安全认证
文章平均质量分 76
包含CA证书验证,登录权限验证等等。
谦奕爸爸
路漫漫其修远兮,吾将上下而求索
展开
-
SpringSecurity系列之-多因子验证
前文提到过一个奇葩的问题,就是配置好后,出现了问题,不能访问gitlab,重启后才可以访问,当时并不认为有问题。但最近发现配置后,这个问题时常出现。所以这里要解决下。找到了http://blog.csdn.net/rodjohnsondoctor/article/details/45605469 ,总体思路与解决方法可以借鉴。可能性一文中大致提到是unicorn服务与tomc...原创 2018-07-22 09:52:40 · 9158 阅读 · 0 评论 -
SpringSecurity系列之-JWT
FindBugs是基于Bug Patterns概念,查找javabytecode(.class文件)中的潜在bug,主要检查bytecode中的bug patterns,如NullPoint空指针检查、没有合理关闭资源、字符串相同判断错(==,而不是equals)等一、Security 关于代码安全性防护1.Dm: Hardcoded constant database password ...原创 2018-11-23 14:49:21 · 366 阅读 · 0 评论 -
安全认证系列之-JSR 380验证框架
文章目录前言一、JAR包引用及示例二、常用的验证注解总结前言这个框架,我之前的博客也有介绍这里我再复习一遍,因为这个框架确实很好用,然后能规避很多入参的后台代码验证,就是避免写if else fi 等等。利用框架进行验证,还自带正则表达式支持,可以说使用起来十分的方便。一、JAR包引用及示例利用注解进行字段数据的验证二、常用的验证注解总结其实这个用起来使用十分的简单,引入jar包,然后使用即可。关联文章:java系列之-自定义注解进行数据验证...原创 2021-04-29 09:15:59 · 337 阅读 · 0 评论 -
安全认证系列之-密码进化史、密码编译器、验证规则
文章目录前言一、密码进化史二、密码存储安全进化史三、密码编译器总结前言写这篇博客的目的是了解下登录密码的进化史,好清楚自己以后登录密码的设置方式,已经方向,然后如果系统密码编码格式固定,后期新的密码生成规则出来以后,想要升级到更高的版本,我们的密码该如何进行升级。一、密码进化史明文存储。限制长度。多字符形式,定期更改密码,前后两次密码还不能相同。多因子验证,二次验证,用户名密码+短信验证码登录。指纹、人脸识别。二、密码存储安全进化史明文存储(对于黑客来说攻克数据库性价比最高原创 2021-04-28 20:47:49 · 598 阅读 · 0 评论 -
http系列之-核心内容
一、HTTP Request Method二、HTPP请求结构原创 2018-04-10 09:21:43 · 3857 阅读 · 0 评论 -
安全认证系列之-Spring Filters
文章目录前言一、简单的流程图二、示例代码三、常见的内建过滤器总结前言任何Spring Web应用本质上只是一个 servlet。Security Filter在HTTP请求到达你的Controller之前过滤每一个传入的HTTP请求。一、简单的流程图流程描述:用户通过浏览器访问服务器资源。经过拦截器,拦截器验证用户是否是合法用户。未认证401、未授权403。已认证已授权可以访问对应的资源。二、示例代码代码讲解:首先,过滤器需要从请求中提取一个用户名/密码。它可以通过一原创 2021-01-21 17:19:21 · 271 阅读 · 0 评论 -
微服务系列之-Oauth2安全认证
文章目录前言一、微信Oauth2认证二、其他Oauth2认证三、客户端的授权模式1、授权码模式2、简化模式3、密码模式4、客户端模式总结前言OAuth是一个关于授权(authorization)的开放网络标准,在业界得到广泛应用,目前的版本是2.0版。简单来说就是客户端应用程序(通常是web浏览器)代表用户(得到了用户的批准)去访问受保护的资源。一、微信Oauth2认证OAuth2的设计背景,在于允许用户在不告知第三方自己的帐号密码情况下,通过授权方式,让第三方服务可以获取自己的资源信息。下原创 2021-01-19 17:58:21 · 587 阅读 · 0 评论 -
微服务系列之-JWT安全认证
文章目录前言一、JWT认证流程二、JWT数据结构三、JWT 的优点四、关于 token 注销总结前言JSON Web Tokens(JWT)是一种认证协议,是为了在网络应用环境间传递声明而执行的一种基于 JSON 的开放标准(RFC 7519)。JWT 一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该 Token 也可直接被用于认证,也可被加密。授权服务器将用户信息和授权范围序列化后放入一个JSON字符串,原创 2021-01-18 21:41:57 · 659 阅读 · 0 评论 -
微服务系列之-API Tokens安全认证
文章目录前言一、基于Token认证的典型流程二、优点三、缺点总结前言随着 Restful API、微服务的兴起,基于 Token 的认证现在已经相当普遍了。Token一般会包含用户的相关信息,其它微服务可以从Token里提取出用户、权限等信息完成鉴权。一、基于Token认证的典型流程流程描述:用户使用包含用户名和密码的credential从客户端发起资源请求。后端接受请求,通过授权中心,生产有效token字符串,返回给客户端。客户端获得token后,再次发出资源请求。后端接受带tok原创 2021-01-18 20:45:06 · 640 阅读 · 0 评论 -
微服务系列之-分布式Session安全认证
文章目录前言一、session作用二、session原理三、单体架构四、集群/分布式架构五、Session复制六、Session粘性七、Cookie方案八、Session外部存储数据库存储Memcache存储Redis存储总结前言这篇博客的目的是为了研究session会话在微服务架构中采用的技术方案,以及探讨一下企业应用在使用session过程中需要注意的问题。一、session作用我们知道在web应用中,web服务器和浏览器之间是用http协议进行通信的,而http协议是无状态的,也就是每个请原创 2021-01-18 12:28:03 · 339 阅读 · 0 评论 -
微服务系列之-微服务架构下的安全设计方案
文章目录前言一、微服务安全设计原则二、微服务常见的认证方案1.分布式Session2.API Tokens3.JWT4.Oauth25.Spring Cloud Security解决方案总结前言主要探讨一下在微服务架构下的一下安全设计方面的内容,包括JWT、OAuth2.0以及如何使用Spring Cloud Security实现保护服务接口、服务间的鉴权等。一、微服务安全设计原则微服务安全是在实际应用中的一个很普遍要求,安全主要关心调用者是谁, 调用者能干什么, 以及如何传播这个信息,也就是常原创 2021-01-18 09:11:03 · 997 阅读 · 2 评论 -
安全认证系列之-API 接口应该如何设计?如何保证安全?如何签名?如何防重?
前言目前公司在做一套关于XX商店在线迁移,之前别人公司给了一份接口文档,里面涉及到了签名,也就是做接口安全验证用的,因为之前做一汽项目也涉及到了https以及sign签名认证,于是觉得十分有必要梳理这块知识,可能只是个小功能点,但是使用场景确十分普遍,可以解决工作中的实际痛点,例如做秒杀活动时,避免接口冲刷。在实际的业务中,难免会跟第三方系统进行数据的交互与传递,那么如何保证数据在传输过程中的安全呢(防窃取)?除了https的协议之外,能不能加上通用的一套算法以及规范来保证传输的安全性呢?下面我们就来原创 2020-07-17 15:23:07 · 486 阅读 · 0 评论 -
安全认证系列之-Java后台访问双向认证服务
1.介绍以java程序作为客户端,原理是一样的,也需要客户端请求时携带客户端证书和秘钥,并且客户端需要保存根证书,用来验证服务端证书的可靠性,所以首先需要安装根证书。2.根证书安装1)生成truststore库文件进行访问-原生方式根证书可以使用jdk的keytool工具安装,方式有很多种,这里只选用库文件的模式。首先,把根证书ca.crt复制一份,重命名为ca.cer,然后把这个文件复制到jdk的jre\lib\security目录下,在这个目录中进行根证书的安装:运行命令原创 2017-11-10 21:23:20 · 610 阅读 · 0 评论 -
安全认证系列之-双向认证服务搭建
一.双向认证服务介绍安全认证系列-(一)https 单向认证和双向认证原理单向认证是客户端根据ca根证书验证服务端提供的服务端证书和私钥;双向认证还要服务端根据ca根证书验证客户端证书和私钥,因此双向认证之前还需要生成客户端证书和私钥。二.客户端证书生成生成客户端证书的方式基本与生成服务端的方式一致,唯一区别就是证书的申请机构不同。1)生产客户端密钥openssl genrsa -des3 -out client.key 10242)生成客户端证书签名请求需要注意的是,原创 2016-03-12 17:36:17 · 574 阅读 · 0 评论 -
安全认证系列之-单向认证服务搭建
单向认证原理参考:安全认证系列-(一)https 单向认证和双向认证原理一.环境配置1.Nginx配置参考:linux系列之-Nginx环境搭建配置2.OpenSSL配置参考:安全认证系列之-(二)环境安装配置二.证书生成根证书生成方式参考:安全认证系列之-(三)成为数字认证机构CA服务端证书生成方式参考:安全认证系列之-(四)生成证书三.Nginx配置修改nginx.conf配置文件如下:server { listen 8443 ssl; ..原创 2017-05-31 16:03:40 · 929 阅读 · 0 评论 -
安全认证系列之-Nginx异常: the ssl parameter requires ngx http ssl module解决
1.错误原因配置https服务端证书验证以后,启动Nginx异常:nginx: [emerg] the "ssl" parameter requires ngx_http_ssl_module in /usr/src/nginx-1.9.9/conf/nginx.conf:99根据提示信息我们可以发现启用ssl验证需要添加ngx_http_ssl_module组件。2.组件安装安装前 configure arguments不带任何附加信息:[root@instance-n4r06原创 2017-09-27 19:22:16 · 3624 阅读 · 0 评论 -
安全认证系列之-从.pfx提取.crt以及.key
1.业务场景今天服务端配置的证书过期了,要求我们对接的PKI公司提供新的证书,他们提供给我一份.pfx,但是服务端配置需要 服务端私钥的二进制证书.crt,服务端公钥.key以及服务端二级证书。.pfx证书是由Public Key Cryptography Standards #12 (公钥加密技术12号标准) 定义,包含了公钥和私钥的二进制形式的证书,以pfx作为证书文件的后缀名。2.具体...原创 2020-04-09 15:46:07 · 789 阅读 · 0 评论 -
安全认证系列之-(五)在网站中使用 PKI
首先,我们需要一个域名,比如 qy-bb.club 域名已经跟我的服务器绑定了。我们启动一个拥有我们之前生成的证书的简单的 web 服务器。使用以下命令开启一个 web 服务器:openssl s_server -cert server.pem -www启动后不要关闭这个窗口。默认情况下,服务器会监听 4433 端口。所以你现在可以通过 https://www.qy-bb.club:443...原创 2020-03-27 20:15:27 · 1264 阅读 · 0 评论 -
安全认证系列之-(四)生成证书
现在,我们是 root CA 了,我们已经准备好为我们的客户签数字证书,从 CA 获取数字证书需要 3 个步骤:1.生成公开/私有密钥对我们运行以下命令来生成 RSA 密钥对。你同时需要提供一个密码来保护你的密钥(我这里设置的密码是 123456)。密钥会被保存在 server.key 文件中。openssl genrsa -des3 -out server.key 10242.生成证...原创 2020-03-27 17:58:33 · 517 阅读 · 0 评论 -
安全认证系列之-(三)成为数字认证机构CA
数字证书认证机构(英语:Certificate Authority,缩写为 CA),也称为电子商务认证中心、电子商务认证授权机构,是负责发放和管理数字证书的权威机构,并作为电子商务交易中受信任的第三方,承担公钥体系中公钥的合法性检验的责任。数字证书的作用是证明证书中列出的用户合法拥有证书中列出的公开密钥。CA 机构的数字签名使得攻击者不能伪造和篡改证书。它负责产生、分配并管理所有参与网上交易的个...原创 2019-12-26 20:53:19 · 762 阅读 · 0 评论 -
安全认证系列之-(二)环境安装配置
1.写作目的熟悉公钥加密与 PKI 的概念,公钥加密,数字签名,公钥认证,认证授权,基于 PKI 授权等内容。建立基于 PKI 的安全信道。2.环境安装因为后面要配置单向认真双向认证,openssl是必须的,以及nginx也是必须的。服务器为centos7.5版本。2.1 安装gcc automake autoconf libtool makeyum -y install gcc aut...原创 2019-12-26 20:06:29 · 289 阅读 · 0 评论 -
安全认证系列-(一)https 单向认证和双向认证原理
最近做CA证书这块功能管理的时候,与PKI证书机构的交互,NGINX单向双向服务配置,从APP端到NGINX到后台已经可以正常的进行安全认证以及数据交互,也基本能理解单向认证和双向认证原理。看了好多遍,但是隔几天又忘了,感觉还是没有吃透的样子。让人很难受,我这里再借助一下其他大佬对单向认证和双向认证原理的理解,帮自己巩固一下对单向认证和双向认证原理的认识。原理基础数字证书为发布公钥提供了一...原创 2019-12-05 21:49:35 · 1514 阅读 · 1 评论