本节开始讲认证相关的东西、注意事项，出现问题的对应的解决方案。 先写用户注册的服务，注册一些用户信息进去。注册也是我们安全体系的一部分 注册 UserController里面的create方法 先修改实体类，加上username和password 因为我们已经在配置文件内配置 ...

基于Http协议的认证方式有很多。本节我们只讲一个最简单的HttpBasic认证。聪明就可以看出来，这是一个最基础的认证，好处是简单方便，所有的主流浏览器都支持，问题就是并不是非常安全的，但是帮我们大家理解认证这个概念是足够的。 首先要对认证信息做Base64的加密，加密之前要把这两个信息组 ...

本章讲解，在不考虑微服务，只考虑一个简单的API ，如何保证这个API的安全？ 三个问题： 1，什么是API ？ 2，API安全的要素有哪些？ 3，API安全基本机制 一、什么是API 百度百科：API（Application Programming ...

不考虑微服务这种复杂的环境下，只是写一个简单的api的时候，如何来保证api的安全。 什么是API ...

审计日志 定义：谁，在什么时间，干了什么事。 位置：认证之后，授权之前。 　　　这样就知道是谁在访问，拒绝掉的访问也能被记录。如果放在认证之前，那么就不知道是谁在访问；如果放在授权之后，就没办法记录被拒绝的访问。 存储：审计日志一定要持久化，记在数据库里或者是文件，放在 ...

首先要保证你的服务是可用的，其中一个重要的手段就是流控。就是流量控制。比如我的系统每秒只能处理500个请求，那么多余的请求就拒绝掉。这样我的系统不会被压死 实际的开发中，所要面对的流控场景实际是非常复杂的，在负载均衡上做，反向代理上做，或者自己写代码去做也是可以的。。 负载均衡和反向代理一般 ...

Https访问 1.验证双方的身份。 2.一旦建立连接，对数据进行封装加密 这里先生成一个自己自签的证书，不是第三方颁发的，第三方颁发的要花钱。 第二是做一些配置，让程序支持https 安装了 ...

首先说一下审计日志的处理。审计日志处理的位置，应该是在认证之后，授权之前。因为只有你在认证之后，你才能知道这个请求到底是谁发出来的，谁在做这个事情。在这个授权之前，这样的话那些被拒绝掉的请求。在响应的时候你才可以把他记下来。 日志一定要持久化，可以把它存到数据库里，也可以把它写到文件里 ...