随笔分类 - 业务
摘要:水平-垂直越权攻击 越权攻击介绍 是Web应用程序中一种常见的漏洞,由于其存在范围广、危害大, 列为Web应用十大安全隐患的第二名 指应用在检查授权时存在纰漏,使得攻击者在获得低权限用户账户后,利用一些方式绕过权限检查,访问或者操作其他用户或者更高权限. 产生原因:主要是因为开发人员在对数据进行增、
阅读全文
摘要:JWT令牌token泄露恶意使用 背景 为了防止黑客恶意拦截获得token信息,在JWT上可以添加客户端属性、地理网络信息等。 解密:使用互联网大厂的产品时经常遇到这个情况 比如阿里云或者淘宝,你现在登录了然后换个网络或者地域就需要重新登录 就是对应的token令牌,不只简单的算法加密,还包括了客户
阅读全文
摘要:自动刷新JWT解决方案 背景 在前后分离场景下,越来越多的项目使用jwt token作为接口的安全机制,但存在jwt过期后,用户无法直接感知,假如在用户操作页面期间,突然提示登录,则体验很不友好,所以就有了token自动刷新需求 但是这个自动刷新方案,基本都离不开服务端状态存储,JWT推出思想是:去
阅读全文
摘要:自动刷新JWT解决方案 背景 在前后分离场景下,越来越多的项目使用jwt token作为接口的安全机制,但存在jwt过期后,用户无法直接感知,假如在用户操作页面期间,突然提示登录,则体验很不友好,所以就有了token自动刷新需求 但是这个自动刷新方案,基本都离不开服务端状态存储,JWT推出思想是:去
阅读全文
摘要:登录简单业务 简介 不管是B端还是C端业务,都是需要登录操作的。 其重要性是显而易见的。 简单登录业务逻辑 输入账号密码登录 校验验证码(业务是否需要) 校验账号数据库是否存在 校验密码是否正确 返回token 编码 密码是经过MD5加盐,防止彩虹表暴力破解。 /** * 用户登录方法 * 1.根据
阅读全文
摘要:注册业务中密码的业务逻辑 简介 密码在注册业务中需要进行加密,防止黑客攻击拖库直接拿到明文秘钥。 但是,现在也有彩虹表暴力破解,就是通过加密后的文本,直接检索到明文秘钥。 网站:https://www.cmd5.com/ 解决办法 密码存储常用方式 双重MD5 MD5+加盐 双重MD5+加盐 哈希加
阅读全文
摘要:图形验证码业务 简介 图形验证码是用户注册的第一步,一般用户填写邮箱或者手机号的时候,需要填图形验证码才能进行登录或者注册。 在登录层面,增加黑客尝试成本。 在注册层面,增肌黑客成本,防止邮箱邮件发送服务或者手机号验证码服务被他人恶意调用。 业务逻辑 使用kaptcha框架 使用redis缓存验证码
阅读全文
摘要:Spring整合邮箱验证码发送业务 简介 邮件发送的基本过程与概念 邮件服务器 :类似于现实生活中的邮局,它主要负责接收用户投递过来的邮件,并把邮件投递到邮件接收者的电子邮箱中 电子邮箱 :用户在邮件服务器上申请的一个账户 from:xxx@xx.com 发件人 to:xxx@xx.com 收件人
阅读全文
摘要:自定义全局异常和异常处理器 自定义全局异常 用于管理业务时,抛出的异常,可以区别于常规异常。方便管理业务 /** * 全局异常处理 */ @Data public class BizException extends RuntimeException { private Integer code;
阅读全文
浙公网安备 33010602011771号