随笔分类 - spring boot 安全
摘要:一,前、后端项目的代码地址 前端: https://gitee.com/liuhongdi/jwtweb 后端: https://gitee.com/liuhongdi/jwtdemo 说明:前端部分的安装第三方库等说明请参见: https://blog.imgtouch.com/index.php
阅读全文
摘要:一,功能演示: 无后端服务时: 提示信息自动关闭后: 服务端返回401访问无授权时,会跳转到login页面 如果登录错误: 登录成功,跳转回home页面,可以看到相应的用户信息: 查看保存到local storage中的token: 说明:刘宏缔的架构森林是一个专注架构的博客, 网站:https:/
阅读全文
摘要:一,用redis存储用户信息的好处? 1,避免解析token之后需要查库得到用户的信息 2, 因为jwt的token可以被反解,所以不直接使用username生成token,而是用一个随机的字符串代替 避免安全问题 说明:刘宏缔的架构森林是一个专注架构的博客, 网站:https://blog.img
阅读全文
摘要:一,接口站增加api版本号后需要做安全保障? 1,如果有接口需要登录后才能访问的, 需要用spring security增加授权 2,接口站需要增加api版本号的检验,必须是系统中定义的版本号才能访问, 避免乱填值刷接口的情况 说明:刘宏缔的架构森林是一个专注架构的博客, 网站:https://bl
阅读全文
摘要:一,sso的用途 ? 1,如果有多个应用系统,用户只需要登录一次就可以访问所有相互信任的应用系统。不需要每次输入用户名称和用户密码,也不需要创建并记忆多套用户名称和用户密码。 2,系统管理员只需维护一套统一的用户账号,方便、简单。而不必管理很多套的用户账号。 3, 如果需要开发新的应用系统,可以直接
阅读全文
摘要:一,为什么oauth2要整合jwt? 1,OAuth2的token技术有一个最大的问题是不携带用户信息,所以资源服务器不能进行本地验证, 以致每次对于资源的访问,资源服务器都需要向认证服务器的token存储发起请求, 一是验证token的有效性,二是获取token对应的用户信息。 有大量的请求时会导
阅读全文
摘要:一,oauth2的用途? 1,什么是oauth2? OAuth2 是一个开放标准, 它允许用户让第三方应用访问该用户在某一网站上存储的私密资源(如头像、照片、视频等), 在这个过程中无须将用户名和密码提供给第三方应用。 实现这一功能是通过提供一个令牌(token),而不是用户名和密码来访问他们存放在
阅读全文
摘要:一,为什么使用jwt? 1,什么是jwt? Json Web Token, 它是JSON风格的轻量级的授权和身份认证规范, 可以实现无状态、分布式的Web应用授权 2,jwt的官网: https://jwt.io/ java实现的jwt的开源项目: https://github.com/jwtk/j
阅读全文
摘要:一,动态权限管理的优点和缺点 1,优点: 因为控制权限的数据保存在了mysql或其他存储系统中, 可以动态修改权限控制,无需改动代码和重启应用, 权限变更时灵活方便 2,缺点: 权限的设置需要保存在外部存储系统, 每次request时都需要查库处理, 高并发时影响效率 说明:刘宏缔的架构森林是一个专
阅读全文
摘要:一,图形验证码的用途? 1,什么是图形验证码? 验证码(CAPTCHA)是“Completely Automated Public Turing test to tell Computers and Humans Apart”(全自动区分计算机和人类的图灵测试)的缩写,它是用来区分用户是人类还是计算
阅读全文
摘要:一,用数据库实现权限管理要注意哪些环节? 1,需要生成spring security中user类的派生类,用来保存用户id和昵称等信息, 避免页面上显示用户昵称时需要查数据库 2,如果需要在页面上显示用户的登录信息, 需要自定义一个interceptor, 把用户的昵称等信息添加到 modeland
阅读全文
摘要:一,spring boot admin的安全环节: 1,修改context-path,默认时首页就是admin, 我们修改这个地址可以更安全 2,配置ip地址白名单,有ip限制才安全, 我们使用了spring security, 可以在防火墙中也配置上ip限制 3,登录用户有相应的role授权才能访
阅读全文
摘要:一,druid的安全保障有哪些环节要注意? 1,druid ui的访问要有ip地址限制 2,用户必须要有相应的权限才能访问druid 3,关闭重置功能 说明:stat-view-servlet.url-pattern的配置应用时会报错, 如果bug修改了,使用这个功能会更安全 说明:刘宏缔的架构森林
阅读全文
摘要:一,swagger有哪些环节需要注意安全? 1,生产环境中,要关闭swagger application.properties中配置: springfox.documentation.swagger-ui.enabled=false 2,swagger使用一台专用的服务器来部署, 可以访问的ip地址
阅读全文
摘要:一,actuator有哪些环节要做安全配置? actuator是应用广泛的监控工具, 但在生产环境中使用时,需要做严格的安全保障, 避免造成信息泄露等严重的安全问题 actuator可以采取的安全措施包括以下: ip地址: 只允许来自ip地址白名单上的访问(用security) 路径:使用自定义的访
阅读全文
摘要:一,为什么要做参数验证? 永远不要相信我们在后端接收到的数据, 1,防止别人通过接口乱刷服务:有些不怀好意的人或机构会乱刷我们的服务,例如:短信接口, 相信大家可能很多人在工作中遇到过这种情况 2,防止sql注入等行为:如果对数据会行严格的验证,可以过滤掉大量的攻击行为 3,防止客户端出错后的生成数
阅读全文
摘要:一,为什么要给接口做签名验证? 1,app客户端在与服务端通信时,通常都是以接口的形式实现, 这种形式的安全方面有可能出现以下问题: 被非法访问(例如:发短信的接口通常会被利用来垃圾短信) 被重复访问 (例如:在提交订单时多点了几次提交按钮) 而客户端存在的弱点是:对接口站的地址不能轻易修改, 所以
阅读全文