討論到的三種方法有一個共同特色--依賴一開始註冊的使用者憑證(credentials)來做為身分驗證的依據,一般最常見的就是...
密碼管理在討論的主要以使用者所輸入的密碼為主,而有另一種類似密碼用途的字串,也用在身分驗證上,正是 token。接下來會來討論最近不少人在使用的 JWT,它是一...
JWS 的全名為 JSON Web Signature,定義在 RFC 7515 裡面,主要定義了資訊的格式以及序列化(serialization)的方法。從名...
