java风控代码_Java代码开发之《安全规约》

最新推荐文章于 2023-04-27 11:58:07 发布
最新推荐文章于 2023-04-27 11:58:07 发布
阅读量421 收藏
点赞数
文章标签: java风控代码
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39879522/article/details/114623602
版权

安全规约

1. 【强制】隶属于用户个人的页面或者功能必须进行权限控制校验。

说明:防止没有做水平权限校验就可随意访问、修改、删除别人的数据,比如查看他人的私信内容、修改 他人的订单。

2. 【强制】用户敏感数据禁止直接展示,必须对展示数据进行脱敏。

说明:中国大陆个人手机号码显示为:137****0969,隐藏中间 4 位,防止隐私泄露。

3. 【强制】用户输入的 SQL 参数严格使用参数绑定或者 METADATA 字段值限定,防止 SQL 注 入,禁止字符串拼接 SQL 访问数据库。

4. 【强制】用户请求传入的任何参数必须做有效性验证。

说明:忽略参数校验可能导致:

⚫ page size 过大导致内存溢出

⚫ 恶意 order by 导致数据库慢查询

⚫ 任意重定向

⚫ SQL 注入

⚫ 反序列化注入

⚫ 正则输入源串拒绝服务 ReDoS

说明:Java 代码用正则来验证客户端的输入,有些正则写法验证普通用户输入没有问题,

但是如果攻 击人员使用的是特殊构造的字符串来验证,有可能导致死循环的结果。

5. 【强制】禁止向 HTML 页面输出未经安全过滤或未正确转义的用户数据。

6. 【强制】表单、AJAX 提交必须执行 CSRF 安全验证。

说明:CSRF(Cross-site request forgery)跨站请求伪造是一类常见编程漏洞。对于存在 CSRF 漏洞的应用 /网站,攻击者可以事先构造好 URL,只要受害者用户一访问,后台便在用户不知情的情况下对数据库中用户参数进行相应修改。

7. 【强制】在使用平台资源,譬如短信、邮件、电话、下单、支付,必须实现正确的防重放的 机制,如数量限制、疲劳度控制、验证码校验,避免被滥刷而导致资损。

说明:如注册时发送验证码到手机,如果没有限制次数和频率,那么可以利用此功能骚扰到其它用户,并 造成短信平台资源浪费。

8. 【推荐】发贴、评论、发送即时消息等用户生成内容的场景必须实现防刷、文本内容违禁词 过滤等风控策略。

weixin_39879522
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
如何设计一套规则引擎系统
nineyang的博客
05-09 2141
很早之前就想写一篇关于「规则引擎」的文章,但是一直苦于没有时间。刚好最近给团队小伙伴梳理了我设计的引擎的使用和原理,正好借此机会在此写下我们的心得。 「规则引擎」系统一般而言,在风控中使用较多,但是经过调研,我们发现,其实在业务系统中,对于规则引擎系统的渴求度更大,甚至于,我在脉脉上都看到好几个人在咨询业务规则引擎系统应该如何设计和接入。 首先来聊一下痛点。为什么对于规则引擎系统的渴求度这么大? 缺点 业务条件繁杂 试想一下,或者说正是你所经历的,在我们的业务逻辑中,有很多很多很多的业务条件判断,而这些业务
java实时业务风控系统.rar
10-19
实时业务风控系统是分析风险事件,根据场景动态调整规则,实现自动精准预警风险的系统。 本项目只提供实时风控系统框架基础和代码模板。
只需六步!快速开启专属的风控系统
顶象科技的技术文章
04-27 342
风控是电商平台和网购App必不可少的安全保障工具,能够对平台和用户的各种风险进行有效监控和预防,提高平台和用户的安全防护能力,保障电商行业的健康发展。
基于java语言轻量级实时风控引擎
字节网盘SEO工具
05-13 1214
介绍: radar是一款基于java语言,使用Springboot + Mongodb + Groovy + Es等框架搭建的轻量级实时风控引擎,适用于反欺诈应用场景,极简的配置,真正做到了开箱即用。 项目特点: 实时风控,特殊场景可以做到100ms内响应 可视化规则编辑器,丰富的运算符、计算规则灵活 支持中文,易用性更强 自定义规则引擎,更加灵活,支持复杂多变的场景 插件化的设计,快速接入其它数据能力平台 NoSQL,易扩展,高性能 配置简单,开箱即用! 项目架构: 前后端分离架构 后端技术框架: Spr
java风控系统重构
runTimeAgain
06-11 4892
线上借款越来越多,规则越来越多,维护越来越艰难, 随之而来的弊端越来越明显:1、新增规则需要多个业务方修改代码,重复代码越来越多2、变更一处需要变更相关的上游系统,故障难以把控3、重复代码越来越多,架构缺陷十分明显针对这样的架构进行重构升级,新架构带来了很多优点。1、新增规则,业务方不用修改代码。2、业务方重复代码删除,优化整体代码可读性3、提供灵活的规则配置,进行可插拔的规则校验4、进件信息适当...
101规约解析Java代码
05-21
国家电网101规约的解析源代码java),报文解析器源代码
Java代码规范编码规约
06-13
1.【强制】 严禁在代码中的命名使用拼音缩写 反例: BaoDan[保单]/ getBaoDanInfo()[获取保单信息] 二、格式规范 1.【强制】 使用同一的代码格式模板,基于IDE自动的格式化 三、注释规范 1.【推荐】 基本的注释要求 1...
java开发规范拥抱易读代码
03-03
在阿里规范的基础上整理了本公司的java代码开发规范,帮助学程序开发的同学,从最初的代码开始,规范自己的编码习惯,并不是读不懂的代码才是牛逼的代码,牛逼的代码是过了一个月或者更久,自己还能知道这是自己写得...
Java开发规约.rar
最新发布
03-21
Java开发规约
alibba代码规约_阿里巴巴代码规约_代码规约
09-17
阿里巴巴Java开发手册(华山版).pdf 阿里巴巴Java开发手册(详尽版).pdf eclipse代码规约插件 idea代码规约插件 配置教程https://blog.csdn.net/yfx000/article/details/108635679
风控现有技术框架
11-27
风控现有技术框架,风控现有技术框架,风控现有技术框架
金融风控数据平台-基于springboot+springcloud设计实现
12-26
金融风控数据平台-基于springboot+springcloud设计实现 cloud模块包括eureka,config,gateway, springboot模块基于微服务调用方式
java风控系统.zip
05-10
java风控系统
轻量级JAVA实时业务风控系统框架.zip
03-09
背景 当前互联网企业存在很多业务风险,有些风险(比如薅羊毛)虽然没有sql注入漏洞利用来的直接,但是一直被羊毛党、刷单党光顾的企业长期生存下来的几率会很低! 账号:垃圾注册、撞库、盗号等 交易:盗刷、恶意占用资源、篡改交易金额等 活动:薅羊毛 短信:短信轰炸 项目介绍 实时业务风控系统是分析风险事件,根据场景动态调整规则,实现自动精准预警风险的系统。 本项目只提供实时风控系统框架基础和代码模板。 需要解决的问题 哪些是风险事件,注册、登录、交易、活动等事件,需要业务埋点配合提供实时数据接入 什么样的事件是有风险的,风险分析需要用到统计学,对异常用户的历史数据做统计分析,找出异于正常用户的特征 实时性,风险事件的分析必须毫秒级响应,有些场景下需要尽快拦截,能够给用户止损挽回损失 低误报,这需要人工风控经验,对各种场景风险阈值和评分的设置,需要长期不断的调整,所以灵活的规则引擎是很重要的 支持对历史数据的回溯,能够发现以前的风险,或许能够找到一些特征供参考 项目关键字 轻量级,可扩展,实时的Java业务风控系统 基于Spring boot构建,配置文件能少则少 使用drools规则引擎管理风控规则,原则上可以动态配置规则 使用redis、mongodb做风控计算和事件储存,历史事件支持水平扩展 原理 统计学 次数统计,比如1分钟内某账号的登录次数,可以用来分析盗号等 频数统计,比如1小时内某ip上出现的账号,可以用来分析黄牛党等 最大统计,比如用户交易金额比历史交易都大,可能有风险 最近统计,比如最近一次交易才过数秒,可能机器下单 行为习惯,比如用户常用登录地址,用户经常登录时间段,可以用来分析盗号等 抽象:某时间段,在条件维度(可以是多个维度复合)下,利用统计方法统计结果维度的值。充分发挥你的想象吧! 实时计算 要将任意维度的历史数据(可能半年或更久)实时统计出结果,需要将数据提前安装特殊结果准备好(由于事件的维度数量不固定的,选取统计的维度也是随意的,所以不是在关系数据库中建几个索引就能搞定的),需要利用空间换时间,来降低时间复杂度。 redis redis中数据结构sortedset,是个有序的集合,集合中只会出现最新的唯一的值。利用sortedset的天然优势,做频数统计非常有利。 比如1小时内某ip上出现的账号数量统计: 保存维度 ZADD key score member(时间复杂度:O(M*log(N)), N 是有序集的基数, M 为成功添加的新成员的数量),key=ip,score=时间(比如20160807121314),member=账号。存储时略耗性能。 结构如下: 1.1.1.1 |--账号1 20160807121314 |--账号2 20160807121315 |--账号n 20160807121316 2.2.2.2 |--账号3 20160807121314 |--账号4 20160807121315 |--账号m 20160807121316 计算频数 ZCOUNT key min max(时间复杂度:O(1)),key=ip,min=起始时间,max=截止时间。计算的性能消耗极少,优势明显 redis lua 把保存维度,计算频数,过期维度数据等操作,使用lua脚本结合在一起,可以减少网络IO,提高性能 mongodb mongodb本身的聚合函数统计维度,支持很多比如:max,min,sum,avg,first,last,标准差,采样标准差,复杂的统计方法可以在基础聚合函数上建立,比如行为习惯: getDB().getCollection(collectionName).aggregate( Arrays.asList( match(match) --匹配条件维度 , group("$" + field, Accumulators.sum("_count", 1)) --求值维度的次数 , match(new Document("_count", new Document("$gte", minCount))) --过滤,超过minCount才统计 , sort(new Document("_count", -1)) --对次数进行倒叙排列 ) ); 建议在mongodb聚合的维度上建立索引,这样可以使用内存计算,速度较快。 redis性能优于mo
风控项目实战代码-enter
04-10
风控项目实战代码-enter
一个不错的开源项目风控引擎(Radar)
m0_73257876的博客
09-17 1461
一款基于java语言,使用Springboot + Mongodb + Groovy + Es等框架搭建的轻量级实时风控引擎,适用于反欺诈应用场景,极简的配置,真正做到了开箱即用。通过学习本项目能快速了解 风险的定义 ,进而 量化风险 ,最后达到 集中管理风险 的目的。
JAVA设计模式之责任链模式案例之风控评估因子的实现
weixin_46001623的博客
04-01 684
责任链模式 顾名思义,责任链模式(Chain of Responsibility Pattern)为请求创建了一个接收者对象的链。这种模式给予请求的类型,对请求的发送者和接收者进行解耦。这种类型的设计模式属于行为型模式。 在这种模式中,通常每个接收者都包含对另一个接收者的引用。如果一个对象不能处理该请求,那么它会把相同的请求传给下一个接收者,依此类推。 介绍 意图:避免请求发送者与接收者耦合在一起...
槃星—第2天任务—JAVA实现游戏数据修改以及风控设计
qq_46257360的博客
10-27 2686
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录 前言 一、pandas是什么? 二、使用步骤 1.引入库 2.读入数据 总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、pandas是什么? 示例:pandas 是基于NumPy 的一种工具,该工具是为了解决数据分
大数据时代--风控系统
.
12-04 5198
https://www.docin.com/p-2216156529.html 实时业务风控系统https://www.jianshu.com/p/efcf3ce832c4 电商实时交易风控系统http://www.mamicode.com/info-detail-2181964.html 在线支付之风控系统架构选型https://cloud.tencent.com/developer...
java104规约开发
05-15
Java104规约开发的目的是让Java程序员遵循这些规范,以确保他们编写出高质量的、易于阅读和维护的代码Java104规约开发包括了很多方面,涵盖了程序结构设计、命名规范、注释标记、错误处理等方面。比如,程序结构...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值