一.JWT 1.什么是JWT JSON Web Token (JWT)是一个开放标准(RFC 7519) ，它定义了一种紧凑和自包含的方式，用于作为 JSON 对象在各方之间安全地传输信息。此信息可以进行验证和信任，因为它是经过数字签名的。JWT 可以使用机密(使用 HMAC 算法)或使用 RSA 或 ECDSA 的公钥/私钥对进行签名。 虽然可以对 JWT 进行加密，以便在各方之间提供保密性，但是我们将关注已签名的Token。签名Token可以验证其中包含的声明的完整性，

一、API安全概述          应用程序编程接口 (API) 允许软件应用程序相互交互。它是现代软件模式的基本组成部分，例如微服务架构。         API 安全是保护 API 免受攻击的过程。由于 API 非常常用，而且它们可以访问敏感的软件功能和数据，因此它们正成为攻击者的主要目标。          API 安全性是现代 Web 应用程序安全性的关键组成部分。API 可能存在身份验证和授权损坏、缺乏速率限制和代码注入等漏洞。组织必须定期测试 API 以识别漏洞，并使用安全最

目录 一 token 接口改造 二  token 有效期可配 三 上课期间 token 不过期 四 老版本 APP 不崩溃 五 密码变更，token 失效 六 颁发、续约 token 接口安全性 七 token 签发可控 八 token 认证接口压测 JWT 实现 token 认证_新猿一马的博客-CSDN博客目录一 什么是 JWT二 JWT 适用场景2.1 认证2.2 信息交换三 几种认证方式3.1 session 认证3.2 token 认证四 JWT 的数据结构4.1

1.共享cookie实现单点登录 1.1 单系统登录的解决方案是cookie，cookie携带会话id在浏览器与服务器之间维护会话状态。但是cookie是有限制的，这个限制就是cookie的域(通常对应网站的域名)，浏览器发送http请求时会自动携带与该域匹配的cookie，而不是所有cookie。 1.2 共享cookie的方式存在众多局限： 1）首先，应用群域名得统一； 2）应用群各系统使用的技术（至少是web服务器）要相同，不然cookie的key变量（tomcat为JSESSION

一、生成密钥证书jwt.jks tips: 需jdk环境 # Keytool 是一个java提供的证书管理工具 # -alias：密钥的别名 # -keyalg：使用的hash算法 # -keypass：密钥的访问密码 # -keystore：密钥库文件名，jwt.jks -> 生成的证书 # -storepass：密钥库的访问密码 keytool -genkeypair -alias small-tools -keyalg R

源码链接（免积分、不付费） 初始化Node.js项目 1.创建项目 创建项目文件夹，并再项目根目录初始化npm包管理文件，以ExpressServer为例，代码如下： mkdir ExpressServer && cd ExpressServer npm init -y 运行如下命令安装express： npm i express 创建项目入口文件，并初始化内容如下： //1. 导入express模块 const express = require('ex