TracyCoder的博客

弱加密协议是指加密算法强度不足、存在公开漏洞，或密钥管理机制缺陷，导致攻击者可通过暴力破解、中间人攻击、碰撞攻击等方式，在可接受时间内（分钟/小时级）破解加密数据的协议/算法集合。算法设计缺陷：协议本身的加密逻辑存在漏洞（如SSLv3的POODLE漏洞）；密钥长度过短：密钥位数不足以抵抗暴力破解（如DES的56位密钥）；实现细节漏洞：协议的工程实现存在安全隐患（如Heartbleed漏洞影响OpenSSL实现的TLS协议）。类别名称加密强度核心补充说明传输层加密协议SSLv3弱。

两类攻击的核心目标一致——耗尽服务器资源（带宽、CPU、内存、连接数），导致合法用户无法访问服务，但攻击路径、目标对象和技术手段存在显著差异。特性DDoS攻击（分布式拒绝服务）CC攻击（挑战黑洞）攻击目标网络层（带宽、路由器、防火墙）或系统层（CPU、内存）应用层（HTTP接口、数据库查询、业务逻辑）攻击路径绕开应用逻辑，直接攻击底层资源模拟合法用户请求，触发应用层复杂计算/IO操作流量特征流量巨大（Gbps/Tbps级），多为UDP/TCP协议包。

作为Java服务端开发人员，明文传输是系统安全中最基础且危害极大的风险点，其危害贯穿（客户端→网络→服务端→跨服务调用→存储），不仅会导致数据泄露、篡改，还可能引发合规风险和业务损失。对Java服务端开发来说，：对外用HTTPS，对内（微服务、数据库）用加密协议或算法（如AES、RSA），这是系统安全的「底线要求」，没有任何妥协空间。

基于 Filter 链的拦截机制：不侵入业务代码，通过过滤器链实现安全校验，解耦性强；组件化设计：核心组件（等）均可替换，支持灵活扩展；线程绑定的认证信息存储：通过便捷访问当前用户，简化业务开发。

这类框架专注于OAuth2.0/OIDC等标准授权协议，解决「多系统统一授权、无状态认证」问题，常与Spring Security配合使用。，覆盖从单体到微服务的绝大多数场景；Shiro适合追求简单的小型项目；Keycloak则是企业级多系统集成的最优解。这类工具库不独立提供完整安全能力，而是聚焦某一专项场景（如令牌处理、加密），配合上述主框架使用。这类框架覆盖认证、授权、防护等完整安全能力，是大多数项目的基础选型。Java后端的安全框架主要围绕。

连接应用与数据源的桥梁，负责提供用户信息（认证）和权限信息（授权）。