Miles' Blog

密碼管理在討論的主要以使用者所輸入的密碼為主，而有另一種類似密碼用途的字串，也用在身分驗證上，正是 token。接下來會來討論最近不少人在使用的 JWT，它是一個開放標準，可以用在需要安全交換資料的場景上。

最近前天都在討論如何做身分驗證。目前討論到的三種方法有一個共同特色－－依賴一開始註冊的使用者憑證（credentials）來做為身分驗證的依據，一般最常見的就是使用密碼做為使用者憑證。因此註冊會需要保存密碼，未來才有辦法判斷身分驗證是否成功，但這密碼該如何保管呢。

即使有許多教科書以及第三方套件可以參考，但真的要從頭規劃與設計一個安全的帳號密碼驗證功能，並不是件容易的事。因此有另一個解決方案即為，透過安全可靠的第三方身分驗證提供者（provider）來幫忙做驗證，在開發產品只要專心實現商模即可。

一般使用者需要做身分驗證，呼叫 API 一樣也需要做身分驗證。只是因為情境與角色不同，所以驗證方法會稍有不同。

在 Web 領域裡，要在公開服務上對一般的使用者做身分驗證，最常見的實作即帳號密碼驗證。包括 Google、Facebook、AppleID 等，都是使用帳號密碼驗證。

近年來 Web 與相關技術進步，讓在此平台上的應用程式大放異彩，但同時對於身分驗證的安全要求也更加地嚴謹。

今天將會是密碼學最後一個常見的主題：亂數。

前面已經介紹了非常多密碼學相關的術語或實作，今天要介紹的數位簽章，是加密與雜湊的組合技！

記得一開始寫網頁的時候（大概是 2009 年），就有在考慮前後端分離了。原因是當時有一位合作夥伴主攻前端，而我以前有玩過 Linux 與架站，所以就往後端研究。

訊息驗證碼（MAC）的目的是用來確保資料完整性，同時可作為身分驗證用。