1、API简介 这段时间和外部公司合作,一直在写对外API接口。提供的API接口是基于http协议的,也是无状态的。每次请求都必须带上身份认证信息。后台服务对身份信息进行校验。 基于HTTP协议的API身份认证有很多种方式,有HTTP Basic,HTTP Digest,API KEY,Oauth, ...
网上Jersey中文资料不多,更别提其他了。本人跟进项目具体需求弄了简单的api认证机制 基本流程图 后端登录退出代码: 后端Jersey验证流程 http在跨域请求过程中:首先发起OPTIONS请求,然后再发送真正的GET\PUT\POST\DELETE请求。而且OPTIONS请求是不带heads ...
分类:
其他好文 时间:
2018-01-11 16:06:18
阅读次数:
751
参考内容:《质量全面监控:从项目管理到容灾测试》 一、安全测试概述 定义:安全测试是在软件产品开发基本完成时,验证产品是否符合安全需求定义和产品质量标准的过程。 概念:安全测试是检查系统对非法侵入渗透的防范能力。 准则:理论上来讲,只要有足够的时间和资源,没有无法进入的系统。因此,系统安全设计的准则 ...
分类:
其他好文 时间:
2018-01-09 14:40:35
阅读次数:
170
Java版本APP接口安全设计 安全设计分为两种: 1.传输安全。 2. 会话安全. 1.传输安全 怎么保证接口经过网络传输不被抓包获取? 1、如果只是使用对称性算法,破解APP拿到加密密钥就可以解密出截获的传输数据。2、如果只使用非对称性算法,加密数据长度有限制。3、解决方案:对称性算法+非对称性 ...
分类:
移动开发 时间:
2018-01-05 12:21:59
阅读次数:
264
API接口调用方式 HTTP + 请求签名机制 HTTP + 参数签名机制 HTTPS + 访问令牌机制 有没有更好的方案? OAuth授权机制 OAuth2.0服务的几种授权流程 ...
一、memcache 漏洞描述:memcached是一套分布式的高速缓存系统。它以Key-Value(键值对)形式将数据存储在内存中,这些数据通常是应用读取频繁的。正因为内存中数据的读取远远大于硬盘,因此可以用来加速应用的访问。由于memcached安全设计缺陷,客户端连接memcached服务器后 ...
分类:
系统相关 时间:
2017-12-14 04:07:19
阅读次数:
244
软件安全设计需要考虑哪些? 是不是搞个全站HTTPS就OK了? 找了一个书单: http://www.educity.cn/labs/704829.html 下面是必读书籍列表: 国家标准和技术研究所(NationalInstituteofStandardsandTechnology,NIST)编写 ...
分类:
其他好文 时间:
2017-11-28 15:35:01
阅读次数:
148
register_globals的安全性 不要让不相关的人看到报错信息 网站安全设计的一些原则 可用性与数据跟踪 过滤用户输入 对输出要进行转义 表单与数据安全 从URL的语义进行攻击 文件上传攻击的防御 跨站脚本攻击的防御 跨站请求伪造CSRF的防御 关于表单欺骗提交 HTTP请求欺骗 不要暴露数 ...
分类:
Web程序 时间:
2017-09-15 20:33:27
阅读次数:
224
C/S架构的优缺点:*优点:1.客户端因为是独立设计,所以可以实现个性化2.因为客户端是需要进行安装的,可以不需要重复安装和加载3.因为客户端是独立开发的,所以有能力对客户端进行安全设计4.如果遇到不同的操作系统,需要为不同的操作系统各开发一套客户端*缺点:1.因为客户端是不需要重复安装,所以用户可 ...
分类:
Web程序 时间:
2017-09-15 10:12:37
阅读次数:
187
Web应用的安全管理,包括两个方面:一是用户身份认证,即用户登录的设计;另一方面是用户的授权,即一个用户在一个应用系统中能够执行哪些操作的权限管理。我这里使用spring-cloud-security进行安全管理。 首先是依赖配置 安全策略配置 自定义的securityconfig配置,放在appl ...
分类:
编程语言 时间:
2017-08-01 00:25:41
阅读次数:
404
