本节开始讲认证相关的东西.注意事项,出现问题的对应的解决方案. 先写用户注册的服务,注册一些用户信息进去.注册也是我们安全体系的一部分 注册 UserController里面的create方法 先修改实体类,加上username和password 因为我们已经在配置文件内配置了generate-ddl为true,启动的时候jpa会自动把这两个属性加到数据库里,这样就不用我们自己手动去数据库里加属性. 设置主键的策略,这里设置的是根据当前数据库的类型策略,例如当前是mysql数据库,那么就会按照m…

首先要保证你的服务是可用的,其中一个重要的手段就是流控.就是流量控制.比如我的系统每秒只能处理500个请求,那么多余的请求就拒绝掉.这样我的系统不会被压死 实际的开发中,所要面对的流控场景实际是非常复杂的,在负载均衡上做,反向代理上做,或者自己写代码去做也是可以的.. 负载均衡和反向代理一般是针对集群的. 为什么要做流控: 1.保证系统的可用性,不要被大流量把系统压死,如果你的服务不可用,做什么都没有意义了. 2.流控一定要做在认证审计授权这些安全机制的前面.因为你的认证审计授权都是要消耗系统资…

基于Http协议的认证方式有很多.本节我们只讲一个最简单的HttpBasic认证.聪明就可以看出来,这是一个最基础的认证,好处是简单方便,所有的主流浏览器都支持,问题就是并不是非常安全的,但是帮我们大家理解认证这个概念是足够的. 首先要对认证信息做Base64的加密,加密之前要把这两个信息组合起来.用户名冒号密码组合成这样一个字符串.然后拿这个字符串做Base64的字符串的加密.并生成一个字符串. 把生成的串放到http请求的 请求头里面.带个前缀 Basic +空格 + 加密后的字符串. 开始…

Spring cloud微服务安全实战 https://coding.imooc.com/class/chapter/379.html#Anchor Spring Cloud微服务安全实战-1-1 课程导学 Spring Cloud微服务安全实战- 2-1 环境安装 Spring cloud微服务安全实战-3-1 API安全 常见的安全机制 Spring cloud微服务安全实战-3-2 第一个API及注入攻击防护 Spring cloud微服务安全实战-3-3 API安全机制之流控 Sprin…

很少在周末发文,还是由于昨晚刚收到实体书,还是耐不住性子马上发文了. 一年前,耗时半年多的时间,写出了我的第一本书<Spring Cloud微服务-全栈技术与案例解析>. 时至今日,一年的间隔,今天第二本<Spring Cloud微服务 入门 实战与进阶>也出版了. 去年出版的<Spring Cloud微服务:全栈技术与案例解析>一书,虽然写的不好,但是得到了大家的支持以及反馈,基于大家的反馈,重新进行了更正和改进. 基于比较稳定的 Spring Cloud Finch…

一.前言: 一直以来对服务安全都很感兴趣,所以就学习.这是学习immoc的 jojo老师的 <Spring Cloud微服务安全实战课程>的笔记,讲的很好. 课程简介:  二.最终形成的架构图  三.章节目录 第1章 课程导学 对整个课程的内容做一个简要的介绍,包括章节的安排,使用的主要技术栈,实战案例的介绍以及前置知识的介绍等内容. 1-1 课程导学 第2章 环境搭建 开发工具的介绍及安装,介绍项目代码结构并搭建,基本的依赖和参数设置. 2-1 环境安装 第3章 API安全 从简单的API场…

上一篇搭建了一个OAuth2认证服务器,可以生成token,这篇来改造下之前的订单微服务,使其能够认这个token令牌. 本篇针对订单服务要做三件事: 1,要让他知道自己是资源服务器,他知道这件事后,才会在前边加一个过滤器去验令牌(配置@EnableResourceServer 配置类) 2,要让他知道自己是什么资源服务器(配置资源服务器ID) 3,配置去哪里验令牌,怎么验令牌,要带什么信息去验 (配置@EnableWebSecurity 配置TokenServices,配置Authentica…

实现一个场景: 订单微服务: POM: <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apac…

课程资料获取链接:点击这里 采用流行的微服务架构开发,应用程序访问安全将会面临更多更复杂的挑战,尤其是开发者最关心的三大问题:认证授权.可用性.可视化.本课程从简单的API安全入手,过渡到复杂的微服务场景,解决上述三大问题痛点,并结合实际给出相应解决方案.帮助大家形成对安全问题的系统性思考,实战开发一套可在中小公司落地的完整的安全方案. 教程目标明细: 技术要点全解析,覆盖微服务安全方方面面 适合人群 希望对微服务安全形成系统认识搭建一套完整落地方案的开发者 技术储备要求 Java Web开发基…

阿里2018年开源的. 简单来说就是干三件事,最终的结果就是保证你的服务可用,不会崩掉.保证服务高可用. 流控 先从最简单的场景来入手. 1.引用一个依赖, 2,声明一个资源. 3.声明一个规则 注意依赖是加在你的微服务上的,每一个微服务都要加一个sentinel的依赖. maven上搜索 声明资源 声明资源 就是你要保护的程序,或者是你要进行流控的那段逻辑. 最简单的方式就是写一段代码. Entry注意是alibaba.csp包下的 现在在创建订单的,所以这里起的名字就叫做createOrde…