随笔分类 -  安全架构设计

摘要:oauth2 server 微服务授权中心, github源码 https://github.com/spring-cloud/spring-cloud-security 对微服务接口做一些权限控制。要给合作伙伴。 通过授权码或者通过密码方式获取accessToken,通过token去获取调用权限。 阅读全文
posted @ 2019-01-27 16:04 toov5 阅读(2540) 评论(3) 推荐(0) 编辑
摘要:github源码地址:https://github.com/spring-cloud/spring-cloud-security 前言: 什么是开放平台接口 场景 : 总公司与子公司 对接接口 还有一些合作伙伴 总公司 提供接口 1、能够获取到哪个子公司调用 2、授权机制,能够灵活控制接口调用权限。 阅读全文
posted @ 2019-01-27 02:58 toov5 阅读(4649) 评论(0) 推荐(0) 编辑
摘要:1、什么是RBAC权限模型rity2、RBAC权限模型表设计3、整合Mybatis数据库4、UserDetailsService5、动态查询数据库登陆6、动态权限角色拦截 什么是RBAC权限模型r 基于角色的权限访问控制(Role-Based Access Control)作为传统访问控制(自主访问 阅读全文
posted @ 2019-01-27 02:16 toov5 阅读(2762) 评论(0) 推荐(0) 编辑
摘要:对于Spring-Security首先要明白这么几点: 1、什么是SpringSecurityurity2、SpringSecurity应用场景3、SpringBoot整合Security4、Security formLogin 模式5、Security httpBasic模式6、Security 阅读全文
posted @ 2019-01-26 20:59 toov5 阅读(2000) 评论(0) 推荐(0) 编辑
摘要:传统Http协议弊端 传统Http协议弊端是明文的,如果别人采用抓包分析可以获取到明文数据。 什么是Https协议 HTTPS(Hyper Text Transfer Protocol over Secure Socket Layer),简单来讲就是加了安全的HTTP,即HTTP+SSL;我们知道H 阅读全文
posted @ 2019-01-26 12:39 toov5 阅读(317) 评论(0) 推荐(0) 编辑
摘要:Spring Cloud里面有个组件 Zuul网关 网关和 过滤器 拦截器很相似 网关可以实现过滤器 拦截器的功能 而且可以实现Nginx的基本功能 反向代理 负载均衡ribbon Nginx是软负载 ribbon本底客户端负载均衡 网关的核心基本作用: 路由地址 反向代理 黑名单与白名单系统(HT 阅读全文
posted @ 2019-01-26 00:40 toov5 阅读(2492) 评论(0) 推荐(0) 编辑
摘要:URL特殊字符转码 对称加密与非对称加密 DES RSA加密原理 移动APP接口安全加密设计 基于令牌方式实现接口参数安全传输 验签 单向加密 URL转码: 不管是以何种方式传递url时,如果要传递的url中包含特殊字符,如想要传递一个+,但是这个+会被url会被编码成空格,想要传递&,被url处理 阅读全文
posted @ 2019-01-25 19:42 toov5 阅读(10526) 评论(2) 推荐(0) 编辑
摘要:Oauth2.0 认证协议 Oauth2.0 应用场景: 微信联合登录 授权管理 互联网开放平台互相调用保证安全 微信提供api 给toov5调用 然后就可以获取一些微信的信息 比如微信头像 开放平台有 支付宝 微信 百度等等 不同的开放平台 对接的oauth2.0协议流程都是相同,无非接口地址不同 阅读全文
posted @ 2019-01-25 01:17 toov5 阅读(3008) 评论(0) 推荐(0) 编辑
摘要:互联网开放平台设计1.需求:现在A公司与B公司进行合作,B公司需要调用A公司开放的外网接口获取数据,如何保证外网开放接口的安全性。2.常用解决办法:2.1 使用加签名方式,防止篡改数据2.2 使用Https加密传输2.3 搭建OAuth2.0认证授权2.4 使用令牌方式2.5 搭建网关实现黑名单和白 阅读全文
posted @ 2019-01-24 12:41 toov5 阅读(4292) 评论(0) 推荐(0) 编辑
摘要:表单重复提价问题 rpc远程调用时候 发生网络延迟 可能有重试机制 MQ消费者幂等(保证唯一)一样 解决方案: token 令牌 保证唯一的并且是临时的 过一段时间失效 分布式: redis+token 注意在getToken() 这种方法代码一定要上锁 保证只有一个线程执行 否则会造成token不 阅读全文
posted @ 2019-01-24 03:10 toov5 阅读(5122) 评论(3) 推荐(1) 编辑
摘要:防盗链技术 CSRF(模拟请求) 分析防止伪造Token请求攻击 互联网API接口幂等性设计 忘记密码漏洞分析 1.Http请求防盗链 比如A网站有一张图片,被B网站直接通过img标签属性引入,直接盗用A网站图片展示。 如果别人的项目频繁引用我的图片的话 别人请求放访问的是我的 服务器 也会浪费我的 阅读全文
posted @ 2019-01-24 00:32 toov5 阅读(1734) 评论(0) 推荐(0) 编辑
摘要:1.web安全常见攻击手段 xss sql注入 防盗链 csrf 上传漏洞 2. 信息加密与漏洞扫描 对称加密 非对称加密 3. 互联网API接口安全设计 4. 网站安全漏洞扫描与抓包分析 5. Https协议底层原理分析 6.电子商务风控与黑名单和白名单系统 7. 基于多种手打尽防御DDS攻击 通 阅读全文
posted @ 2018-11-21 18:38 toov5 阅读(1208) 评论(0) 推荐(0) 编辑