通用HTTP身份验证有几种身份验证模式，每种模式在安全强度不同，在客户机或服务器软件中的可用性方面可能有所不同。最常见的认证方案是“基本”认证方案，下面将详细介绍它。参考：https://javascript.net.cn/article?id=628IANA维护着一个认证方案列表，但是主机服务也提供了其他的认证方案，比如Amazon AWS。常见的认证方案包括:BasicSee RFC 7617, base64-encoded credentials. More information below.https://tools.ietf.org/html/rfc7617BearerSee RF

Content-Disposition 通常作用于两种情况中，“作为消息主体中的消息头”或“作为multipart body中的消息头”作为消息主体中的消息头一般情况下，Content-Disposition 响应头指示返回的内容，是以内联的形式（即网页或者页面的一部分），还是以附件的形式下载并保存到本地。Content-Disposition: inline默认值，表示回复中的消息体会以页面的一部分或者整个页面的形式展示Content-Disposition: attachment表示消息体应该被下载到本地；Content-Disposition: attachment; filename=

1. 【强制】隶属于用户个人的页面或者功能必须进行权限控制校验。 说明:防止没有做水平权限校验就可随意访问、修改、删除别人的数据，比如查看他人的私信内容。2. 【强制】用户敏感数据禁止直接展示，必须对展示数据进行脱敏。 说明:中国大陆个人手机号码显示为:137****0969，隐藏中间 4 位，防止隐私泄露。3. 【强制】用户输入的SQL参数严格使用参数绑定或者METADATA字段值限定，防止SQL注入， 禁止字符串拼接 SQL 访问数据库。反例:某系统签名大量被恶意修改，即是因为对于危险字符 # --没有进行转义，导致数据库更新时，where 后边的信息被注释掉，对全库进行更新。4. 【强制

诞生50多年之后，函数式编程（functional programming）开始获得越来越多的关注。不仅最古老的函数式语言Lisp重获青春，而且新的函数式语言层出不穷，比如Erlang、clojure、Scala、F#等等。目前最当红的Python、Ruby、Javascript，对函数式编程的支持都很强，就连老牌的面向对象的Java、面向过程的PHP，都忙不迭地加入对匿名函数的支持。越来越多的迹象表明，函数式编程已经不再是学术界的最爱，开始大踏步地在业界投入实用。也许继"面向对象编程"之后，"函数式编程"会成为下一个编程的主流范式（paradigm）。未来的程序员恐怕或多或少都必须懂一点。但

今天，写篇文章介绍一下 RESTful API 中的动词覆盖吧。在开发各种小程序的时候，总是会遇到不能正常支持 HTTP 请求的平台，比如支付宝小程序只支持 GET 和 POST 请求，这时候充分利用 HTTP 请求方法的 RESTful API 就会遇到问题，不支持 PUT, PATCH, DELETE 请求，该怎么办呢？嗯，使用动词覆盖。什么是动词覆盖我最初遇到不支持全部 HTTP 请求的时候，解决方案是修改 API 路径，比如 DELETE /user/:id 时，我的方案是 POST /user/:id/delete。后来看了阮一峰的《RESTful API 最佳实践实践 》，才明白有

一、简介在HTTP中，基本认证（Basic access authentication）是一种用来允许网页浏览器或其他客户端程序在请求时提供用户名和口令形式的身份凭证的一种登录验证方式。最明显的特征是，Basic Auth 就是在请求的时候在headers中设置 Authorization: "Basic 用户名和密码的base64加密字符串"。JWT Token 认证，建议把 Token 保存在 Authorization Bearer中。二、访问形式1、使用浏览器在使用浏览器访问设置了 HTTP Basic Auth 的服务器时，会弹出对话框，输入用户名和密码即可。2、使用 HTTP Cl

1，令牌桶算法(Token Bucket)令牌桶算法(Token Bucket) 随着时间流逝，系统会按恒定1/QPS时间间隔(如果QPS=100，则间隔是10ms)往桶里加入Token，如果桶已经满了就不再加了。新请求来临时，会各自拿走一个Token，如果没有Token可拿了就阻塞或者拒绝服务。令牌桶的另外一个好处是可以方便的改变速度。 一旦需要提高速率，则按需提高放入桶中的令牌的速率。 一般会定时(比如100毫秒)往桶中增加一定数量的令牌， 有些变种算法则实时的计算应该增加的令牌的数量。2，算法实现对于每个 Bucket 设置一个定时器，而一个定时器就是一条线程。那么在你的服务器上，光是分

General 通用信息Request URL：详细地址   如域名,参数传值等信息。Request Method: 请求方式 如：get,post,head,put,delete optionsStatus Code ： 返回的状态码 如：200,400,403,500等等Remote Address 请求远程ip 地址Referrer Policy：1、no-referrer-when-downgrade(默认值) 在没有指定任何策略的情况下用户代理的默认行为，在同等安全级别的情况下，引用页面的地址会被发送(HTTPS->HTTPS),但是在降级的情况下不会被发送(HTTPS->HTTP)

一、URL 设计1.1 动词 + 宾语RESTful 的核心思想就是，客户端发出的数据操作指令都是"动词 + 宾语"的结构。比如，GET /articles这个命令，GET是动词，/articles是宾语。动词通常就是五种 HTTP 方法，对应 CRUD 操作。GET：读取（Read） POST：新建（Create） PUT：更新（Update） PATCH：更新（Update），通常是部分更新 DELETE：删除（Delete） 根据 HTTP 规范，动词一律大写。1.2 动词的覆盖有些客户端只能使用GET和POST这两种方法。服务器必须接受POST模拟其他三个方法（PUT、PAT

JSON Web Token（缩写 JWT）是目前最流行的跨域认证解决方案，本文介绍它的原理和用法。一、跨域认证的问题互联网服务离不开用户认证。一般流程是下面这样。1、用户向服务器发送用户名和密码。2、服务器验证通过后，在当前对话（session）里面保存相关数据，比如用户角色、登录时间等等。3、服务器向用户返回一个 session_id，写入用户的 Cookie。4、用户随后的每一次请求，都会通过 Cookie，将 session_id 传回服务器。5、服务器收到 session_id，找到前期保存的数据，由此得知用户的身份。这种模式的问题在于，扩展性（scaling）不好。单机当然没有问题