https://yy-tech.online/zh/tags/mysql/ Recent content in Mysql on H&W Hugo zh-Hant Thu, 28 May 2026 00:53:02 +0800 https://yy-tech.online/zh/post/flask-with-mysql-2/ Fri, 06 Aug 2021 23:36:30 +0800 https://yy-tech.online/zh/post/flask-with-mysql-2/ <blockquote> <p>接上篇，继续记录 JWT、权限与工程化细节。</p> </blockquote> <h2 id="1-jwt-流程">1. JWT 流程</h2> <ul> <li><strong>Access Token 短有效期</strong>，提高安全性。</li> </ul> <h3 id="流程">流程</h3> <ol> <li>登录换取 <strong>access token + refresh token</strong>（refresh 放 HttpOnly、Secure、SameSite Cookie）。</li> <li>请求携带 <strong>payload + access token</strong>；access token 放内存，登出即清。</li> <li>access 过期后用 refresh Cookie 换新 access。</li> <li>access 常设约 1 分钟，缩小被盗用窗口。</li> <li>参数加<strong>单向哈希</strong>做完整性校验，最好带请求时间。</li> <li>敏感头字段用 <strong>HMAC</strong> 加密；刷新 token 时服务端同样校验 HMAC。</li> <li>JWT 可存 <strong>Redis</strong> 做吊销；我们对外提供无状态 API，未在服务端持久化会话。</li> </ol> <h3 id="实现注意">实现注意</h3> <ul> <li><code>Set-Cookie</code> 由<strong>服务端</strong>设置，不要在前端 JS 里写 Cookie。</li> <li>Cookie 必须 <code>HttpOnly</code>、<code>Secure</code>、<code>SameSite</code>，否则后续请求可能带不上。</li> </ul> <h3 id="取舍">取舍</h3> <p>refresh Cookie 更安全，但浏览器扩展仍可能读到 Cookie。无状态是为方便其他系统调用，属于有意取舍。</p> https://yy-tech.online/zh/post/flask-with-mysql-1/ Tue, 03 Aug 2021 20:36:30 +0800 https://yy-tech.online/zh/post/flask-with-mysql-1/ <blockquote> <p>一个 Flask 后端脚手架。之前写的 Python 多是脚本，这次想搭一套像样的后端骨架。</p> </blockquote> <h2 id="1-需要的能力">1. 需要的能力</h2> <ul> <li><code>flask</code></li> <li><code>blueprint</code> 拆分路由</li> <li>CORS</li> <li>JSON 响应</li> <li>方便调试</li> <li>健康检查接口</li> <li>日志</li> <li>多环境配置</li> <li><code>flake8</code> 静态检查</li> <li><code>yapf</code> 格式化</li> <li>JWT</li> <li>密码哈希</li> <li>MySQL</li> <li>Sphinx 文档</li> <li>Postman 集合</li> <li>测试</li> <li>XSS 防护（ORM + 转义）</li> <li>参数完整性校验（SHA-1，防篡改）</li> <li>时间戳校验（防重放）</li> </ul>