kidkid1208-CSDN博客

原创 Oauth2.0 安全性问题，code，CSRF与PKCE

CSRF攻击上图是OAuth2.0授权码授权流程，可以看到，流程中用户整体发起了两次请求到认证服务器后端，且这两次请求是分离的，因此给攻击者发起CSRF攻击制造了条件。即攻击者通过前三步生成攻击者的含授权码的RedirectURL，引导在webapp上已登陆的用户点击恶意网站上的恶意链接（攻击者的含授权码的RedirectURL），这样就会继续步骤6后续流程，造成webapp登陆的用户账号绑定攻击者的第三方账号。可以看到，CSRF攻击应用在授权码认证流程的条件是用户必须已经登录了第三方网站。即通过将攻.

2022-03-07 18:42:19 5424

原创会话固定 csrf

会话固定攻击攻击者自己可以正常访问淘宝网站，在访问的过程中，淘宝网站给攻击者分配了一个 sessionid。攻击者利用自己拿到的 sessionid 构造一个淘宝网站的链接，并把该链接发送给受害者。受害者使用该链接登录淘宝网站（该链接中含有 sessionid），登录成功后，一个合法的会话就成功建立。攻击者利用手里的 sessionid 冒充受害者。csrf跨域请求伪造假设用户打开了招商银行网上银行网站，并且登录。登录成功后，网上银行会返回 Cookie 给前端，浏览器将 Cookie 保

2022-01-05 14:49:51 2604

原创 Spring Oauth2.0认证体系

OAuth2.0是做什么的？通过token方式，授权第三方应用访问服务器的特定资源。（如：第三方应用微信登录获取用户头像微信名，或第三方应用调用后端短信发送模块短信发送接口。）OAuth2.0授权的四种方式授权码模式授权流程：第三方应用通过client_id和客户端密码（可选）访问授权服务器验证客户端信息并注册回调（redirect）。（第三方需要提前在授权服务器注册）用户在授权页面输入用户名密码（或二维码）进行授权。授权服务器将用户导向redirect_url并附上返回授权码cod

2021-11-15 17:16:02 616

原创 time_wait close_wait场景分析

最近分析模块监控，发现有一些tcp连接处于time_wait和close_wait状态。故结合实际场景温习一下Tcp连接释放的过程。

2021-10-25 19:16:17 162

原创单例模式分析

public class Singleton { private volatile static Singleton instance; public static Singleton getInstance() { if (instance == null) { synchronized (Singleton.class) { if (instance == null) {

2021-07-02 18:01:22 50

原创 TCP三次握手四次挥手

握手为什么需要三次？答：这个问题的本质是, 信道不可靠, 但是通信双发需要就某个问题达成一致. 而要解决这个问题, 无论你在消息中包含什么信息, 三次通信是理论上的最小值. 所以三次握手不是TCP本身的要求, 而是为了满足"在不可靠信道上可靠地传输信息"这一需求所导致的. 请注意这里的本质需求,信道不可靠, 数据传输要可靠. 三次达到了, 那后面你想接着握手也好, 发数据也好, 跟进行可靠信息传输的需求就没关系了. 因此,如果信道是可靠的, 即无论什么时候发出消息, 对方一定能收到, 或者你不关心是否要

2021-06-07 18:24:56 87 1

原创 CA认证 Https通信原理

https://www.cnblogs.com/JeffreySun/archive/2010/06/24/1627247.html

2021-06-07 18:05:37 96

原创 SpringSecurity(一）Featrue

今天开始系统学习Spring Security。主要基于Spring Security 5.4。参考链接：https://docs.spring.io/spring-security/site/docs/current/reference/html5/#community一、特点Spring Security为身份验证（Authentication），授权（Authorization）和针对常见漏洞的防护提供了全面的支持。它还提供与其他库的集成，以简化其使用。1.认证 Authentication

2021-04-28 15:27:24 113

转载 DNS解析流程

1、在浏览器中输入www . qq .com 域名，操作系统会先检查自己本地的hosts文件是否有这个网址映射关系，如果有，就先调用这个IP地址映射，完成域名解析。 2、如果hosts里没有这个域名的映射，则查找本地DNS解析器缓存，是否有这个网址映射关系，如果有，直接返回，完成域名解析。 3、如果hosts与本地DNS解析器缓存都没有相应的网址映射关系，首先会找TCP/ip参数中设置的首选DNS服务器，在此我们叫它本地DNS服务器，此服务器收到查询时，如果要查询的域名，包含在本地配置区域资源中，则返.

2021-04-28 09:30:42 143

原创 Poi Excel表格导入与校验

Excel表格导入与校验最近工作上要做一个Excel上传的内容，涉及到excel表格的导入的参数校验，就记录一下。目前主流的excel工具包括Apache POI以及基于poi开发的easypoi，easyexcel。easyexcel主要支持大数据量的高效导入，由于项目内目前还涉及不到千行以上数据导入，以后估计也不会涉及，就没有深入。easypoi提供了参数校验功能，因此本项目针对easypoi提供的导入方式和校验工具类做了一定的改造和简化。以下是实战内容。表格列注解@Target(Element

2021-03-23 11:48:16 2042

转载解决Failed to execute goal org.apache.maven.plugins:maven-surefire-plugin:2.22.1:test方法

maven项目package test时报错Failed to execute goal org.apache.maven.plugins:maven-surefire-plugin:2.22.1:test (default-test) on project shop-order: Execution default-test of goal org.apache.maven.plugins:maven-surefire-plugin:2.22.1:test failed: UTF- 8解决方法

2020-08-03 15:04:18 10198 2

kidkid1208的博客