前言
在微服务架构中,API网关是所有外部请求的唯一入口:
用户 → API网关 → 内部服务
API网关的职责:
├─ 请求路由
├─ 认证授权
├─ 限流熔断
├─ 安全防护(WAF)
├─ 请求签名验证
├─ 日志审计
└─ 监控告警
大约 7 分钟
- CICD15
- Go 语言2
- 产品与协作28
- 分布式18
- 刷题4
- 前端5
- 面试8
- java基础36
- 网络9
- 软件管理2
- spring21
- 数据库30
- 大数据21
- 操作系统1
- 可信7
- 设计模式3
- 大模型14
- 安全6
- 担保5
- 缓存1
- 数据治理2
- 架构设计9
- 测试3
- 消息队列3
- 运维4
前言
在金融、支付等涉及用户隐私和资金安全的系统中,认证和授权是最关键的防线。
常见问题:
1. 用户密码存在服务器,黑客盗库 → 用户密码泄露
2. 应用直接持有用户密码,密码重置困难
3. 多个应用都要求用户输入密码 → 钓鱼风险
4. 第三方应用需要访问用户数据,但不能共享密码
大约 9 分钟
前言
数据安全等于企业生命。
在金融、支付、医疗等涉及用户隐私的行业,数据泄露可能导致:
- 用户身份被冒用
- 资金被盗用
- 企业被罚款(GDPR最高罚款全球收入4%)
本文讲解两个防护层:脱敏(数据展示安全)和加密(数据存储安全)。
一、数据脱敏
1.1 定义
脱敏:在不影响数据分析的前提下,对敏感数据进行转换,使其无法反推真实值。
大约 5 分钟
JWT 落地实践:令牌设计、刷新与黑名单机制
深入理解 JWT 的每一个细节,从原理到生产落地的完整指南
1. JWT 三段式结构详解
1.1 JWT 长什么样
一个典型的 JWT 看起来像这样:
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9
.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ
.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c
大约 19 分钟
Spring Security 从零到生产:认证授权体系搭建
从概念到实战,手把手带你搭建生产级认证授权体系
1. 认证与授权的核心概念
1.1 什么是认证(Authentication)
认证回答的问题是:"你是谁?"
它是确认用户身份的过程。就好比你去银行办业务,柜台工作人员首先要看你出示身份证,确认你的身份。在计算机系统中,认证通常通过以下方式完成:
- 知识因素(你知道什么):密码、PIN 码、安全问题答案
- 持有因素(你拥有什么):手机验证码、硬件 Token、数字证书
- 固有因素(你是什么):指纹、面部识别、虹膜扫描
大约 17 分钟
金融系统安全设计 Checklist:一个后端的自我修养
金融系统不同于普通应用——安全不是一个 feature,而是地基。本文系统梳理金融后端开发中不可忽视的安全设计要点。
1. 金融系统的安全要求总览
1.1 为什么金融系统更"敏感"
金融系统面临的安全威胁远超普通应用:
┌────────────────────────────────────────────────────────────┐
│ 金融系统安全威胁全景 │
├────────────────────────────────────────────────────────────┤
│ │
│ 【外部威胁】 │
│ ├── 黑客攻击(SQL 注入、XSS、DDoS) │
│ ├── 欺诈交易(伪造请求、金额篡改) │
│ ├── 数据窃取(拖库、中间人攻击) │
│ └── API 滥用(爬取、撞库) │
│ │
│ 【内部威胁】 │
│ ├── 内部人员滥用权限 │
│ ├── 运维人员误操作 │
│ ├── 开发人员硬编码敏感信息 │
│ └── 离职员工未回收权限 │
│ │
│ 【合规要求】 │
│ ├── PCI DSS(支付卡行业数据安全标准) │
│ ├── 等保 2.0(网络安全等级保护) │
│ ├── GDPR(通用数据保护条例) │
│ └── 《个人信息保护法》 │
│ │
└────────────────────────────────────────────────────────────┘
大约 19 分钟