- 博客(4)
- 收藏
- 关注
RSS订阅原创 【微思探索】【实战】灵活控制不同环境下Spring bean的加载
在平时我们使用Spring的过程中,往往会使用不同的配置来区分不同环境下Spring bean的加载。尤其是不同的系统集成在一个工程中时,也就是说代码上是一个大的工程,但是部署时是分开的,这时不同的系统间存在代码复用的可能性就很大,而且很多时候一个接口会有多个实现bean,发生冲突的可能性也不小,那如何来灵活控制Spring bean的加载呢?一般有以下几种方式来控制Spring bean的加...
2018-08-11 20:32:03
699
原创 【微思探索】【实战】账号的身份设计和权限的主体设计
账号系统是一个网站不可或缺的系统,一个账号标识了一个用户。权限系统主要用于控制该用户拥有哪些权限,能访问到网站的哪些资源。从另外一个角度讲,账号的主要概念是身份,权限的主要概念是主体。什么是身份?举个例子,一个人只有一个身份证,但是他会有多种身份identity存在,比如他的邮箱可以代表他的身份,他的手机和微信号也可以代表他的身份,某一时刻,他往往只会以其中一种身份存在。也就是说,多...
2018-08-11 16:27:56
401
原创 【微思探索】【实战】www.wisexplore.com为什么不用https,但是已足够安全
微思探索没有使用https,但是笔者认为已足够安全。这么说的原因有以下几点:1.未登录场景比如登录,注册,忘记密码等,我们采取了足够的安全措施,比如阿里云滑块保护,非对称秘钥协商,短信检验码认证等2.登录后的所有后端接口都受token保护,请参考笔者的前一篇文章“账号系统有了cookie,为什么还需要token”首先说一下登录前的场景,以注册为例,阿里云滑块为各个接口的保护提供...
2018-08-11 14:59:39
394
原创 【微思探索】【实战】账号系统有了cookie,为什么还需要token
大家在使用很多网站的过程中,实际上都只需要cookie来管理用户session就够了,然而实际上,笔者认为如果在cookie的基础上,再加入用户的token,两者共同来管理用户的session,那就更加完美了。以我新上线的网站微思探索为例,我们使用了cookie的同时,也增加了token作为用户的另外一重身份认证机制。众所周知,cookie存在CSRF窃取session的问题,当然你可以通...
2018-07-22 19:39:33
1418
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人