随笔分类 -  web安全

摘要:Spring Security OAuth2 主要两部分功能:1、生成token,2、验证token,最大概的流程进行了一次梳理 1、Server端生成token (post /oauth/token) AuthorizationServerSecurityConfigurer 在配置阶段 如果允许 阅读全文
posted @ 2018-11-13 15:07 浮生若云 阅读(4187) 评论(0) 推荐(1) 编辑
摘要:由于项目OAuth2采用了多种模式,授权码模式为第三方系统接入,密码模式用于用户登录,Client模式用于服务间调用, 所有不同的模式下的token需要用 @PreAuthorize("hasAuthority('client')") 进行隔离,遇到问题一直验证不通过。 通过调试发现资源服务从授权服 阅读全文
posted @ 2018-10-31 16:23 浮生若云 阅读(7870) 评论(0) 推荐(0) 编辑
摘要:背景: 由于业务实现中涉及到接入第三方系统(app接入有赞商城等),所以涉及到第三方系统需要获取用户信息(用户手机号、姓名等),为了保证用户信息的安全和接入方式的统一, 采用Oauth2四种模式之一的授权码模式。 介绍: 第三方系统调用我方提供的授权接口(步骤1) 用户同意授权,后跳转第三方系统(步 阅读全文
posted @ 2018-10-31 14:27 浮生若云 阅读(23751) 评论(3) 推荐(1) 编辑
摘要:Spring Cloud架构中采用Spring Security OAuth2作为权限控制,关于OAuth2详细介绍可以参考 http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html 项目中采用OAuth2四种模式中的两种,Password模式和Cl 阅读全文
posted @ 2018-10-13 12:01 浮生若云 阅读(50310) 评论(4) 推荐(1) 编辑
摘要:自从上次接入钉钉监控后。今天早上起来发现测试环境 公告信息接口 凌晨3点100多条NPE告警~ 第一个反应接口被异常访问:这个接口没有定时任务等任何调用的可能~ 果然查看ZIPKIN发现了类似如下的请求: 确定问题后,查看代码逻辑,果然该服务的所有接口都没有进行auth2校验,但是业务需要部分接口不 阅读全文
posted @ 2018-09-01 10:36 浮生若云 阅读(499) 评论(0) 推荐(0) 编辑
摘要:跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script(php,js等)代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会 阅读全文
posted @ 2015-12-29 11:05 浮生若云 阅读(4158) 评论(0) 推荐(0) 编辑

点击右上角即可分享
微信分享提示