由于Spring Boot能够快速开发、便捷部署等特性,相信有很大一部分Spring Boot的用户会用来构建RESTful API。而我们构建RESTful API的目的通常都是由于多终端的原因,这些终端会共用很多底层业务逻辑,因此我们会抽象出这样一层来同时服务于多个移动端或者Web前端。这样一来,我们的RESTful API就有可能要面对多个开发人员或多个开发团队:IOS开发、Android开
转载
2024-10-21 18:21:52
9阅读
【搜索系列】Solr 身份认证与授权更新异常解决方案之前介绍 solr 的教程中,solr 没有开启权限校验,所有的操作都是无需鉴权;当时提到,如果 solr 开启了权限校验,改一下 solr 的 host,带上用户名/密码即可,然而真实情况却并不太一样,查询 ok,涉及到修改的操作,则会抛异常本文将带你了解一下,这到底是个什么鬼畜现象I. Solr 配置用户登录1. 安装之前的 solr 系列教
文章目录一、 springboot实现普通登录1 添加依赖2 编写配置文件3 新建实体类和mapper4 编写业务层代码5 编写控制器6 编写启动类7 编写登录页面和主页面二、 springboot整合shiro实现登录认证和凭证匹配1 添加依赖2 自定义Realm3 编写配置4 userService新增单元方法:使用shiro认证5 凭证匹配器5.1 修改ShiroConfig5.2 修改M
转载
2024-02-21 19:47:03
58阅读
近期一直在研究鉴权方面的各种案例,这几天有空,写一波总结及经验。第一步:什么是 OAuth鉴权 OAuth2是工业标准的授权协议。OAuth2取代了在2006创建的原始OAuthTM协议所做的工作。OAuth 2.0关注客户端开发人员的简单性,同时为Web应用程序、桌面应用程序、移动电话和客厅设备提供特定的授权流。
转载
2024-05-28 09:37:10
220阅读
RESTful 是一种规范,符合 RESTful 的 Api 就是 RESTful Api。简单的说就是可联网设备利用 HTTP 协议通过 GET、POST、DELETE、PUT、PATCH 来操作具有 URI 标识的服务器资源,返回统一格式的资源信息,包括 JSON、XML、CSV、ProtoBuf、其他格式。 RESTful 的核心思想是,客户端发出的数据操作指令都是"动词 + 宾语"的结构。
转载
2024-02-28 21:15:47
53阅读
本文将通过AOP的方式实现一个相对更加简易灵活的API安全认证服务。我们先看实现,然后介绍和分析AOP基本原理和常用术语。一、Authorized实现1、定义注解package com.power.demo.common;
import java.lang.annotation.*;
/*
* 安全认证
* */
@Target({ElementType.TYPE, ElementType
转载
2024-05-29 01:07:00
97阅读
JSON Web Token(JWT)是目前流行的跨域身份验证解决方案。官网:https://jwt.io/本文使用spring boot 2 集成JWT实现api接口验证。一、JWT的数据结构JWT由header(头信息)、payload(有效载荷)和signature(签名)三部分组成的,用“.”连接起来的字符串。JWT的计算逻辑如下:(1)signature = HMACSHA256(bas
转载
2023-07-19 21:29:45
262阅读
因为 Basic Auth 的身份信息是写在请求中,被截获账号可能会泄露,为此增加一重ip认证 在实际应用中,可能会用spring boot 写一些微服务去做底层的一些预处理,然后再开放一些接口传输数据。为了安全,同城要做一些访问的认证,也不用选太复杂的认证方式,就用 Basic Auth就可以 ...
转载
2021-08-20 11:33:00
2314阅读
2评论
唠嗑部分在项目开发中,权限认证是很重要的,尤其是一些管理类的系统,对于权限要求更为严格,那么在Java开发中,常用的权限框架有哪些呢?推荐的有两种,Shiro 与 SpringSecurity,当然也可以结合切面自己实现Shiro是Apache开源的一款权限框架,比较轻量级,简单容易学,但是不能在其中注入Spring中的容器BeanSpringSecurity是Spring生态中的一个组件,比较重
转载
2024-06-26 20:58:38
169阅读
1. RESTful简述 REST是一种设计风格,是一组约束条件及原则,而遵循REST风格的架构就称为RESTful架构,资源是RESTful的核心,一个好的RESTful架构,通过URL就能很清晰的了解其相应的操作和需求是什么,即1. 通过URL定位资源,如:com.mobin/api/v1/shenzhen/subways //获取深圳地铁列表com.mob
转载
2024-04-18 14:44:19
143阅读
“2021年8月,全球最大的API企业Postman以56亿美元的估值完成了D轮融资,这把火直接点燃了全球资本对API管理市场的热情,API管理赛道正在经历前所未有的火热。这把火也烧到了中国,而在这把火之前,中国就有一家企业潜心研发API管理工具,在2017年便推出全球首个API全生命周期管理平台,这家企业就是Eolink。Eolink是结合了 API 设计、文档管理、自动化测试、监控、研发管理和
转载
2023-09-10 22:27:18
52阅读
怎样防伪装攻击防伪装攻击:即防止接口被其他人调用,此阶段可以理解为比如已经登录了,然后在请求其他接口的时候,通过Token授权机制来判断当前请求是否有效Token是客户端访问服务端的凭证。Token授权机制用户用密码登录或者验证码登录成功后,服务器返回token(通常UUID)给客户端,并将Token-UserId以键值对的形式存放在缓存服务器中。客户端将token保存在本
本篇和大家分享jwt(json web token)的使用,她主要用来生成接口访问的token和验证,其单独结合springboot来开发api接口token验证很是方便,由于jwt的token中存储有用户的信息并且有加密,所以适用于分布式,这样直接吧信息存储在用户本地减速了服务端存储sessiion或token的压力;如下快速使用:1 <!--jwt-->
2 <depend
转载
2023-12-19 19:02:45
112阅读
### 实现Spring Boot + JWT做API的Token认证
在开发微服务或Web应用时,常常需要对API进行认证以确保安全性。一种常见的做法是使用JWT(JSON Web Token)来进行身份认证。JWT是一种基于JSON的开放标准(RFC 7519),它通过在服务端和客户端之间传递安全信息,来生成可验证的 token。本文将介绍如何在Spring Boot项目中使用JWT进行AP
原创
2024-05-06 10:14:34
174阅读
这日,刚撸完2行代码,正准备掏出手机摸鱼放松放松,只见老大朝我走过来,并露出一个”善意“的微笑,兴伟呀,xx项目有于安全问题,需要对接口整体进行加密处理,你这方面比较有经验,就给你安排上了哈,看这周内提测行不...,额,摸摸头上飘摇着而稀疏的长发,感觉我爱了。和产品、前端同学对外需求后,梳理了相关技术方案, 主要的需求点如下:尽量少改动,不影响之前的业务逻辑;考虑到时间紧迫性,可采用对称性加密方式
转载
2024-05-31 07:52:49
180阅读
一、认证流程上图是 Spring Security 认证流程的一部分,下面的讲解以上图为依据。(1) 用户发起表单登录请求后,首先进入 UsernamePasswordAuthenticationFilter: 在 UsernamePasswordAuthenticationFilter中根据用户输入的用户名、密码构建了 UsernamePasswordAuthenticationToken,并将
转载
2023-08-30 09:25:25
501阅读
SpringBoot前后端分离API接口怎么保证API接口的安全性?前端用vue写的,直接放在nginx下面,后端使用SpringBoot作为服务端提供API接口给前端访问,前端分为公共访问页面和登录后访问页面。登录后访问的可以使用JWT进行接口鉴权。但是没有登录的情况如何保护接口不被恶意的调用?解决:通过请求request来获取ip.记录ip请求次数到redis缓存.当ip请求频率过高时,屏蔽该
原创
2019-03-01 19:17:14
8988阅读
1.1 api认证原理介绍 1、api认证原理:客户端生成秘钥 1) 客户端与服务器端有一个相同的字符串作为auth_key 2) 客户端使用encryption="auth_key|time.time()"用auth_key和客户端时间生成md5秘钥 3) 客户端将"encryption|time.time()" 将生成的秘钥和发送请求的时间一起发送给服务器 2
转载
2023-10-15 21:05:19
47阅读
什么是 JSON 网络令牌?JSON Web Token (JWT) 是一个开放标准 ( RFC 7519 ),它定义了一种紧凑且自包含的方式,用于在各方之间作为 JSON 对象安全地传输信息。该信息可以被验证和信任,因为它是经过数字签名的。JWT 可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对进行签名。虽然 JWT 可以加密以在各方之间提供保密,但我们将重点关注签名令牌。
转载
2024-03-27 12:24:20
138阅读
情景说明 鉴权,有很多方案,如:SpringSecurity、Shiro、拦截器、过滤器等等。如果只是对一些URL进行认证鉴权的话,我们完 全没必要引入SpringSecurity或Shiro等框架,使用拦截器或过滤器就足以实现需求。 本文介绍如何使用过滤器Filter实现URL签名认证鉴权
转载
2023-11-13 17:27:05
237阅读
