什么是JWT？JWT全称是JSON Web Token，这是一个开放的RFC7519标准，它定义了在两者之间使用JSON安全传输数据的准则。传输的数据是可信的，并且是可验证的，因为数据已经添加了数字签名。签名可以用密钥或者是RSA密钥对签名。有什么特性呢？体积比较小，可以作为URL，POST数据等的参数，也可以放在HTTP头里面传输。另一方面，小意味着传输比较快。里面包含的信息都是可以直接拿来用的，避免了去数据库查询。什么时候应该使用JWT？典型场景：身份验证：这个是JWT最常用的场景了。一旦用户登录，之后的请求都需要带上JWT信息，验证通过之后才能访问授权的资源。比如单点登录，手机APP接口等。信息交换：因为JWT的数据是签名之后的数据，这样可以保证安全。JWT的数据结构由三部分组成，每一...

第一集：中文字幕版 HR-HDTV格式电驴链接：ed2k://|file|%E6%9D%83%E5%8A%9B%E7%9A%84%E6%B8%B8%E6%88%8F.Game.of.Thrones.S07E01.%E4%B8%AD%E8%8B%B1%E5%AD%97%E5%B9%95.WEBrip.720P.mp4|739345005|f76adc5f571e2b634ef8650dd2206369|h=brpkotf4j6l46d2n7wscql4yovixvo2e|/磁力链接：magnet:?xt=urn:btih:76a86361c22f34373a458282468c7e6b02d772ce&tr=http://tracker.openbittorrent.com/annou...

在理论篇我们基本了解了DNS的整个协议原理，但是可能还会有着下面的疑问：为什么我想申请的域名都没了？DNS 域名还要备案，这是为什么啊？如何将刚申请的域名绑定到自己的网站呢？怎么才能看到那些在背后默默给我解析的域名服务器呢？他们说用一个什么文件就可以访问好多好多不存在的网站，是真的吗？可信任的域名服务器是怎么一回事，难道有些域名服务器会做坏事？怎么知道我现在用的域名服务器有没有使坏呢？……我不准备一个一个地去回答这些问题，不过相信我，读完本文，对于上面问题的答案你会有一个清晰的认识，并且可以解决其他各种各样关于 DNS 方面的问题。域名注册、绑定首先明确一点，每个人都可以去注册域名。大多数时候我们希望去注册一个顶级域名（比如selfboot.cn, google.com等），那些二级域名毕竟...

对于 DNS(Domain Name System) 大家肯定不陌生，不就是用来将一个网站的域名转换为对应的IP吗。当我们发现可以上QQ但不能浏览网页时，我们会想到可能是域名服务器挂掉了；当我们用别人提供的hosts文件浏览到一个“不存在”的网页时，我们会了解到域名解析系统的脆弱。然而关于DNS还有一大堆故事值得我们去倾听，去思考。DNS 源起要想访问网络上的一台计算机，我们必须要知道它的IP地址，但是这些地址（比如243.185.187.39）只是一串数字，没有规律，因此我们很难记住。并且如果一台计算机变更IP后，它必须通知所有的人。显然，直接使用IP地址是一个愚蠢的方案。于是人们想出了一个替代的方法，即为每一台计算机起一个名字，然后建立计算机名字到地址的一个映射关系。我们访问计算机的名字...

之前不一小心把Ubuntu16.10所有软件的apt-get配置给删了，然后就把系统给重新装了一遍。想一下以后如果要再次重装系统的话，配置服务器这些有点繁琐，然后就想了下，web服务都用docker来运行。docker基础用法，看起来还挺简单的，但是在我实际的使用中，按照自己的想法去部署服务的时候还是遇到了一些书上没说的细节问题。这些细节问题，进行不下去时候，那么我先去搜索，搜索不到再去发帖，这样有时候会在一个小点上面卡主好几天。看到这里，我当然都把这些问题一一解决了。我这里的架构是Nginx+MySQL+PHP的。一开始我是想用Dockerfile文件，把它们三个全都放到一个镜像里面取，一开始的Dockerfile内容如下：FROM ubuntu:latest RUN apt-get up...

小计一笔，这里仅限是环境搭建的过程。搭了个LNMP的环境，估计很多同学最常遇到的就是502了吧？我搭了那么多次，就是502最多。我遇到的一般都出在用户的设置和目录权限的配置上面的，解决这两点一般就不会有什么问题了。配置nginx，新建了个用户组web，和用户webuser。改配置nginx.conf的user选项为user webuser。执行nginx -t报错：nginx: [emerg] getgrnam("webuser") failed in /etc/nginx/nginx.conf:1 nginx: configuration file /etc/nginx/nginx.conf test failed这什么意思啊？一番搜索之后好像没什么有用信息。原来是user www-dat...

这服务器过期好久了，去后台看了，套餐都不见了，网站竟然还在，还能访问，惊讶。难道是忘记清理了？哈。。。还是去买了个vps来搞搞，之前用的是虚拟主机。昨晚去linode买了个最低配置的主机，新加坡节点，今天起来就搭了个环境，把网站运行起来了。感觉速度还可以啊！嘿嘿！...

1、验证码验证码被认为是对抗CSRF攻击最简洁而有效的防御方法CSRF攻击的过程，往往是在用户不知情的情况下构造了网络请求。而验证码，则强制用户必须与应用交互，才能完成最终请求。因此，在通常情况下，验证码能够很好地遏制CSRF攻击。通常我们不可能在所有地方都加上验证码，所有这个也只能作为一种辅助手段。2、Referer Check就是检查请求的来源，这个还可以用来做图片的防盗链。Referer是由浏览器通过HTTP头来发送的。但是，这个头也不是什么时候都有的，很多情况下都是没有的，还可以通过程序来自定义。这个也只能作为一个辅助手段。3、Anti CSRF Token防御CSRF的主要方法是使用一个Token。CSRF的本质原因就是重要操作的所有参数都能被攻击者猜测到。攻击者只有预测出一个UR...

1、HttpOnlyHttpOnly最早由微软提出，并在IE6中实现，至今已经逐渐成为一个标准。浏览器将禁止页面的javascript访问带有HttpOnly属性的Cookie。严格来说，HttpOnly并非为了对抗XSS，HttpOnly解决的是XSS后的Cookie劫持攻击。PHP设置带HttpOnly属性Cookie的方法是使用自带的setcookie函数：setcookie('PHPSESSID', '79ce945e3bfd1917919e63a7ddbfe385', null, null, null, null, true);最后一个参数是设置httponly属性，执行后服务器会发送如下设置cookie的头：Set-Cookie:PHPSESSID=79ce945e3bfd191...

CORS全称是Cross-Origin Resource Sharing（跨域资源共享），是W3C推荐的跨域请求方案。同时也需要服务器端程序的配合。作用主要是以下这些跨站http请求：1、跨域的AJAX请求。2、网络字体(Web Font)，就是css里面 @font-face定义的字体，可以在服务器端配置哪些域允许跨站载入这些TrueType字体。3、WebGL的纹理（texture）文件。4、用HTML5的drawImage函数画到canvas里面的图片。场景示例简单的请求一个简单的跨域请求像下面描述的那样：1、只使用了GET, HEAD 或者POST。假如POST用来向服务器发送数据的话，HTTP头的Content-Type字段值是application/x-www-form-urle...