w_t_y_y的博客

支持在极短的时间内，第三方平台用相同的参数请求API接口多次，可能是bug或者接口重试，第一次请求数据库会新增数据，但第二次请求以后就不会新增数据，但也会返回成功。调用我们另外一个查询状态的API接口，每隔一段时间查询一次状态，传入的参数是之前的那个API接口中的id集合。为了进一步加强API接口的安全性，防止接口的签名或者加密被破解了，攻击者可以在自己的服务器上请求该接口。一般的API接口的逻辑都是同步处理的，请求完之后立刻返回结果。第三方平台的接口，告知API接口的处理结果，很多支付接口就是这么玩的。

对接多个三方则与每个third parth都约定一套token规则，因为如果使用同一套token，token串用可能造成权限越界问题，且payload交叉业务不够清晰。不能只根据audience来判断，如用前端的token访问open api接口，从token解析出audience。先判断是哪个业务的token，再用各自约定的算法和业务规则校验。这里是根据url来判断的，不能调用本项目（被调用方）接口生成，否则这个生成token的接口需要加白名单，是前端的，再用前端的规则校验，校验通过访问成功；

防止数据泄露和网络攻击，接口一般是需要鉴权控制访问的。如前后端分离项目中，前端带入token等方式。如果接口提供给第三方调用且无需登陆，则需要给该接口加白名单，但是这样会造成安全问题，我们可以约定参数进行鉴权；鉴权采用固定参数同样存在安全问题，容易被抓包获取到。可以带入动态的时间戳来鉴权。

浏览器请求时先在服务器创建session，服务器保存session并为每个session生成唯一标志字符串即session id（sid），将sid放在响应头中返回给浏览器。浏览器将sid存储在cookie中，以后每次请求都带着sid，服务器解析请求获取sid，根据sid看能否找到对应的session，如果找到说明请求合法。浏览器的每次请求都会携带加密后的用户名和密码，服务器每次收到请求后都会解密和验证。客户端先用用户名和密码登录登录，服务器验证用户名和密码通过后，给客户端发送一个token。

JWT 本身是一个公开的令牌，任何人都可以解码和查看其内容。然而，如果需要保护数据的机密性，可以使用加密算法。加密算法通常是在 JWT 的扩展规范JWE（JSON Web Encryption）中使用的，它通过对 JWT 的HeaderPayload进行加密，确保只有授权的接收方能够解密和读取 JWT 的内容。

JWT（JSON Web Token）支持多种加密和签名算法，这些算法用于确保Token的安全性和数据的完整性。

Java JWT是Auth0提供的官方 JWT 库，功能全面且非常容易集成。它也是一个常用的库，支持多种签名算法。JJWT是一个轻量级的、功能强大的库，提供了生成、解析、验证和签名 JWT 的功能，支持HS256RS256ES256等算法。常用的是Auto0和jjwt。性能方面auth0更优。功能方面jsonwebtoken支持更高级的应用，如高级加密算法等。

.

是 OAuth 2.0 和其他授权框架中常用的一种认证机制。它是一种访问令牌，用于在客户端和服务器之间进行身份验证和授权。Bearer Token 通常用于通过 HTTP 请求头（）传递，以便服务器验证客户端的请求是否有权限访问某些资源。

OAuth 2.0是一种广泛使用的授权框架，用于允许第三方应用访问用户在其他服务上的资源，而无需暴露用户的凭证（如用户名和密码）。OAuth 2.0 允许用户授权第三方应用访问特定的资源，而不需要共享其账户的登录凭证。

加密中的另一个概念是哈希。哈希与传统加密不同。加密有两种方式：从纯文本到密文，再回到纯文本。哈希是一种单向算法，无法轻易撤消。又称消息摘要（）或数字摘要在线加密解密 (oschina.net)// 原文// 算法// 获取数字摘要对象// 获取消息数字摘要的字节数组运行乱码使用base64 编码// 原文// 算法// 获取数字摘要对象// 消息数字摘要// base64编码。

非对称加密，又称现代加密算法，非对称加密是计算机通信安全的基石，保证了加密数据不会被破解。加密和解密使用的是两个不同的密钥，这种算法叫作非对称加密算法。

采用单钥密码系统的加密方法，同一个密钥可以同时用作信息的加密和解密，这种加密方法称为对称加密，也称为单密钥加密。

安全的密码存储对于避免敏感数据泄露至关重要。用户密码不应以纯文本格式存储。这里对用户密码进行哈希处理的技术，以便更安全地存储用户密码。

影响文件上传的服务器端威胁包括缓冲区溢出、可利用的库和 Web Shell 的放置。 影响文件上传的客户端威胁包括 XSS、可利用的客户端库、危险文件以及病毒/恶意软件的扩散。 防止文件上传漏洞的主要方法是将文件名列入白名单、限制上传类型、限制文件大小以及仅允许经过身份验证和授权的用户上传文件。 启用安全文件上传的控件是文件名、内容/扩展验证、系统控制的文件名和路径的正则表达式，以及将上传的文件与应用程序分开存储（在本地文件系统或云存储后端）。

以纯文本形式将密码或密钥放入配置文件中，或者更糟糕的是将它们硬编码到您的代码库中。

HTTP 严格传输安全性可防止通过 HTTP 将任何通信发送到指定域，而是通过 HTTPS 发送所有通信。 X-Content-Type-Options 阻止浏览器将文件解释为 HTTP 标头中的内容类型声明以外的其他内容。 X-Frame-Options 声明从主机传达到客户端浏览器的策略，该策略涉及浏览器是否不得在其他网页的帧中显示传输的内容。 X-XSS-Protection 支持浏览器保护，防止基本的跨站点脚本攻击。 Public-Key-Pin 将特定的加密公钥与特定的 Web 服务器相关

Java 有几种不同的日志框架，但 Log4j 2 和 Logback 是两个最常用的框架，它们具有稳定的性能和许多可用的附加器。 非结构化文本是自由格式的文本。它通常用于更深入的调试类型日志。调试和诊断需要非结构化日志记录，这些日志记录是人类可读的，并且易于查看。 审计需要良好的能力来查询大量现有的记录事件，并调用结构化日志记录，从而提供可以以可搜索格式解析和存储的数据。 应用程序性能监视服务通过提供有助于调查或确认攻击或其他应用程序问题的其他数据来支持日志记录解决方案。 会话标识符、任何连接字符

反序列化的主要问题是，获取可能不受信任的数据，将其解压缩，然后直接放入应用程序的内存中。如果其中有恶意有效负载，也会在应用程序中重建。在序列化方面，需要确保在打包之前排除任何敏感数据属性。Java、Jackson JSON 解析和其他机制进行反序列化的安全方法：限制允许的对象类型。出于安全性和兼容性原因，避免使用二进制序列化。（2）@JsonIgnore，在构造 JSON 对象时省略此字段。（1）使用transient安全地序列化以省略敏感数据；2、使用安全的反序列化方法。2、使用安全的序列化方法。

XML攻击指的是针对XML（可扩展标记语言）的安全漏洞的攻击。XML是一种用于在不同系统和平台之间进行数据交换的常用格式，但如果不适当地验证和清理，它就容易受到各种攻击。XML注入（XML Injection）：类似于SQL注入，XML注入涉及将恶意代码插入到XML数据或基于XML的应用程序中，以操纵XML文档的处理。攻击者可能利用这种漏洞来执行任意代码、访问敏感数据或执行其他恶意操作。XML外部实体攻击（XML External Entity，XXE）

如用户名输入zs，密码输入1=1，就可实现无密码登录。

指没有做好不同角色之间的权限控制，或仅仅在菜单上做了权限控制，低权限用户实现了高权限用户的功能。比如普通用户通过越权登录到了管理员页面，实现管理员才能的操作。下面用自定义拦截的方式解决垂直越权问题。

Spring Security 提供了内置的默认机制来对抗 CSRF。 重定向（返回带有新位置标头的 HTTP 30x 代码供浏览器跟踪）不仅仅是一个便利的功能，而且可能是非常危险的漏洞的来源——谨慎对待每个重定向，并在必须进行重定向时应用适当的防御措施。

【代码】（五）xss攻击。

一、存储型xss：1、介绍：将跨站脚本攻击（Cross Site Scripting）缩写为CSS，但这会与层叠样式表（Cascading Style Sheets，CSS）的缩写混淆。因此，有人将跨站脚本攻击缩写为XSS。2、危害：（1）、盗用cookie，获取敏感信息。（2）、利用植入Flash，通过crossdomain权限设置进一步获取更高权限；或者利用Java等得到类似的操作。（3）、利用iframe、frame、XMLHttpRequest或上述Flash等方式，以（被攻击）