本節開始講認證相關的東西、注意事項，出現問題的對應的解決方案。 先寫用戶注冊的服務，注冊一些用戶信息進去。注冊也是我們安全體系的一部分 注冊 UserController里面的create方法 先修改實體類，加上username和password 因為我們已經在配置文件內配置 ...

基於Http協議的認證方式有很多。本節我們只講一個最簡單的HttpBasic認證。聰明就可以看出來，這是一個最基礎的認證，好處是簡單方便，所有的主流瀏覽器都支持，問題就是並不是非常安全的，但是幫我們大家理解認證這個概念是足夠的。 首先要對認證信息做Base64的加密，加密之前要把這兩個信息組 ...

本章講解，在不考慮微服務，只考慮一個簡單的API ，如何保證這個API的安全？ 三個問題： 1，什么是API ？ 2，API安全的要素有哪些？ 3，API安全基本機制 一、什么是API 百度百科：API（Application Programming ...

不考慮微服務這種復雜的環境下，只是寫一個簡單的api的時候，如何來保證api的安全。 什么是API ...

審計日志 定義：誰，在什么時間，干了什么事。 位置：認證之后，授權之前。 　　　這樣就知道是誰在訪問，拒絕掉的訪問也能被記錄。如果放在認證之前，那么就不知道是誰在訪問；如果放在授權之后，就沒辦法記錄被拒絕的訪問。 存儲：審計日志一定要持久化，記在數據庫里或者是文件，放在 ...

首先要保證你的服務是可用的，其中一個重要的手段就是流控。就是流量控制。比如我的系統每秒只能處理500個請求，那么多余的請求就拒絕掉。這樣我的系統不會被壓死 實際的開發中，所要面對的流控場景實際是非常復雜的，在負載均衡上做，反向代理上做，或者自己寫代碼去做也是可以的。。 負載均衡和反向代理一般 ...

Https訪問 1.驗證雙方的身份。 2.一旦建立連接，對數據進行封裝加密 這里先生成一個自己自簽的證書，不是第三方頒發的，第三方頒發的要花錢。 第二是做一些配置，讓程序支持https 安裝了 ...

首先說一下審計日志的處理。審計日志處理的位置，應該是在認證之后，授權之前。因為只有你在認證之后，你才能知道這個請求到底是誰發出來的，誰在做這個事情。在這個授權之前，這樣的話那些被拒絕掉的請求。在響應的時候你才可以把他記下來。 日志一定要持久化，可以把它存到數據庫里，也可以把它寫到文件里 ...