“你的代码规范是什么？如何保证同一个项目中协同工作的人书写出来的代码格式一致？” 虽然我们知道一些代码规范，比如说“对于重复出现的代码进行封装复用，写好注释等等“，但这些规范我们不可能要求每个开发人员牢牢记住，那么就需要引入一些约定俗成的配置，来帮助我们对代码进行检查，及时发现问题并解决问题。 IDEA配置Code Style 协同工作时，为了保证统一的代码风格，要求我们使用的规范，如果大家都用的是 IDEA，则推荐使用 Google Code Style，推荐阅读Google Java 编程风格中文文档。 先下载…

Redis Redis是一个开源的，基于内存的数据结构存储，可用作于数据库、缓存、消息中间件。 Redis基于内存，支持多种数据结构。 Redis 提供了多种数据类型来支持不同的业务场景。Redis 还支持事务 、持久化、Lua 脚本、多种集群方案。 Mac安装 brew install redis 查看安装及配置文件位置 Homebrew安装的软件会默认在/usr/local/Cellar/路径下 redis的配置文件redis.conf存放在/usr/local/etc路径下 启动 redis //方式一：使用…

经过这段时间的学习，我们已不满足于普通案例的实操，想着啥时候找个更贴合实际应用的案例练练手，比如说 SpringSecurity+JWT，正好将近期的知识点糅合起来，也算是实操了基于 Token 的认证与授权。 闲话少说，我们直奔主题，开始本次案例的学习。 SpringSecurity认证与授权 自定义认证处理 还记得上一篇文章中提到的验证码处理逻辑吗？我们通过自定义 DaoAuthenticationProvider 实现类，并重写 additionalAuthenticationChecks 方法，将验证码比对…

前言 相信大家在网上冲浪都遇到过登录时输入图片验证码的情况，既然我们已经学习了 Spring Security，也上手实现过几个案例，那不妨来研究一下如何实现这一功能。 首先需要明确的是，登录时输入图片验证码，属于认证功能的一部分，所以本文不涉及授权功能。 认证流程简析 在上文中，我们介绍了认证流程，以及相关的关键类，可知 AuthenticationProvider 定义了 Spring Security 中的验证逻辑，该类的类关系图： 我们来看下 AuthenticationProvider 的定义： publ…

Spring Security整体架构 认证 认证核心组件的大体关系如下： Spring Security 中的认证工作主要由 AuthenticationManager 接口来负责，它处理来自框架其他部分的身份验证请求。其中还涉及到一些关键类，比如：AuthenticationProvider、Authentication 等等，后续等我们演示完项目实例后，会详细对这部分内容进行解读。 授权 当完成认证后，接下来就是授权了。在 Spring Security 的授权体系中，有两个关键接口： AccessDecis…

认识Spring Security Spring Security 是为基于 Spring 的应用程序提供声明式安全保护的安全性框架。Spring Security 提供了完整的安全性解决方案，它能够在 Web 请求级别和方法调用级别处理身份认证和授权。因为基于 Spring 框架，所以 Spring Security 充分利用了依赖注入（dependency injection， DI）和面向切面的技术。 核心功能 对于一个权限管理框架而言，无论是 Shiro 还是 Spring Security，最最核心的功能…

基于Session的认证方式 基于 session 的认证方式如下图： 基于 Session 的认证机制由 Servlet 规范定制，Servlet 容器已实现，用户通过 HttpSession 的操作方法即可实现，如下是 HttpSession 相关的操作API。 创建工程 本项目使用 maven 搭建，使用 SpringMVC、Servlet3.0 实现。 创建maven工程 1、导入依赖 <?xml version="1.0" encoding="UTF-8"?> <project xmln…

认证与授权 认证 进入移动互联网时代，大家每天都在刷手机，常用的软件有微信、支付宝、头条等，下边拿微信来举例子说明认证相关的基本概念，在初次使用微信前需要注册成为微信用户，然后输入账号和密码即可登录微信，输入账号和密码登录微信的过程就是认证。 系统为什么要认证？ 认证是为了保护系统的隐私数据与资源，用户的身份合法方可访问该系统的资源。 认证（authentication） ：用户认证就是判断一个用户的身份是否合法的过程，用户去访问系统资源时系统要求验证用户的身份信息，身份合法方可继续访问，不合法则拒绝访问。常见的用…

Java应用安全框架 在构建应用程序时，必须首先考虑其安全性。每个应用程序都是通过网络发布的，随之而来的是安全、隐私和完整性风险的威胁。 根据开放 Web 应用程序安全项目 (OWASP)，最重要的安全风险是： 大致定义如下： SQL 注入。 损坏的身份验证和会话管理。 跨站点脚本 (XSS)。 不安全的直接对象引用。 安全配置错误。 敏感数据暴露。 缺少功能级别访问控制。 跨站点请求伪造 (CSRF)。 使用具有已知漏洞的组件。 未经验证的重定向和转发。 访问OWASP Top Ten以了解有关这些漏洞的更多信息…

前言 上篇文章我们介绍了 Quartz 的使用，当时实现了两个简单的需求，不过最后我们总结的时候也提到 Quartz 有不少缺点，代码侵入太严重，所以本篇将介绍 xxl-job 这个定时任务框架。 Quartz的不足 Quartz 的不足：Quartz 作为开源任务调度中的佼佼者，是任务调度的首选。但是在集群环境中，Quartz采用API的方式对任务进行管理，这样存在以下问题： 通过调用API的方式操作任务，不人性化。 需要持久化业务的 QuartzJobBean 到底层数据表中，系统侵入性相当严重。 调度逻辑和Q…