这一节来聊一下密码的加密。 加密盐，为了避免两个相同的面加密出来的密文是一样的，每个人的盐不一样， 首先引入工具包，lambdaworks 然后就可以对面进行加密 ch ...

不考虑微服务这种复杂的环境下，只是写一个简单的api的时候，如何来保证api的安全。 什么是API ...

本章讲解，在不考虑微服务，只考虑一个简单的API ，如何保证这个API的安全？ 三个问题： 1，什么是API ？ 2，API安全的要素有哪些？ 3，API安全基本机制 一、什么是API 百度百科：API（Application Programming ...

说一下最后一个模块，授权。用来做访问控制，控制哪个用户能干什么。哪个用户不能干什么？ 遵循最小的授权原则，一个用户只给他必须要的那些权限。 1.你的请求是不是需要权限认证， 有一些请求是根本不需要 ...

本节开始讲认证相关的东西、注意事项，出现问题的对应的解决方案。 先写用户注册的服务，注册一些用户信息进去。注册也是我们安全体系的一部分 注册 UserController里面的create方法 先修改实体类，加上username和password 因为我们已经在配置文件内配置 ...

基于Http协议的认证方式有很多。本节我们只讲一个最简单的HttpBasic认证。聪明就可以看出来，这是一个最基础的认证，好处是简单方便，所有的主流浏览器都支持，问题就是并不是非常安全的，但是帮我们大家理解认证这个概念是足够的。 首先要对认证信息做Base64的加密，加密之前要把这两个信息组 ...

流控、认证、审计、授权以上都做了初步的简单的实现。 之前写的代码，base64加密了用户名和密码。 缺点1：每次请求都要带用户名密码 增加了泄露的风险。 每次传上来用户名和密码都要che ...

审计日志 定义：谁，在什么时间，干了什么事。 位置：认证之后，授权之前。 　　　这样就知道是谁在访问，拒绝掉的访问也能被记录。如果放在认证之前，那么就不知道是谁在访问；如果放在授权之后，就没办法记录被拒绝的访问。 存储：审计日志一定要持久化，记在数据库里或者是文件，放在 ...