11 2021 档案
摘要:往期回顾: 细读Spring源码(一) refresh()方法概览 声明:本文中源码使用的是Spring5.3版本,就是源码中的master分支!!! 一般来说,设计模式分为创建型、结构性和行为性,具体的有以下23种,其中的简单工厂模式其实不算真正意义上的设计模式: 我在看Spring源码的过程中,
阅读全文
摘要:看了一星期的Spring源码,把refresh()方法从头至尾梳理了一遍,在看的过程中想记录一些关键点,但是需要记录的东西太多,有种无从下手的感觉。因为我在看源码的过程中遇到了很多的疑惑,这些疑惑有时候是一个零散的点,比如动态代理(jdk动态代理和cglib动态代理)、设计模式,有时候是一个很长的链
阅读全文
摘要:看本文之前先推算一下下面这个程序的结果: public class AddNum { public static void main(String[] args) { int i = 2; i = i++; int j = i++; int k = i + ++i + i++; System.out
阅读全文
摘要:花了一天时间,读了一下HashMap的源码,真是思绪万千:怎么能花这么长时间?效率太低了吧?怎么有些地方还是看不懂,比如红黑树?写HashMap的这些人,到底是什么神仙?思维真的好严谨,设计真的好巧妙啊! 下载了jdk8的源码,先通读+debug过了一遍,啊不,好多遍,直到看的差不多了,这个差不多就
阅读全文
摘要:本文将梳理一下OAuth 2.0中客户端、授权服务器和资源服务器上可能被利用的漏洞以及预防方法。 一、客户端漏洞及预防方法 对于客户端来说,最重要的信息就是客户端密钥和令牌,所以客户端上能够被利用的漏洞就是令牌和密钥失窃。 1.1 针对客户端的CSRF攻击 CSRF:cross-site reque
阅读全文
摘要:本章要解决的疑问: OAuth令牌是什么? 如何生成结构化的令牌(JWT)? 如何使用JOSE保护令牌数据? 如何通过令牌内省实时获取令牌数据? 如何撤回令牌? 令牌的生命周期是怎样的? 一、OAuth令牌是什么? 令牌是OAuth中的核心组件,它代表了一次授权的结果,包含了资源拥有者、授权服务器、
阅读全文
摘要:前面的四篇文章都是介绍OAuth 2.0中最常用、最安全的授权码许可类型,其实相比于OAuth 1.0,OAuth 2.0 最关键的一个变化就是授权许可,即授权流程,且不止授权码一种类型,还有隐式许可类型、客户端凭据许可类型、资源拥有者凭据许可类型(即密码类型)以及断言许可类型,本文将详细介绍除了授
阅读全文
摘要:前两篇详细介绍了OAuth 2.0中的两个核心服务器,现在只剩下最后一个受保护资源服务器了,它可以说是OAuth 2.0的终极目的,前面做了那么多,最终就是为了去受保护资源服务器上获取用户想要的数据,与前两者一样,受保护资源服务器也有它要完成的使命: 如上图所示,它需要完成: 解析令牌 校验令牌 不
阅读全文
摘要:上一篇文章详细介绍了授权服务器需要做的事情 https://www.cnblogs.com/hellowhy/p/15513493.html,本篇来说说客户端服务器吧 一、What? 客户端服务器需要做些什么事呢?请戳下图👇👇👇 在授权码模式中,客户端服务器需要和资源拥有者、授权服务器以及受保
阅读全文
摘要:本来打算这篇直接上代码的,但是在看书的过程中发现有很多理论性的东西需要深挖,所以接下来我会先依次介绍OAuth中的授权服务器、客户端、受保护资源这三大服务器具体要做的事情和细节,本篇先来说说授权服务器。 授权服务器在OAuth中主要有以下四个作用: 管理已注册的客户端 用户对客户端授权 为获得授权的
阅读全文
浙公网安备 33010602011771号