刘皇叔说Java的博客

X-Ca-Key= 公钥，用来标识调用方= 私钥，用来生成签名，不可泄露鉴权流程= 客户端签名 → 服务端验证签名好处：避免伪造请求、防止参数被篡改，常用于 API 开放平台、网关接口保护。

鉴权方式是否推荐生产安全性适用场景说明简述❌ 一般不推荐低简单测试、内部接口用户名 + 密码 base64 编码⚠️ 一般中登录接口，轻量系统登录生成 Token，Header 传递✅ 推荐高分布式、移动端、微服务接口无状态令牌，可携带权限和过期信息4. OAuth2✅ 推荐高第三方接入、SaaS、多系统统一登录标准协议，支持授权码、客户端模式5. HMAC / 签名✅ 推荐高API 网关、开放平台接口签名验真，防止参数篡改。

Spring 集成主要用于保护敏感数据，如身份证、手机号、密码等。下面是完整集成步骤（含工具类 + 使用示例），采用 Java 实现（可用于 Spring Boot）。

角色说明资源拥有者（比如用户本人）Client第三方应用程序（比如小红书、微信小程序）授权服务器，颁发访问令牌（access_token）资源服务器，受保护资源的提供者（比如用户的照片、订单信息等）

Base64 是一种便于传输的编码方式并不具备加密和防止泄露的能力不能替代加密算法（如 AES、SM4）若需要真正加密数据，应使用对称或非对称加密算法。

MD5（Message-Digest Algorithm 5）是一种广泛使用的哈希算法，其输出结果是一个128位的二进制数，通常以32位十六进制数的形式表示。因此，MD5的输出结果可以表示为一个32位的字符串。MD5算法常用于数据完整性验证、密码加密等场景，通常将输入的数据经过MD5处理后，得到一个32位的摘要（digest），该摘要作为数据的唯一表示，可以用于验证数据的完整性或作为密码的加密存储。

原理：Base64编码将输入的二进制数据按照6个比特（bit）为一组进行分组，并将每组转换为对应的Base64字符。综上所述，Base64作为一种广泛应用于网络通信和数据存储的编码技术，实现了二进制数据与文本数据的相互转换，为数据的传输和存储提供了便利。编码后数据可被破解：Base64编码不提供加密功能，只是一种将二进制数据转换为文本的方式，因此编码后的数据仍然可以被破译。增加数据长度：Base64编码后的数据长度会比原始数据增加约1/3（即33%），因为每3个字节的数据会被编码为4个字符。

Spring Security 是一个功能强大且灵活的安全框架，主要用于保护 Java 应用程序的身份验证和访问控制。以下是 Spring Security 的主要概念、功能和基本用法的详细介绍。

Cookie 是一种在客户端存储数据并在每个请求中发送给服务器的机制。它是由服务器发送给客户端的一小段文本数据，并被存储在客户端的浏览器中。当客户端向服务器发送请求时，它会将相应的 Cookie 一起发送到服务器。因此，Cookie 可以用于识别用户身份、保存用户偏好设置等。Cookie 的缺点是不够安全，可能会被窃取或篡改。Cookie 是在客户端存储的小型数据片段，由服务器发送到客户端，并在客户端的浏览器中保存。每次浏览器向服务器发送请求时，会自动携带相关的 Cookie。

需求为了封禁某些爬虫或者恶意用户对服务器的请求，我们需要建立一个动态的 IP 黑名单。对于黑名单中的 IP ，我们将拒绝提供服务。并且可以设置封禁失效时间环境准备● linux version: centos7 / ubuntu 等。

在Java开发中，常用的加密方式包括以下几种MessageDigest（消息摘要）：Java提供了java.security.MessageDigest类来进行散列算法的使用。通过MessageDigest类可以计算数据的哈希值，例如使用SHA-256、MD5等算法对用户信息进行散列处理。AES（高级加密标准）：AES是一种常用的对称加密算法，适用于保护用户敏感信息。Java中可以使用javax.crypto包下的相关类进行AES加密和解密操作。

非对称加密通常以RSA算法为代表。对称加密的加密密钥和解密密钥相同， 而非对称加密的加密密钥和解密密钥不同，加密密钥可以公开而解密密钥需要保密。RSA（非对称加密）：RSA是一种常用的非对称加密算法，用于加密和解密敏感信息。Java中可以使用java.security包下的相关类进行RSA加密和解密操作。RSA（Rivest-Shamir-Adleman）是一种非对称加密算法，广泛用于数据加密和数字签名。RSA算法依赖于两个大质数的数学难题，即质因数分解的困难性。

AES（Advanced Encryption Standard）是一种对称加密算法，用于保护电子数据。AES是美国国家标准与技术研究院（NIST）于2001年采用的加密标准，广泛应用于各种加密应用场景。AES（高级加密标准）：AES是一种常用的对称加密算法，适用于保护用户敏感信息。Java中可以使用javax.crypto包下的相关类进行AES加密和解密操作。GCM模式提供加密和消息认证功能，适合在需要保证数据完整性的场景中使用。2.2. AES加密与解密（GCM模式）

SQL注入攻击是一种常见的网络安全威胁，主要针对使用结构化查询语言(SQL)进行数据库操作的应用程序。通过利用应用程序对用户输入数据的不正确处理，攻击者可以在SQL查询中注入恶意代码，从而达到恶意目的。SQL注入攻击是一种常见的网络安全风险，但通过有效的防范措施可以降低风险并保护应用程序和数据库的安全。在开发和维护应用程序时，始终要注意输入验证、过滤和参数化查询，以及使用安全的API和框架。同时，尽量遵循最小权限原则，并定期更新和维护系统。

跨站脚本攻击（XSS，Cross-Site Scripting）是一种常见的安全漏洞，攻击者利用此漏洞向网页中插入恶意的客户端脚本，从而在用户的浏览器中执行恶意代码。攻击者通常利用 XSS 攻击来窃取用户的信息、会话令牌，或者篡改网页内容等。

DDoS攻击是指分布式拒绝服务攻击（Distributed Denial of Service），它是一种网络攻击手段，旨在使目标系统无法提供正常的服务，使其无法处理合法用户的请求。这种攻击通常通过大量的恶意流量来超载目标系统的网络带宽、计算资源或其他关键资源，导致服务不可用或性能严重下降。DDoS（分布式拒绝服务）攻击是一种恶意的网络攻击，旨在使目标系统无法提供正常的服务，导致服务不可用或性能严重下降。

跨域访问问题指的是在Web开发中，当一个网页的JavaScript代码尝试向不同域名（或端口、协议）的服务器发起HTTP请求时所遇到的限制。这种限制是由浏览器的同源策略（Same-Origin Policy）引起的，目的是为了保护用户隐私和安全，防止恶意网站窃取数据。跨域访问问题指的是在 Web 开发中，由于安全策略限制，浏览器阻止页面通过 XMLHttpRequest 或 Fetch API 等方式向不同源（域名、协议或端口）的服务器发起 HTTP 请求。

超文本传输协议（HTTP）是用于客户端-服务器通信的协议或一组通信规则。当您访问网站时，您的浏览器会向 Web 服务器发送 HTTP 请求，该服务器将以 HTTP 响应进行响应。Web 服务器将以纯文本形式与您的浏览器交换数据。简而言之，HTTP 协议是为网络通信提供支持的底层技术。顾名思义，安全超文本传输协议（HTTPS）是 HTTP 的一种更安全的版本或扩展。在 HTTPS 中，浏览器与服务器会在传输数据之前建立安全的加密连接。

Cookie和Session是Web应用中常用的身份验证和状态管理机制，而Token则是一种用于身份验证和授权的方法。总的来说，Cookie 和 Session 是 Web 应用中常用的状态管理机制，而 Token 则是一种用于身份验证和授权的方法。它们各自有着不同的优缺点和适用场景，在实际应用中需要根据具体情况进行选择和使用。Cookie、Session 和 Token 是用于管理用户身份认证和状态跟踪的常见机制。它们在 Web 开发中有不同的作用和用途。

一个web系统，从接口的使用范围也可以分为对内和对外两种，对内的接口主要限于一些我们内部系统的调用，多是通过内网进行调用，往往不用考虑太复杂的鉴权操作。但是，对于对外的接口，我们就不得不重视这个问题，外部接口没有做鉴权的操作就直接发布到互联网，而这不仅有暴露数据的风险，同时还有数据被篡改的风险，严重的甚至是影响到系统的正常运转方案一：Spring Boot+Aop+注解实现Api接口签名验证方案二：在已有接口上，拦截器拦截，接口路径，白名单匹配。