架构

以下是当你在设计，测试以及发布你的 API 的时候所需要核对的重要安全措施。 身份认证 [ ] 不要使用 Basic Auth ，请使用标准的认证协议（如 JWT，OAuth）。 [ ] 不要重新实现 Authentication、token generating 和 password storage，请使用标准库 ...

...

第一个极端是当您的应用程序非常简单且流量很低，通过使用完全托管的服务来降低复杂性确实能够节省成本。 这是 Heroku 铺就的道路，也是 Render 等其他服务商所追随的道路。当您没有客户时，这是一个绝佳的起点，即使在您开始拥有一些客户后，它仍能推动您的业务发展。（然后，一旦使用量激增，账单飙升到天际线上时，您可能会 ...

所谓认证（authentication）就是确认用户的身份，是网站登录必不可少的步骤。 密码是最常见的认证方法，但是不安全，容易泄露和冒充。 越来越多的地方，要求启用双因素认证（Two-factor authentication，简称 2FA）。本文介绍它的概念和实现方法。 一、双因素认证的概念 一般来说，三种不同 ...

前端开发是 Web 应用程序的基础。在本文中，我们将介绍各种优化应用前端性能的技术，如图像压缩、懒加载和浏览器缓存。 1、图片优化 图片压缩 您可能听说过压缩图像，但您知道它是如何工作的吗？图像压缩是在不影响图像质量的情况下减小图像大小的过程。压缩图像可以提高网页性能。 有两种类型的压缩：无损压缩和有损压缩。无损保留图 ...

负载 负载就是cpu在一段时间内正在处理以及等待cpu处理的进程数之和的统计信息，也就是cpu使用队列的长度统计信息，这个数字越小越好（如果超过CPU核心*0.7就是不正常） 负载分为两大部分：CPU负载、IO负载 例如，假设有一个进行大规模科学计算的程序，虽然该程序不会频繁地从磁盘输入输出，但是处理完成需要相当长的时 ...

XSS XSS (Cross Site Script)，跨站脚本攻击，因为缩写和 CSS (Cascading Style Sheets) 重叠，所以只能叫 XSS。 XSS 的原理是恶意攻击者往 Web 页面里插入恶意可执行网页脚本代码，当用户浏览该页之时，嵌入其中 Web 里面的脚本代码会被执行，从而可以达到攻击者 ...

CORS是一个W3C标准，全称是"跨域资源共享"（Cross-origin resource sharing）。 它允许浏览器向跨源服务器，发出XMLHttpRequest请求，从而克服了AJAX只能同源使用的限制。 本文详细介绍CORS的内部机制。 （图片说明：摄于阿联酋艾因（Al Ain）的绿 ...

浏览器安全的基石是"同源政策"（same-origin policy）。很多开发者都知道这一点，但了解得不全面。 本文详细介绍"同源政策"的各个方面，以及如何规避它。 一、概述 1.1 含义 1995年，同源政策由 Netscape 公司引入浏览器。目前，所有浏览器都实行这个政 ...

JSON Web Token（缩写 JWT）是目前最流行的跨域认证解决方案，本文介绍它的原理和用法。 一、跨域认证的问题 互联网服务离不开用户认证。一般流程是下面这样。 1、用户向服务器发送用户名和密码。 2、服务器验证通过后，在当前对话（session）里面保存相关数据，比如用户角色、登录时间等等。 3、服务器向用户 ...

无密码身份验证正成为开发人员越来越受欢迎的选择。甚至像 Slack、Notion 和 PayPal 这样著名的产品都在过渡到 SMS、电子邮件或社交登录来进行身份验证。 它越来越多地被采用的一个原因是它天生就不太容易受到网络攻击。由于密码哈希都没有存储在数据库中（它们基于所使用的散列和加盐方案具有不同程度的安全性）， ...

什么是性能？ 假如你去 Google 下 Performance 这个关键字，可能会得到 5 亿个链接。 其中涉及的内容范围可能从自行车比赛到可怕的员工审查流程（如今很多公司已经学会了避免这个流程）。但假如我去 Google 下 Performance 这个关键字，大部分的首页链接都会与这篇文章的主题有关：计算机软件执 ...