主要防止非法用户修改cookie信息,以及cookie的超时时间 传统cookie存储,Cookie(name, value),value很容易就被篡改. 防修改cookie存储,Cookie(name, value+“&&”+ signToken+“&&”+saveTime+“&&”+maxTime) signToken :签名密钥 由md5(value+saveTime+maxTime+”自定义密钥“)生成 saveTime:cookie创建时间 max…
上一篇主要讲了整个项目的子模块及第三方依赖的版本号统一管理维护,数据库对接及缓存(Redis)接入,今天我来说说过滤器配置及拦截设置.接口安全处理.AOP切面实现等.作为电商项目,不仅要求考虑高并发带来的压力,更要考虑项目的安全稳固及可扩展.首先我们说说接口安全. 一,接口安全 说起安全,这似乎是IT行业一直以来的重点话题.实际真正的项目安全,更多的是运维工程师(安全专家)从网络和服务器层面保护.目前基本每个大的互联网公司都有一个安全团队(推荐大家了解下阿里安全专家吴翰清).今天我要说的只是接口…
一步步打造一个简单的 MVC 电商网站 - BooksStore(四) 本系列的 GitHub地址:https://github.com/liqingwen2015/Wen.BooksStore <一步步打造一个简单的 MVC 电商网站 - BooksStore(一)>(发布时间:2017-03-30 ) <一步步打造一个简单的 MVC 电商网站 - BooksStore(二)>(发布时间:2017-03-31) <一步步打造一个简单的 MVC 电商网站 - BooksSto…
现在,我们绝大多数人都会在网上购物买东西.但是很多人都不清楚的是,很多电商网站会存在安全漏洞.比如乌云就通报过,国内很多家公司的网站都存在 CSRF 漏洞.如果某个网站存在这种安全漏洞的话,那么我们在购物的过程中,就很可能会被网络黑客盗刷信用卡.是不是有点「不寒而栗」 的感觉? 首先,我们需要弄清楚 CSRF 是什么.它的全称是 Cross-site request forgery ,翻译成中文的意思就是「跨站请求伪造」,这是一种对网站的恶意利用.简单而言,就是某恶意网站在我们不知情的情况下,以…
Java生鲜电商平台-商家支付系统与对账系统架构实战 说明:关于生鲜电商平台,支付系统是连接消费者.商家(或平台)和金融机构的桥梁,管理支付数据,调用第三方支付平台接口,记录支付信息(对应订单号,支付金额等),金额对账等功能,根据不同公司对于支付业务的定位不同大概有几个阶段: 第一阶段:支付作为一个(封闭)的.独立的应用系统,为各系统提供支付功能支持.一般来说,这个系统仅限于为公司内部的业务提供支付支持,并且和业务紧密耦合. 第二阶段:支付作为一个开发的系统,为公司内外部系统.各种业务提供支付服…
本文源码:GitHub·点这里 || GitEE·点这里 一.场景案例简介 1.场景描述 分布式事务在业务系统中是十分常见的,最经典的场景就是电商架构中的交易业务,如图: 客户端通过请求订单服务,执行下单操作,实际上从订单服务上又触发了多个服务链请求,基本步骤如下: 客户端请求在订单服务上创建订单: 订单服务调用账户服务扣款: 订单服务调用库存服务执行库存扣减: 订单通过物流服务,转化为物流运单: 这套流程在电商系统中是基本业务,在实际的开发中远比这里描述的复杂. 2.服务时序图 上述1中是业务…
Java生鲜电商平台-API接口设计之token.timestamp.sign 具体设计与实现 说明:在实际的业务中,难免会跟第三方系统进行数据的交互与传递,那么如何保证数据在传输过程中的安全呢(防窃取)?除了https的协议之外,能不能加上通用的一套算法以及规范来保证传输的安全性呢? 下面我们就来讨论下常用的一些API设计的安全方法,可能不一定是最好的,有更牛逼的实现方式,但是这篇是我自己的经验分享.    本章目录: 1. token简介 2. timestamp 简介 3. sign 简介…
系列目录     [已更新最新开发文章,点击查看详细] 谈起.NET/.NET Core的企业级实战案例,电商项目是典型代表.其中高负载.高并发.高可用性等问题是考核.NET技术性能的重要指标.下面整理的几个电商项目都是国内外著名的真实电商应用系统. 1.nopCommerce  nopCommerce 是全球最受欢迎的基于微软ASP.NET技术的电商购物系统.同时它也是开源.免费.最流行.最好的电子商务购物车解决方案. 项目特征: 该产品自2008年起由专业团队开发和支持. nopCommer…
[前言] 自腾讯与京东建立了战略合作关系之后,笔者网上购物就首选京东了.某天在家里访问京东首页的时候突然吃惊地发现浏览器突然跳到了第三方网站再回到京东,心里第一个反应就是中木马了. 竟然有这样的事,一定要把木马大卸八块. [原因排查] 首先在重现的情况下抓包,京东官网确实返回了一段Java让浏览器跳转到了yiqifa.com. 下图是应用层的抓包. 服务器返回的代码导致跳转,基本可以排除本地木马,推测是网络或者服务器的问题.根据笔者的经验,这种情况很大可能是链路上的流量劫持攻击.当然也不能排除京…
 阅读目录 前言 准备 实现 结语 一.前言 最近实在太忙,上周停更了一周.按流程一步一步走到现在,到达了整个下单流程的最后一公里——结算页的处理.从整个流程来看,这里需要用户填写的信息是最多的,那么在后端的设计中如何考虑到业务边界的划分,和相互之间的交互复杂度,又是我们需要考虑的地方.总体来说本篇讲述的内容在前几篇都有涉及,所以这次一次性处理的业务比较多,已经比较熟练的看官可以跳过本篇. 二.准备 主流的电商设计中结算页包含以下5个概念:选择收货地址.选择支付方式.选择快递.使用优惠券.使用余…