感冒加 1

cy

请问楼主，刷题性价比高吗？好多东西要准备啊

老哥没有试试大厂吗，唉同 19 届最近也想裸辞找工作了

19 年毕业到所谓的互联网公司工作，现在也有考研的想法，主要是因为不想留在大城市卖命赚钱了，想考研回家工作

楼主是用了多少时间准备考研呀？

唉，我是年前沟通了一次涨薪，年后再次确认，谁知道最后一天 ceo 发邮件暂停涨薪

去看看吧

找一个比较熟的项目详细写， 列那么多有点无用功

说说我的看法：

首先 restful 也是基于 HTTP 协议，而 HTTP 事务本来就是无状态的，也就是每一次请求与响应都是相互独立的，而身份认证那些都是慢慢扩展出来的

认证方法
（一） HTTP 请求头例如 Authorization，用于存储用户名与密码来实现用户验证，就算是 restful 也是 http，你也可以每次都在请求头上带上你的用户名密码来验证，但是每次都传输用户名密码太不安全了
（二） session-cookie 模式：用户第一次登陆验证通过服务器将用户信息存储于 session 中，然后将 session 存储在本地服务器中，将 sessionid 发给客户端，客户端将 sessionid 存于 cookie，以后每次请求都带上 cookie，服务器根据 cookie 中的 sessionid 去查询 session，从而获取用户信息，就这样实现了身份认证
（三）基于 token 认证方式：用户第一次登陆验证通过时服务器将用户信息等生成 token，然后返回给客户端，客户端下次访问时带上 token，服务器解析 token 就可以获取用户信息；
token 与 session 相比：token 存储在客户端，session 存储在服务器，因此 token 适用手机 app 与服务器通信而 session 不适合
（四） oauth2 第三方授权
（五）签名：防篡改防重放，客户端将每一个请求参数与值即 key-value 对排序（末尾加上 appscret ）排序然后生成签名然后发给给服务端，服务端验证自己生成的签名与客户端的是否相同（根据客户端发来的 appkey 查找对应的），相同即请求未被篡改，而根据时间戳就可以限制该客户端访问次数，从而避免流量丢失

这里有讲
https://stackoverflow.com/questions/13387698/why-is-there-an-authorization-code-flow-in-oauth2-when-implicit-flow-works-s

大概讲的是授权服务器会重定向到你所指定的 url，但是重定向没有 body 只能通过 URL 里拼接传参数，这样带来安全问题；而客户端服务器根据授权码向授权服务器发请求，它们之间的交流可以不通过 URL 传参数，可以通过 hash 段 access Token，hash 段不属于 http 请求它只能被浏览器所识别因此不能被中间人获取

除此之外，我自己的一些看法：
1.客户端会暴露 token
授权服务器是会根据客户端传来的 redirect_url 返回给客户端 3xx 重定向状态码，然后客户端再把授权码 code 传给客户端服务器，首先前端的都是不安全的，直接将 token 传给客户端会把 token 暴露，坏人就可以获取拿来干坏事了

2.授权服务器不会直接发 token
所有授权客户都需要向授权中心注册获取 appkey 与 appscrete，其中 appkey 为公开的而 appscrete 是只有客户端与服务器可见的，更重要的是 appscrete 只能存在客户端服务器不能直接存在客户端上不然同样会暴露。
因此客户端向授权中心申请授权时会发送自己的 appkey，然后授权中心会返回授权码，经过重定向到客户端服务器，客户端服务器申请授权时要将 appscrete 一起传给授权服务器，授权服务器一一对比确认无误后才会发放 token。
如果客户端只发送 appkey 就能直接获取 token，那么所有人都可以模拟该客户端来获取 token 了，这得多可怕

@vansl bat 的话大三下学期开始招实习生，内推的话可能简历不过，但是网申是大家一起笔试再面试的

@mingszu 准备一年到大三下学期去投内推网申