首先说一下审计日志的处理。审计日志处理的位置，应该是在认证之后，授权之前。因为只有你在认证之后，你才能知道这个请求到底是谁发出来的，谁在做这个事情。在这个授权之前，这样的话那些被拒绝掉的请求。在响应的时候你才可以把他记下来。 日志一定要持久化，可以把它存到数据库里，也可以把它写到文件里 ...

不考虑微服务这种复杂的环境下，只是写一个简单的api的时候，如何来保证api的安全。 什么是API ...

本章讲解，在不考虑微服务，只考虑一个简单的API ，如何保证这个API的安全？ 三个问题： 1，什么是API ？ 2，API安全的要素有哪些？ 3，API安全基本机制 一、什么是API 百度百科：API（Application Programming ...

认证：登录和认证是 两个概念，比如你两周、一个月，可能只登录了一次，但认证却是每次访问都要经过的步骤。 对于图中的认证不成功，也要继续处理，这个我觉得得看业务，比如管理系统，不登录就不让你访问，但对于比如电商的商品信息，不登录，也是可以访问的。 一、写一个用户注册服务 数据库user表 ...

首先要保证你的服务是可用的，其中一个重要的手段就是流控。就是流量控制。比如我的系统每秒只能处理500个请求，那么多余的请求就拒绝掉。这样我的系统不会被压死 实际的开发中，所要面对的流控场景实际是非常复杂的，在负载均衡上做，反向代理上做，或者自己写代码去做也是可以的。。 负载均衡和反向代理一般 ...

Https访问 1.验证双方的身份。 2.一旦建立连接，对数据进行封装加密 这里先生成一个自己自签的证书，不是第三方颁发的，第三方颁发的要花钱。 第二是做一些配置，让程序支持https 安装了 ...

校验：非空、唯一性等校验 密码的加密：密码加密来存储。 如何做https的访问 校验 一个层面是接口层面，另外一个层面是数据库层面。 Springboot给我们提供了简单的封装 校验的 ...

这一节来聊一下密码的加密。 加密盐，为了避免两个相同的面加密出来的密文是一样的，每个人的盐不一样， 首先引入工具包，lambdaworks 然后就可以对面进行加密 ch ...