شما آدرس www.example.com رو وارد می‌کنین.

مرورگر بررسی می‌کنه ببینه آیا قبلاً این سایت رو باز کردین و آدرس IP رو تو حافظه موقت (کش) ذخیره کرده یا نه. این کار باعث میشه سریع‌تر به سایت دسترسی پیدا کنین.

اگه مرورگر نتونه IP رو توی کش خودش پیدا کنه، از سیستم عامل دستگاه میپرسه که آیا تو کش خودش داره یا نه. سیستم عامل هم ممکنه توی کش DNS خودش آدرس IP رو ذخیره کرده باشه.

اگه سیستم عامل نتونه IP رو پیدا کنه، درخواست به روتر خونگی یا مودم شما میره. روتر هم ممکنه یه کش کوچیک داشته باشه.

اگه هیچ کدوم از این مراحل به نتیجه نرسه، درخواست به سمت سرور DNS که توسط ارائه‌دهنده اینترنت (ISP) شما تعیین شده ارسال میشه.

سرور DNS اول از همه، دامنه سطح بالا (Top-Level Domain یا TLD)
مثل .com رو بررسی می‌کنه. هر دامنه‌ای یک Name Server داره که مسئول مدیریت اون دامنه است. برای مثال، Name Server برای .com همه دامنه‌هایی که به .com ختم می‌شن رو مدیریت می‌کنه.

سرور DNS آدرس Name Server دامنه شما (در اینجا example.com) رو از سرور TLD می‌گیره و درخواست رو به اون می‌فرسته.

حالا Name Server دامنه example.com آدرس IP مربوطه رو به DNS سرور برمی‌گردونه و DNS سرور هم اونو به مرورگر شما ارسال می‌کنه.

حالا مرورگر شما آدرس IP رو داره و می‌تونه به وب‌سرور مربوطه متصل بشه و صفحه وب رو دریافت کنه.

این رایج‌ترین نوع رکورده که نام دامنه رو به یک آدرس IP نسخه 4 (IPv4) متصل می‌کنه.

این رکورد مثل A Record هست، ولی برای آدرس‌های IP نسخه 6 (IPv6) استفاده میشه.

این رکورد یه نام دامنه رو به یه نام دامنه دیگه هدایت می‌کنه. مثلاً می‌تونین www.example.com رو به example.com ریدایرکت کنین.

این رکورد برای سرویس‌های ایمیل استفاده میشه و مشخص می‌کنه که ایمیل‌های مربوط به یک دامنه باید به کدوم سرور ارسال بشه.

این رکورد برای ذخیره اطلاعات متنی استفاده میشه. یکی از کاربردهای رایجش تأیید مالکیت دامنه برای سرویس‌هایی مثل گوگل و مایکروسافت هست.

#DNS #web #backend

هرچی پسوردت پیچیده‌تر و طولانی‌تر باشه، هکر برای حدس زدنش بیشتر به دردسر می‌افته. پسوردی مثل "123456" رو ولش کن و یه چیز پیچیده‌تر مثل "P@ssw0rd123!" انتخاب کن.

بیشتر سایت‌ها امکان محدود کردن تعداد تلاش‌های ناموفق برای ورود رو دارن. مثلاً اگه کسی 5 بار اشتباه بزنه، دسترسیش به مدت چند دقیقه یا بیشتر قطع بشه. این کار سرعت حمله رو خیلی کم می‌کنه.

حتماً توی سایت‌ها دیدی که یه سری حروف و عدد بهت نشون می‌ده و ازت می‌خواد اونا رو وارد کنی؟ این کار برای جلوگیری از حمله‌های اتوماتیک Brute Force خیلی مؤثره.

با فعال کردن 2FA، حتی اگه هکر پسوردت رو هم پیدا کنه، باز به یه کد دیگه نیاز داره که معمولاً فقط تو دسترسی داری. پس شانس موفقیت هکر تقریباً به صفر می‌رسه.

اگه می‌خوای مطمئن بشی کسی به اطلاعاتت دسترسی پیدا نکرده، لاگ‌های ورود و فعالیت‌هات رو مرتب چک کن. اینطوری اگه چیزی مشکوک دیدی، سریع می‌تونی اقدام کنی.

#امنیت_اطلاعات #brute_force #امنیت_اینترنتی

#موضوع_آزاد

این ساده‌ترین نوع احراز هویت توی جنگوئه. به طور پیش‌فرض جنگو یک سیستم احراز هویت داخلی داره که کاربرا رو با استفاده از نام کاربری و رمز عبور وارد سیستم می‌کنه. این روش بیشتر برای پروژه‌های کوچیک و ساده مناسبه.

اول باید توی تنظیمات پروژه، app مربوط به احراز هویت جنگو (django.contrib.auth) رو فعال کنید.
بعدش می‌تونید با استفاده از فرم‌های پیش‌فرض یا ساخت فرم‌های خودتون، کاربرا رو ثبت نام و وارد سیستم کنید.

این روش مخصوص زمانی هست که شما دارید یه API می‌سازید و می‌خواید کاربرانتون با استفاده از توکن بهش دسترسی پیدا کنن. توی این روش، به جای نام کاربری و رمز عبور، یک توکن به کاربر داده می‌شه که باید اون رو توی هدر درخواست‌ها قرار بده.

از کتابخونه‌های مثل Django Rest Framework استفاده کنید.
بعدش با استفاده از TokenAuthentication و صدور توکن برای هر کاربر، می‌تونید این روش رو پیاده کنید.

خب JWT یه نوع خاص از توکنه که اطلاعات کاربر رو داخل خودش ذخیره می‌کنه. این نوع توکن‌ها خیلی امن و پرکاربرد هستن و به خصوص برای پروژه‌های SPA (Single Page Application) خیلی مناسبن.

از کتابخونه‌های مثل djangorestframework-simplejwt استفاده کنید.
بعدش با پیکربندی صحیح، می‌تونید توکن‌های JWT رو برای کاربران صادر و اعتبارسنجی کنید.

این روش بیشتر برای وقتی مناسبه که می‌خواید کاربرانتون با حساب‌های شبکه‌های اجتماعی یا سرویس‌های دیگه مثل گوگل و فیسبوک وارد سایت بشن. OAuth 2.0 یه پروتکل امن برای این نوع احراز هویته.

از کتابخونه django-allauth یا social-auth-app-django استفاده کنید.
بعدش با انجام تنظیمات مربوطه، می‌تونید کاربران رو از طریق سرویس‌های مختلف احراز هویت کنید.

اگه می‌خواید امنیت بیشتری برای کاربران فراهم کنید، می‌تونید احراز هویت دو مرحله‌ای رو پیاده کنید. توی این روش، علاوه بر رمز عبور، یه کد تایید هم برای کاربر ارسال می‌شه که باید اون رو وارد کنه.

از کتابخونه django-two-factor-auth استفاده کنید.
بعد از تنظیمات اولیه، می‌تونید این قابلیت رو به اپلیکیشن خودتون اضافه کنید.

#authentication #auth #django #backend

#fun

به طور ساده، Authorization یعنی تعیین سطح دسترسی کاربر به منابع مختلف. مثلا فرض کنید توی یه اپلیکیشن خبری دارید؛ نویسنده‌ها اجازه دارن مقاله بنویسن، ولی فقط مدیران میتونن اونا رو منتشر کنن. 📝 اینجا Authorization تعیین می‌کنه که کی به چی دسترسی داشته باشه.

جنگو به صورت پیش‌فرض یه سیستم Permission داره که با استفاده از اون می‌تونید برای هر مدل (Model) مشخص کنید که کدوم کاربر یا گروه به چه عملیاتی دسترسی داشته باشه.

چطور پیاده‌سازیش کنیم؟ 🤔
می‌تونید از مجوزهای پیش‌فرض جنگو استفاده کنید که شامل add ، change  delete و view هستن.
برای ایجاد مجوزهای اختصاصی هم میتونید توی مدل‌ها (Model) از Meta و permissions استفاده کنید و مجوز های جدید تعریف کنید.

یکی از امکانات عالی جنگو، سیستم گروه‌بندی کاربراست. شما می‌تونید کاربرا رو توی گروه‌های مختلف دسته‌بندی کنید و بعد براساس هر گروه، مجوزهای مختلفی بهشون بدید. مثلا یه گروه مدیران (Admins) داشته باشید که همه مجوزها رو دارن، و یه گروه کاربران عادی (Users) که دسترسی محدودتری دارن.

چطور پیاده‌سازیش کنیم؟ 🤔
اول باید گروه‌ها رو از طریق پنل ادمین جنگو یا از طریق کد بسازید.
بعدش می‌تونید کاربرا رو به گروه‌ها اضافه کنید و مجوزهای خاص رو به گروه‌ها اختصاص بدید.

اگه دارید یه API می‌سازید، می‌تونید از Django Rest Framework برای مدیریت پرمیشن استفاده کنید. DRF به شما اجازه میده از کلاس‌های Permission استفاده کنید تا کنترل کاملی روی این داشته باشید که چه کسی به چه چیزی دسترسی داره.

چطور پیاده‌سازیش کنیم؟ 🤔
می‌تونید از permissions.IsAuthenticated برای اطمینان از این‌که فقط کاربران احراز هویت شده به API دسترسی دارن، استفاده کنید.
همچنین می‌تونید مجوزهای سفارشی بسازید و ازشون استفاده کنید. مثلا permissions.IsAdminUser برای ادمین‌ها.

این نوع مجوزها وقتی به کار میاد که بخواید دسترسی‌ها رو بر اساس هر شیء خاص تعیین کنید. مثلا یه کاربر فقط بتونه پروفایل خودش رو ببینه و نه پروفایل بقیه کاربرا. جنگو و DRF هر دو از این نوع مجوزها پشتیبانی می‌کنن.

چطور پیاده‌سازیش کنیم؟ 🤔
برای DRF میتونید BasePermission رو کاستومایز کنید و لاجیک خودتون رو برای هر شیء پیاده کنید.
میتونید از روش‌های مختلف مثل اورراید کردن متد get_object در ویوهای DRF استفاده کنید.

یکی از روش‌های پیشرفته‌تر برای Authorization، استفاده از Role‌هاست. توی این روش، هر کاربر یه نقش یا Role داره و مجوزها بر اساس این نقش‌ها تعیین می‌شن.

چطور پیاده‌سازیش کنیم؟
می‌تونید از پکیج‌هایی مثل django-role-permissions استفاده کنید.
رول های مختلف رو تعریف کنید و به هر رول یه سری مجوز اختصاص بدید.

#django #backend #auth

#fun

npm install aws-sdk multer

const AWS = require('aws-sdk');

AWS.config.update({
    accessKeyId: 'YOUR_ACCESS_KEY_ID',
    secretAccessKey: 'YOUR_SECRET_ACCESS_KEY',
    region: 'YOUR_REGION'
});

const s3 = new AWS.S3();

const uploadFile = (file) => {
    const params = {
        Bucket: 'YOUR_BUCKET_NAME',
        Key: file.originalname,
        Body: file.buffer
    };

    return s3.upload(params).promise();
};

const multer = require('multer');
const upload = multer();

app.post('/upload', upload.single('file'), async (req, res) => {
    try {
        const result = await uploadFile(req.file);
        res.send(result);
    } catch (error) {
        res.status(500).send(error);
    }
});