随笔分类 -  04项目应用

(八)netty的SSL renegotiation攻击漏洞
摘要:为了满足安全规范,从http改造成https(见(四)启用HTTPS),然而启用https后就可以高枕无忧了吗?绿盟告诉你:当然不,TLS Client-initiated 重协商攻击(CVE-2011-1473)了解一下。 1. 漏洞 报告是这样的: 然而我的http server用的是netty 阅读全文
posted @ 2019-01-11 16:59 张q 阅读(9213) 评论(0) 推荐(0)
(七)json序列化
摘要:在spring boot项目中已经包含有json序列化的框架,具体在包com.fasterxml.jackson.annotation中,建议看看详细源码。 但在项目应用上还是会有一些坑会出现的,举个例子: 在一个复杂的业务模型中包含有200个字段,在查询列表时只查询其中某20个字段,在查询详情中需 阅读全文
posted @ 2019-01-04 17:33 张q 阅读(252) 评论(0) 推荐(0)
(六)加密的字段类型入库
摘要:在(一)敏感信息混淆中处理了加密字段,但如果要把这个加密字段使用mybatis入库,则会报以下错误: 简单看就是自定义的类型识别不了,这个时候我们就可以用到mybatis的TypeHandler了,TypeHandler有4个参数: public interface TypeHandler<T> { 阅读全文
posted @ 2018-10-11 18:22 张q 阅读(661) 评论(0) 推荐(0)
(五)配置文件的属性加密
摘要:在micro service体系中,有了config server,我们可以把配置存放在git、svn、数据库等,普通的web项目也基本上是把配置存放在配置文件中。如果我们把大量的配置信息都放在配置文件中是会有安全隐患的,那么如何消除这个隐患呢?最直接的方式就是把配置信息中的一些敏感信息(比如数据库 阅读全文
posted @ 2018-09-21 16:18 张q 阅读(3255) 评论(0) 推荐(0)
(四)启用HTTPS
摘要:安全规范中有一条是要求尽量使用https而弃用http(新Chrome将标记非HTTPS网站为不安全),其实启用https和之前的ipv6改造一样,并不是什么高难度或者工作流繁多的的改造,只需将中间件启用https支持即可。在spring boot项目中,基本上都是使用内置的中间件(tomcat、n 阅读全文
posted @ 2018-09-18 18:24 张q 阅读(1800) 评论(0) 推荐(0)
(三)Swagger配置多项目共用
摘要:重构了多个项目后,在联调接口时,查看api会发现Swagger在几个项目可用,有几个不可用,配置都一样,扫描也充分,那问题出在哪里呢?先仔细找了下Docket的源码,发现有这么个方法: 而我们在配置中,就用到这个方法: 由于整合了多个项目,每个项目的包命名规则不一致,扫描的包的规则没有完全匹配所有项 阅读全文
posted @ 2018-09-18 14:38 张q 阅读(5219) 评论(0) 推荐(0)
(二)活用ComponentScan
摘要:项目改造成spring cloud项目后,有非常多组件是复用的,比如(一)敏感信息混淆的组件,比如数据库、Redis等配置, 比如常用的api组件Swagger配置。每个微服务组件里都会有若干个组件随机组合拼成,如果我们在每个服务中都对这些可复用的组件复制粘贴也能实现相应功能。但作为一个典型的码农, 阅读全文
posted @ 2018-09-18 11:05 张q 阅读(336) 评论(0) 推荐(0)
(一)敏感信息混淆
摘要:最近网上出现的安全事故很多,最惨的莫过于那场酒店事件,因此项目整改也需要对用户的敏感信息进行脱敏,由于前期的项目并没有规划这一模块,为了满足安全规范达到上线标准,需要对项目进行改造。 改造方案 1. 不能采用手动encode/decode的方式(避免在某个地方忘记encode/decode了) 2. 阅读全文
posted @ 2018-09-12 16:24 张q 阅读(1456) 评论(0) 推荐(0)