![](https://img-blog.csdnimg.cn/20201014180756925.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
数据安全
文章平均质量分 87
还是转转
这个作者很懒,什么都没留下…
展开
-
深入理解Spring Security
在理解Spring Security之前,需要先理解清楚和这几个概念。Authentication即认证,一般就是身份校验,比如最常见的用户名和密码校验。在一些简单的应用中,可能只需要认证就够了。但是大部分应用还有权限的概念。比如一个购物网站,普通用户输入用户名和密码之后,拥有浏览、购物、评论等权限。商家通过自己的用户名和密码登录之后,拥有查看销售数据、上传商品、设置商品价格等权限。网站管理员通过用户名和密码登录之后,拥有管理商家、设置网站营销活动等权限。所有的用户都需要登录,这就是身份认证。原创 2024-03-22 16:43:24 · 685 阅读 · 0 评论 -
认识和理解OCID
当你的用户需要访问服务器上受保护资源的时候,例如用户订单数据,用户购物车等,需要携带id_token。id_token是用户的身份标识,就像身份证一样。id_token是一个JWT Token。如果请求没有携带id_token,或者携带的id_token不合法,则表示本次请求认证不通过。你为其他人提供身份服务,其他应用需要从你的服务器获取用户信息。比如github提供身份服务,其他应用可以向github索要用户的信息,完成用户在他们平台的注册,即三方登录。原创 2024-02-29 15:44:02 · 968 阅读 · 0 评论 -
基于token的登陆验证机制
常用的登录验证机制包括session和token。session简介做过Web开发的程序员应该对Session都比较熟悉,Session是一块保存在服务器端的内存空间,一般用于保存用户的会话信息。用户通过用户名和密码登陆成功之后,服务器端程序会在服务器端开辟一块Session内存空间并将用户的信息存入这块空间,同时服务器会在cookie中写入一个Session_id的值,这个值用于标识这个内存空间。下次用户再来访问的话会带着这个cookie中的session_id,服务器拿着这个id去寻找对应的se原创 2021-04-12 23:39:45 · 1432 阅读 · 0 评论 -
读书笔记:大型分布式网站架构设计与实践(3)
3 互联网安全架构随着移动物联网的兴起,以及Restful和Web Service等技术的大规模使用,HTTP协议因其使用方便以跨平台的特性,在Web开发和SOA领域得到了广泛应用,但其所涵盖的信息,大都是未经加密的明文,信息获取门槛的降低,也为应用架构的安全性与稳定性带来了挑战。本章一共分为六个小节,分别介绍了常见的Web攻击手段,常用的安全算法,摘要认证,签名认证,Https协议和OAut...原创 2018-10-12 15:52:08 · 209 阅读 · 0 评论 -
Xml外部实体注入漏洞(XXE)与防护
Xml外部实体注入(XXE)除了json外,xml也是一种常用的数据传输格式。对xml的解析有以下几种常用的方式:DOM,SAX,JDOM,DOM4J,StAX等。然而这几种解析方式都可能会出现外部实体注入漏洞,如微信支付的回调就出现过(见参考资料2)。XML文档结构包括xml声明,DTD文档类型定义(可选)和文档元素,如下图所示: DTD的作用是定义XML文档的合法构建模块,可以...原创 2018-09-12 13:58:59 · 25561 阅读 · 5 评论 -
关于“javax.crypto.BadPaddingExcgException”问题的解决方案
在之前的blog中有一篇是关于找不到AES/ECB/PKCS7Padding问题的解决方案,提到过需要引入BouncyCastle组件,然后顺利解决。后来在实际中又碰到过javax.crypto.BadPaddingExcgException异常,出现的场景是客户端通过rsa公钥对敏感字段进行加密后,服务端用私钥进行解密时报错。这个问题实际上也是跟BouncyCastle有关的。这里对Bo...原创 2018-08-10 18:51:52 · 1467 阅读 · 0 评论 -
linux搭建sftp服务器
众所周知SFTP账号是基于SSH账号的,所以在默认情况下访问服务器的权限是非常大的。下面为SFTP用户权限设置方法 在Centos 6.9 环境使用系统自带的internal-sftp搭建SFTP服务器。 注:SFTP和FTP是不同的服务器,不要混淆。打开命令终端窗口,按以下步骤操作 请注意: sftp的根目录都必须是root权限。 Sftp的用户名以@{username}代替, 密...原创 2018-03-21 20:34:17 · 557 阅读 · 0 评论 -
关于“Cannot find any provider supporting AES/ECB/PKCS7Padding”问题的解决方案
在某些场合下会碰到这个情况,如微信退款结果中加密信息的解析。 出现这个问题的原因是:java自带的是PKCS5Padding填充,不支持PKCS7Padding填充。 解决办法是:通过BouncyCastle组件来让java里面支持PKCS7Padding填充。在加解密之前加上:Security.addProvider(new BouncyCastleProvider()),并给Cipher....原创 2018-03-21 20:19:26 · 34640 阅读 · 6 评论 -
HTTPS协议
协议原理在“常用的通讯安全机制”一文中,介绍过摘要认证和签名认证,并在最后提到过,与外部通讯时,https协议是基础。HTTPS的全称是Hypertext Transfer Protocol Over Secure Socket Layer,即基于SSL的超文本传输协议,由网景(Netscape)首创。HTTPS协议在传输层(TCP协议)和应用层(HTTP协议)之间增加了SSL/TLS协议...原创 2018-03-11 19:33:29 · 222 阅读 · 0 评论 -
常用的通讯安全处理机制
数字摘要数字摘要也称为消息摘要,通过对一个消息或文本做单向Hash函数计算而生成。接收方收到消息后,采用同样的Hash重新计算,将新产生的摘要与原摘要进行比较,如果不一致则说明传输的数据被篡改。 数字摘要采用单向Hash函数,将需要计算的内容摘要成固定长度的串,这个串也称为数字指纹。这个串有固定的长度,不同的明文通过摘要生成的数字指纹是不一样的。同样的明文其摘要必定一致。 当然Hash函数...原创 2018-02-11 13:27:03 · 464 阅读 · 0 评论 -
数字证书与https协议
数字证书电子证书,类似于日常生活中的身份证,也是另外一种形式的身份认证,用于标识网络中的用于身份。配置Tomcat使用https协议 。原创 2017-05-13 22:05:39 · 400 阅读 · 0 评论