一、内外网接口微服务隔离将对外暴露的接口和对内暴露的接口分别放到两个微服务上,一个服务里所有的接口均对外暴露,另一个服务的接口只能内网服务间调用。需要额外编写一个只对内部暴露接口的微服务,将所有只能对内暴露的业务接口聚合到这个微服务里,通过这个聚合的微服务,分别去各个业务侧获取资源。该方案,[缺点]:新增一个微服务做请求转发,增加了系统的复杂性,增大了调用耗时以及后期的维护成本。二、网关 + re
转载
2024-09-07 19:29:37
34阅读
Java内存泄漏是每个Java程序员都市遇到的问题,程序在当地运行完全合理,可是布署到远端就会出现内存无局限的增长,最后体系瘫痪,那么怎样最快最好的检测程序的安稳性,避免体系崩盘,作者用自已的亲身体验与各位网友分享解决这些问题的办法。
作为Internet最盛行的编程语言之一,Java现正十分盛行。我们的网络运用程序就紧要选用Java语言开发,大致上
转载
2023-07-27 22:35:29
104阅读
简介OAuth是一个关于授权(authorization)的开放网络标准,在全世界得到广泛应用,目前的版本是2.0版。本文重点讲解Spring Boot项目对OAuth2进行的实现,如果你对OAuth2不是很了解,你可以先理解 OAuth 2.0 - 阮一峰,这是一篇对于oauth2很好的科普文章。OAuth2概述oauth2根据使用场景不同,分成了4种模式授权码模式(authoriza
基本用户认证和授权/adminweb.xml添加一个新的过滤器来实现的,如 代码清单 1 所示。 清单 1. 在 web.xml 中添加 Spring Security 的过滤器 <filter>
<filter-name>springSecurityFilterChain</filter-name>
<filte
一、说明 HeapDump文件是JVM虚拟机运行时内存的一个快照,通常用于性能分析等,但是因为其保存了对象、类等相关的信息,如果被泄露也会造成信息泄露。有多种方式可以获取到HeapDump信息,如使用jmap、jconsole可以主动获取到信息,在JAVA开发中引入Spring Actuator后,如果配置不当可以通过前台访问下载HeapDum
推荐
原创
2022-07-24 17:01:44
10000+阅读
springboot+poi导出百万级数据避免OOM内存溢出 文章目录springboot+poi导出百万级数据避免OOM内存溢出前言一、具体实现二、代码实现1.引入poi包2.功能代码总结 前言记录下在实际项目中碰到过一个重大问题,全量导出百万级数据,由于之前在开发环境数据没有达到百万级别,因此此问题没有处理,上到测试环境后,数据量达到150万的时候,全量导出所有的数据出现内存溢出问题。一、具体
转载
2024-09-19 13:56:15
80阅读
关于Spring Boot Actuator漏洞补救方案Spring Boot Actuator漏洞自查处理漏洞 Spring Boot ActuatorSpring Boot Actuator 提供了项目的健康检查,审计,指标收集,HTTP 跟踪等,是帮助项目监控和管理Spring Boot 应用的模块。
这个模块采集应用的内部信息,展现给外部模块,可以查看应用配置的详细信息,例如自动化配置信
转载
2024-02-22 23:47:55
90阅读
一、大背景 最近做的自动化测试平台需要进行重构,将原有的系统拆分成几个独立的子系统,我负责用户系统的开发,同时需要兼容老系统,我的头希望我采用spring security来进行权限控制和管理。有以下几个问题需要解决: 1、如何兼容已有的老的权限体系。 2、用户系统登录之后,如何将认证信息同步到其它子系统。二、调研还是按照惯例了解一下spring security到底是什么东西,基本的原理到
本文介绍的是RSA加密算法+Spring Security在SpringMVC中的集成使用。Spring Security是什么? 引用: Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转In
一、概述3月底Spring Framework爆出严重级别的安全漏洞,该漏洞允许黑客进行任意命令执行。在3月31日Spring Framework官方发布了5.3.18以及5.2.20修复了该漏洞,随后该漏洞编号为CVE-2022-22965,这个漏洞也是先发布修复版本,后分配CVE编号的。从官网可知该漏洞存在的条件:使用JDK9及以上版本使用Apache Tomcat作为容器使用了传统的WAR包
转载
2024-04-16 14:10:55
271阅读
# Spring Boot Actuator泄露HeapDump密码 修复
## 简介
Spring Boot Actuator是Spring Boot提供的一个功能强大的工具,可以帮助开发者监控和管理应用程序。然而,最近发现Actuator的一个安全问题,当应用程序暴露HeapDump接口时,可能会泄露敏感信息,例如密码。本文将介绍这个问题的背景,并提供修复方法。
## 问题描述
在默认
原创
2024-01-04 06:52:59
9060阅读
背景2020年1月6日,国家信息安全漏洞共享平台(CNVD)收录了由北京长亭科技有限公司发现并报送的Apache Tomcat文件包含漏洞(CNVD-2020-10487,对应CVE-2020-1938)。攻击者利用该漏洞,可在未授权的情况下远程读取特定目录下的任意文件。目前,漏洞细节尚未公开,厂商已发布新版本完成漏洞修复。一、漏洞描述 二、漏洞危害等级
转载
2024-03-19 23:43:15
144阅读
最初的想法是通过在实体类的getter方法操作,让它从数据库返回值过后运用自己的脱敏策略重新赋值不过这种方法有弊端,如果在后端还要使用值的话,拿到的值不是数据库的真是的数据,所以只能在springmvc返回前端的时候操作(如果从数据库后获取值不操作的话,可以直接在getter方法上面写)下面采用自定义注解和拦截器的方式引入fastjson依赖<!-- fastjson -->
<
Swagger简介swagger包括三部分: Swagger Editor(基于浏览器的编辑器),Swagger UI(可以让我们通过浏览器来查看并操作Rest API,Swagger Codegen。Swagger接口相关注解说明1.@Api:可设置对控制器的描述2. @ApiOperation:: 可设置对接口的描述3 .@ApiIgnore: Swagger 文档不会显示拥有该注解的接口。4
转载
2024-08-29 11:25:39
323阅读
一、SpringBoot
ActuatorSpringBoot Actuator是SpringBoot项目中的一个监控机制,用于提供了一系列对SpringBoot项目的状态监控,有助于监控项目上线后的运行状态、组件状态等。这些监控项称之为端点(endpoint),可以通过API接口进行访问,但是配置不当可能出现敏感信息泄露,导致一系列严重的后果。二、环境搭建1、SpringBoot:2.3.2.R
原创
精选
2024-07-21 14:12:16
1845阅读
一、SpringBoot env 获取* 敏感信息 当我们直接访问 springboot 站点时,可以看到某些 password 字段填充了*通过${name} 可以获取明文字段 2. 配置不当导致敏感信息泄露(password 打星号,而 pwd 没有打星号)
具体实现过程:例如: 我们要获取 pid 参数值"PID": "10648",POST
在日常项目中,除了开发过程比较重要以外,实际上运维过程也尤为重要。而Spring Boot 也为我们考虑到了这一点,它为我们提供了Actuator这一组件,帮助我们监控、管理应用程序。正如官网中所说的那样,它可以通过很小的动作产生巨大的变化一起来探索一下~一 原理01. 什么是ActuatorSpring Boot Actuator,可在您将应用程序投入生产时帮助您监控和管理应用程序。分别支持HT
转载
2024-07-26 09:24:02
161阅读
文章目录ConfigConfig 工作原理Config 的特点与作用Config 服务端搭建Config 客户端搭建手动刷新配置手动刷新配置的问题Config+Bus 实现配置的动态刷新Spring Cloud Bus 的基本原理Spring Cloud Bus 动态刷新配置的原理Nacos服务搭建命名空间分组和 DataID 三者关系 在分布式微服务系统中,几乎所有服务的运行都离不开配置文件的
转载
2024-03-15 05:38:32
77阅读
多环境配置共享微服务启动时会从nacos读取多个配置文件:1、[spring.application.name]-[spring.profiles.active].yaml 例如:userservice-dev.yaml【服务名】-【环境】.yaml2、 [spring.application.name].yaml 【服务名】.yaml 例如:userservice.yaml
转载
2024-07-04 09:32:27
499阅读
1. 简介1.1 官网【原文】A lightweight event-driven microservices framework to quickly build applications that can connect to external systems. Simple declarative(声名式的) model to send and receive messages using
转载
2024-06-25 13:00:39
31阅读
