随笔分类 - Java架构——05系统安全性
系统安全性方面的知识
摘要:五、协议 1、HTTPS 认证的问题:HTTP中,敏感信息以明文传递,可以通过抓包抓取 安全版HTTP(HTTP over Secure Socket Layer),整个通信过程加密,使用对称加密和数字证书的技术 SLL/TLS机制:复杂的握手协议 SLL/TLS机制下的加密通信过程 JSSE(Ja
阅读全文
摘要:四、认证Authentication 1、为什么要认证 对请求、数据进行认证,判断伪造的数据 HTTP请求很脆弱,抓包软件很强大,容易伪造身份,非法获取数据 2、摘要认证 对象:客户端参数、服务端响应 算法:MD5、SHA、Salt 机制:采用同样算法生成摘要;对比摘要判断信息是否被篡改 3、签名认
阅读全文
摘要:三、加密算法 1、单向散列加密 名称:hash,散列算法,哈希算法 思想:消息摘要(Digest) 特点:单向不可逆(不能反向解密破解);摘要长度固定:碰撞少(输入差不多,加密结果相差很多);加盐(原文加入其它字符再进行加密) 算法实现:MD5,SHA 例子: 2、对称加密 加密/解密采用统一算法
阅读全文
摘要:二、Web攻击与防范 1、XSS攻击 跨站脚本攻击(Cross Site Scripting),因为简写CSS,与层叠样式表(Cascading Style Sheets)有歧义,所以取名XSS 原理:在网页中嵌入恶意脚本程序,在客户端浏览器执行(如用户输入数据转换成代码执行) 防范:输入数据HTM
阅读全文
摘要:一、背景、原理与解决思路 1、为什么要提高安全性(针对Web系统) 网络上对Web应用程序存在多种Web攻击手段,为了使系统稳定运行,必须有所防范 常见的Web攻击:XSS攻击、注入攻击、CSRF攻击、文件上传漏洞、DDos攻击、其它 2、应对方式 2个切入点:网络的架构、应用程序的设计 网络架构
阅读全文
摘要:core只暴露RPC服务,不提供web服务 这种建模风格,在数据库不构建外键,只通过程序来保证外键的逻辑 1、领域与数据访问 2、RPC服务 3、基础服务演示
阅读全文
摘要:1、分层和分割思路 架构设计的完整要素: 服务分层(重点:服务稳定性与抽象性的关系、服务层次) 业务分割(系统扩展性、业务子系统) 技术体系(分布式服务、消息传递等) 系统模块和子系统规划 服务分层 设计策略与原理 业务分割 业务子系统 例子 核心业务 Product/User/Vendor 订单业
阅读全文
摘要:1、系统实现过程 业务逻辑的抽象、技术架构的细化、业务服务的实现、业务功能的验证、系统的整合、系统的扩展、系统的部署 业务逻辑的抽象:沟通、建模与评审、工具(UML、便捷方法)【一般由产品经理、技术经理负责,和开发人员关系不大】 技术架构的细化:基本策略(纵向——分层策略、横向——分布策略)、系统结
阅读全文
摘要:1、软件设计的内容 a、软件设计的层次 一般的软件设计,从上而下,可以分为架构设计,API/SPI设计,数据库设计,功能设计,类设计和方法设计 一般程序员做的就是【类设计和方法设计】 【功能设计】难度高于【类设计和方法设计】,是承上启下的作用,又是迈向架构设计的必经之路 b、功能设计的内容 第一步、
阅读全文
浙公网安备 33010602011771号