比来放假在家确实无聊

看恋爱公寓甚至追不上vip的进度

所以在知乎上看了下web安适入门的网课

再结合此刻的项目理解了一下这些处所的应用

最根本的就是OWSAP TOP 10

也就是10种对照常见的web应用的打击方法 

首先对照初级的注入和跨站打击这些都能畴前后端进行防止

sql注入在此刻的一些官方库都可以进行防止了 好比gorm顶用问号取代的参数都是防注入的

一般go中只要不是fmt直接拼接的字符串都不会有注入的问题

跨站打击更多是畴前端进行防止

跨站xss打击也是一种注入 只不过是代码注入

具体的操纵还是看看知乎 

在此刻的项目中有具体应用的就是cookie的jwt令牌 

jwt主要由三部分构成 头部 内容 密钥签名

每两部分之间都是用小数点分隔断绝分手开

且每一部分的内容都是用base64加密 所以每一部分都是可逆的

但是因为有密钥的存在 所以保证了jwt的安适性

头部主要是声明类型和这里签名的加密的算法

类型显然就是jwt类型了

加密算法默认是HMAC SHA256(HS256) 不过我还没了解到另外 有另外应该也就是换个参数

内容就是我们要通报下去的内容

这部分内容是可以通过base64进行解码解出来的 所以不能存放一些敏感信息

最后一部分就是密钥签名

这部分会将上面的两部分和处事器上的密钥进行加密生成一个签名

这部分签在jwt的最后 因为密钥生存在处事器上 一般用户并不知道

所以jwt认证防御了用户伪造请求的打击

因此这个密钥也十分重要

参考：

https://zhuanlan.zhihu.com/p/46505934

https://zhuanlan.zhihu.com/p/42643704

https://www.jianshu.com/p/576dbf44b2ae