后端其他 - JavaScript.net.cn 「线球实验室」

后端其他

使用阿里云对象存储的时候，私有的文件，生成一个授权key，就可以访问私有的文件。使用 Nginx 也可以开发出这种功能。比如，一个静态资源地址是 https://test.com/uploads/test.mp3，现在使用 Njs 可以做到无法使用这个链接直接访问，需要添加后面的加密字符串才能访问。https://test.com/uploads/test.mp3?key=3F3MVJbx-YCb5NTIpf2x77xtNmQxc-5yx_qMnginx.conf 配置文件添加：http { ... ### Njs 配置 js_path '/usr/local/nginx/conf/

admin  2023-07-27  运维,nginx  169

后端其他前端

RESTful API 执行 delete 返回204无法获取 Body

在浏览器中 RESTful API 执行 delete 返回204无法获取 Body，也就是说执行成功后，只能返回空的。无法获取到返回的 Body 内容。使用 restclient 可以获取到 body。大多数人都认为204是成功删除的良好响应代码，因为通常没有充分的理由在删除某些内容后返回响应正文。所以，如果 delete 操作成功且响应主体为空，则返回204。如果 delete 操作成功且响应主体为非空，则返回200。

admin  2023-05-10  394

后端其他

Authorization Schemes 认证模式

通用HTTP身份验证有几种身份验证模式，每种模式在安全强度不同，在客户机或服务器软件中的可用性方面可能有所不同。最常见的认证方案是“基本”认证方案，下面将详细介绍它。参考：https://javascript.net.cn/article?id=628IANA维护着一个认证方案列表，但是主机服务也提供了其他的认证方案，比如Amazon AWS。常见的认证方案包括:BasicSee RFC 7617, base64-encoded credentials. More information below.https://tools.ietf.org/html/rfc7617BearerSee RF

admin  2021-01-29  HTTP  890

后端其他

HTTP 消息头 Content-Disposition

Content-Disposition 通常作用于两种情况中，“作为消息主体中的消息头”或“作为multipart body中的消息头”作为消息主体中的消息头一般情况下，Content-Disposition 响应头指示返回的内容，是以内联的形式（即网页或者页面的一部分），还是以附件的形式下载并保存到本地。Content-Disposition: inline默认值，表示回复中的消息体会以页面的一部分或者整个页面的形式展示Content-Disposition: attachment表示消息体应该被下载到本地；Content-Disposition: attachment; filename=

admin  2021-01-28  HTTP  951

算法后端其他

阿里的后端安全规约

1. 【强制】隶属于用户个人的页面或者功能必须进行权限控制校验。说明:防止没有做水平权限校验就可随意访问、修改、删除别人的数据，比如查看他人的私信内容。2. 【强制】用户敏感数据禁止直接展示，必须对展示数据进行脱敏。说明:中国大陆个人手机号码显示为:137****0969，隐藏中间 4 位，防止隐私泄露。3. 【强制】用户输入的SQL参数严格使用参数绑定或者METADATA字段值限定，防止SQL注入，禁止字符串拼接 SQL 访问数据库。反例:某系统签名大量被恶意修改，即是因为对于危险字符 # --没有进行转义，导致数据库更新时，where 后边的信息被注释掉，对全库进行更新。4. 【强制

admin  2020-04-27  安全  799

后端其他

函数式编程初探

诞生50多年之后，函数式编程（functional programming）开始获得越来越多的关注。不仅最古老的函数式语言Lisp重获青春，而且新的函数式语言层出不穷，比如Erlang、clojure、Scala、F#等等。目前最当红的Python、Ruby、Javascript，对函数式编程的支持都很强，就连老牌的面向对象的Java、面向过程的PHP，都忙不迭地加入对匿名函数的支持。越来越多的迹象表明，函数式编程已经不再是学术界的最爱，开始大踏步地在业界投入实用。也许继"面向对象编程"之后，"函数式编程"会成为下一个编程的主流范式（paradigm）。未来的程序员恐怕或多或少都必须懂一点。但

admin  2020-04-24  HTTP  685

后端其他

详解 RESTful API 中的动词覆盖

今天，写篇文章介绍一下 RESTful API 中的动词覆盖吧。在开发各种小程序的时候，总是会遇到不能正常支持 HTTP 请求的平台，比如支付宝小程序只支持 GET 和 POST 请求，这时候充分利用 HTTP 请求方法的 RESTful API 就会遇到问题，不支持 PUT, PATCH, DELETE 请求，该怎么办呢？嗯，使用动词覆盖。什么是动词覆盖我最初遇到不支持全部 HTTP 请求的时候，解决方案是修改 API 路径，比如 DELETE /user/:id 时，我的方案是 POST /user/:id/delete。后来看了阮一峰的《RESTful API 最佳实践实践》，才明白有

admin  2020-04-09  RESTful API  992

后端其他

HTTP Authorization 之 Basic Auth

一、简介在HTTP中，基本认证（Basic access authentication）是一种用来允许网页浏览器或其他客户端程序在请求时提供用户名和口令形式的身份凭证的一种登录验证方式。最明显的特征是，Basic Auth 就是在请求的时候在headers中设置 Authorization: "Basic 用户名和密码的base64加密字符串"。JWT Token 认证，建议把 Token 保存在 Authorization Bearer中。二、访问形式1、使用浏览器在使用浏览器访问设置了 HTTP Basic Auth 的服务器时，会弹出对话框，输入用户名和密码即可。2、使用 HTTP Cl

admin  2019-08-18  HTTP  1250

后端其他

API Rate Limiting 限速

1，令牌桶算法(Token Bucket)令牌桶算法(Token Bucket) 随着时间流逝，系统会按恒定1/QPS时间间隔(如果QPS=100，则间隔是10ms)往桶里加入Token，如果桶已经满了就不再加了。新请求来临时，会各自拿走一个Token，如果没有Token可拿了就阻塞或者拒绝服务。令牌桶的另外一个好处是可以方便的改变速度。一旦需要提高速率，则按需提高放入桶中的令牌的速率。一般会定时(比如100毫秒)往桶中增加一定数量的令牌，有些变种算法则实时的计算应该增加的令牌的数量。2，算法实现对于每个 Bucket 设置一个定时器，而一个定时器就是一条线程。那么在你的服务器上，光是分

admin  2019-08-06  RESTful API  1047

后端其他

HTTP header详解

General 通用信息Request URL：详细地址如域名,参数传值等信息。Request Method: 请求方式如：get,post,head,put,delete optionsStatus Code ：返回的状态码如：200,400,403,500等等Remote Address 请求远程ip 地址Referrer Policy：1、no-referrer-when-downgrade(默认值) 在没有指定任何策略的情况下用户代理的默认行为，在同等安全级别的情况下，引用页面的地址会被发送(HTTPS->HTTPS),但是在降级的情况下不会被发送(HTTPS->HTTP)

admin  2019-07-31  HTTP  861

后端其他

RESTful API 最佳实践

一、URL 设计1.1 动词 + 宾语RESTful 的核心思想就是，客户端发出的数据操作指令都是"动词 + 宾语"的结构。比如，GET /articles这个命令，GET是动词，/articles是宾语。动词通常就是五种 HTTP 方法，对应 CRUD 操作。GET：读取（Read） POST：新建（Create） PUT：更新（Update） PATCH：更新（Update），通常是部分更新 DELETE：删除（Delete）根据 HTTP 规范，动词一律大写。1.2 动词的覆盖有些客户端只能使用GET和POST这两种方法。服务器必须接受POST模拟其他三个方法（PUT、PAT

admin  2019-04-24  RESTful API  893

后端其他

JSON Web Token 简介和实现

JSON Web Token（缩写 JWT）是目前最流行的跨域认证解决方案，本文介绍它的原理和用法。一、跨域认证的问题互联网服务离不开用户认证。一般流程是下面这样。1、用户向服务器发送用户名和密码。2、服务器验证通过后，在当前对话（session）里面保存相关数据，比如用户角色、登录时间等等。3、服务器向用户返回一个 session_id，写入用户的 Cookie。4、用户随后的每一次请求，都会通过 Cookie，将 session_id 传回服务器。5、服务器收到 session_id，找到前期保存的数据，由此得知用户的身份。这种模式的问题在于，扩展性（scaling）不好。单机当然没有问题

admin  2019-04-24  RESTful API  836

后端其他

跟Github学习设计不符合 CRUD 情况的RESTful API

在实际资源操作中，总会有一些不符合 CRUD（Create-Read-Update-Delete）的情况，一般有几种处理方法。1. 使用 POST 为需要的动作增加一个 endpoint，使用 POST 来执行动作，比如: POST /resend 重新发送邮件。2. 增加控制参数添加动作相关的参数，通过修改参数来控制动作。比如一个博客网站，会有把写好的文章“发布”的功能，可以用上面的 POST /articles/{:id}/publish 方法，也可以在文章中增加 published:boolean 字段，发布的时候就是更新该字段 PUT /articles/{:id}?publish

admin  2018-09-16  RESTful API  880

后端其他

跨域简单请求变成非简单请求导致的Bug

当一个api是GET请求，地址是http://javascript.net.cn/user/comments 正常的GET请求是没有问题的，但是有时候该GET请求会变成非简单请求。比如： this.$http({ method: 'GET', url: '/user/comments', params: {page:1, object_id:that.article.id, table_name:"portal_post"}, headers: { 'XX-Token': tools.getCookie('token'),

admin  2018-05-16  RESTful API  1069

后端其他

跨域资源共享 CORS 详解「转载」

CORS是一个W3C标准，全称是"跨域资源共享"（Cross-origin resource sharing）。它允许浏览器向跨源服务器，发出XMLHttpRequest请求，从而克服了AJAX只能同源使用的限制。本文详细介绍CORS的内部机制。一、简介 CORS需要浏览器和服务器同时支持。目前，所有浏览器都支持该功能，IE浏览器不能低于IE10。整个CORS通信过程，都是浏览器自动完成，不需要用户参与。对于开发者来说，CORS通信与同源的AJAX通信没有差别，代码完全一样。浏览器一旦发现AJAX请求跨源，就会自动添加一些附加的头信息，有时还会多出

admin  2018-05-16  RESTful API  623

后端其他

PATCH和PUT方法的区别？

PATCH方法是新引入的，是对PUT方法的补充，用来对已知资源进行局部更新. patch方法用来更新局部资源，这句话我们该如何理解？假设我们有一个UserInfo，里面有userId， userName， userGender等10个字段。可你的编辑功能因为需求，在某个特别的页面里只能修改userName，这时候的更新怎么做？人们通常(为徒省事)把一个包含了修改后userName的完整userInfo对象传给后端，做完整更新。但仔细想想，这种做法感觉有点二，而且真心浪费带宽(纯技术上讲，你不关心带宽那是你土豪)。于是patch诞生，只传一个userName到指定资源去，表示该请求是一个局

admin  2017-12-02  HTTP  759

后端其他

HTTP 协议入门

HTTP 协议是互联网的基础协议，也是网页开发的必备知识，最新版本 HTTP/2 更是让它成为技术热点。本文介绍 HTTP 协议的历史演变和设计思路。一、HTTP/0.9HTTP 是基于 TCP/IP 协议的应用层协议。它不涉及数据包（packet）传输，主要规定了客户端和服务器之间的通信格式，默认使用80端口。最早版本是1991年发布的0.9版。该版本极其简单，只有一个命令GET。GET /index.html 上面命令表示，TCP 连接（connection）建立后，客户端向服务器请求（request）网页index.html。协议规定，服务器只能回应HTML格式的字符串，不能回应别的格

admin  2016-09-06  HTTP  729

后端其他

RESTful API 设计指南

首先要明确一点：REST 实际上只是一种设计风格，它并不是标准。（所以你可以看到网上一大堆的各种最佳实践，设计指南，但是没有人说设计标准）。说说几个重要的概念： 1、REST 是面向资源的，这个概念非常重要，而资源是通过 URI 进行暴露。URI 的设计只要负责把资源通过合理方式暴露出来就可以了。对资源的操作与它无关，操作是通过 HTTP动词来体现，所以REST 通过 URI 暴露资源时，会强调不要在 URI 中出现动词。比如：左边是错误的设计，而右边是正确的。GET /rest/api/getDogs --> GET /rest/api/dogs 获取所有小狗狗 GET /rest

admin  2016-09-04  RESTful API  718

后端其他

网络协议入门

一、概述1.1 五层模型互联网的实现，分成好几层。每一层都有自己的功能，就像建筑物一样，每一层都靠下一层支持。用户接触到的，只是最上面的一层，根本没有感觉到下面的层。要理解互联网，必须从最下层开始，自下而上理解每一层的功能。如何分层有不同的模型，有的模型分七层，有的分四层。我觉得，把互联网分成五层，比较容易解释。如上图所示，最底下的一层叫做"实体层"（Physical Layer），最上面的一层叫做"应用层"（Application Layer），中间的三层（自下而上）分别是"链接层"（Link Layer）、"网络层"（Network Layer）和"传输层"（Transport Layer

admin  2015-09-29  HTTP  733