随笔分类 - web安全
摘要:Spring Security OAuth2 主要两部分功能:1、生成token,2、验证token,最大概的流程进行了一次梳理 1、Server端生成token (post /oauth/token) AuthorizationServerSecurityConfigurer 在配置阶段 如果允许
阅读全文
摘要:由于项目OAuth2采用了多种模式,授权码模式为第三方系统接入,密码模式用于用户登录,Client模式用于服务间调用, 所有不同的模式下的token需要用 @PreAuthorize("hasAuthority('client')") 进行隔离,遇到问题一直验证不通过。 通过调试发现资源服务从授权服
阅读全文
摘要:背景: 由于业务实现中涉及到接入第三方系统(app接入有赞商城等),所以涉及到第三方系统需要获取用户信息(用户手机号、姓名等),为了保证用户信息的安全和接入方式的统一, 采用Oauth2四种模式之一的授权码模式。 介绍: 第三方系统调用我方提供的授权接口(步骤1) 用户同意授权,后跳转第三方系统(步
阅读全文
摘要:Spring Cloud架构中采用Spring Security OAuth2作为权限控制,关于OAuth2详细介绍可以参考 http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html 项目中采用OAuth2四种模式中的两种,Password模式和Cl
阅读全文
摘要:自从上次接入钉钉监控后。今天早上起来发现测试环境 公告信息接口 凌晨3点100多条NPE告警~ 第一个反应接口被异常访问:这个接口没有定时任务等任何调用的可能~ 果然查看ZIPKIN发现了类似如下的请求: 确定问题后,查看代码逻辑,果然该服务的所有接口都没有进行auth2校验,但是业务需要部分接口不
阅读全文
摘要:跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script(php,js等)代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会
阅读全文