摘要：第四章 网关安全 这一章从简单的API的场景过渡到复杂的微服务的场景 4.1 概述 微服务安全面临的挑战：介绍中小企业的一个微服务架构，相比第三章的单体应用的简单的API所面临的哪些挑战 OAuth2协议与微服务安全：介绍OAuth2中的各个角色，以及相互之间的关系，介绍具体的代码实现 微服务网关安 阅读全文

摘要：前面的文章 https://www.cnblogs.com/lihaoyang/p/11967121.html 说了用过滤器实现HttpBasic 认证 ，在请求头里携带用户名和密码，存在的问题是，你不可能让用户每个请求都输入用户名密码吧，即使前端把用户名密码存起来，这也是不安全的。 一、基于Tok 阅读全文

摘要：API安全之授权 访问控制： 1，ACL ：Access Control Lists，直接给每个用户授权，他能访问什么。开发简单，但是用户多的话，给每个用户授权比较麻烦。 2，RBAC：Role Based Access Control。给角色授权，给用户赋予角色。授权简单，开发麻烦。 下边用ACL 阅读全文

摘要：审计日志 定义：谁，在什么时间，干了什么事。 位置：认证之后，授权之前。 这样就知道是谁在访问，拒绝掉的访问也能被记录。如果放在认证之前，那么就不知道是谁在访问；如果放在授权之后，就没办法记录被拒绝的访问。 存储：审计日志一定要持久化，记在数据库里或者是文件，放在内存会丢失。（输出到公司的日志服务） 阅读全文

摘要：1，数据校验，解决接口层的参数校验，是api安全的前线。可以用JSR303注解进行接口层面的校验 ，参考文章：https://www.ibm.com/developerworks/cn/java/j-lo-jsr303/index.html 2，密码加密（这个不说了，有很多加密算法），解决数据存储层 阅读全文

摘要：认证：登录和认证是 两个概念，比如你两周、一个月，可能只登录了一次，但认证却是每次访问都要经过的步骤。 对于图中的认证不成功，也要继续处理，这个我觉得得看业务，比如管理系统，不登录就不让你访问，但对于比如电商的商品信息，不登录，也是可以访问的。 一、写一个用户注册服务 数据库user表： User类 阅读全文

摘要：这几篇将API安全的 流控、认证、审计、授权 简单的过一遍，对这些概念先有个初步印象。后边还会详细讲解。 本篇说API安全之流控~第一印象。 一、概念 流控，流量控制，只放系统能处理的请求的数量过去，处于api安全链路的第一关。 为什么要做流控？保证系统的可用性，防止大流量把系统给压死。流控的位置做 阅读全文

摘要：1，本节主要讲了sql注入防范，如果使用mybatis，需要注意mapper.xml里面$会造成sql注入风险。 第一个 api 代码：https://github.com/lhy1234/springcloud-security/tree/master/nb-user-api ，这里就不粘贴代码了 阅读全文

摘要：本章讲解，在不考虑微服务，只考虑一个简单的API ，如何保证这个API的安全？ 三个问题： 1，什么是API ？ 2，API安全的要素有哪些？ 3，API安全基本机制 一、什么是API 百度百科：API（Application Programming Interface，应用程序接口）是一些预先定义 阅读全文

摘要：开发环境： JDK ：1.8 IDE ： idea 数据库：mysql 5.6.5 框架：springboot,mybatisplus PGA：（后边用到再安装） Promethus (普罗米修斯 一个系统和服务监视系统，官网 ：https://prometheus.io/) Grafana（您所有 阅读全文

摘要：这两年微服务是一个很火的话题 。在java语言的体系里，现在最火的就是SpringCloud。 本系列文章主要不是讲：怎么使用SpringSpringCloud组件搭建一个微服务的体系，如服务的认证注册、配置中心、网关等微服务相关的一些组件，将他们拼在一起组成一个可以用的微服务的架构。 其实微服务不 阅读全文