holdengong
holdengong

AspNetCore3.1_Secutiry源码解析_8_Authorization_授权框架

文章目录

  • AspNetCore3.1_Secutiry源码解析_1_目录
  • AspNetCore3.1_Secutiry源码解析_2_Authentication_核心项目
  • AspNetCore3.1_Secutiry源码解析_3_Authentication_Cookies
  • AspNetCore3.1_Secutiry源码解析_4_Authentication_JwtBear
  • AspNetCore3.1_Secutiry源码解析_5_Authentication_OAuth
  • AspNetCore3.1_Secutiry源码解析_6_Authentication_OpenIdConnect
  • AspNetCore3.1_Secutiry源码解析_7_Authentication_其他
  • AspNetCore3.1_Secutiry源码解析_8_Authorization_授权框架

简介

开篇提到过,认证主要解决的是who are you,授权解决的是 are you allowed的问题。各种认证架构可以帮我们知道用户身份(claims),oauth等架构的scope字段能够控制api服务级别的访问权限,但是更加细化和多变的功能授权不是它们的处理范围。

微软的Authorization项目提供了基于策略的灵活的授权框架。

推荐看下面博客了解,我主要学习和梳理源码。

https://www.cnblogs.com/RainingNight/p/authorization-in-asp-net-core.html

依赖注入

注入了以下接口,提供了默认实现

  • IAuthorizationService :授权服务,主干服务
  • IAuthorizationPolicyProvider : 策略提供类
  • IAuthorizationHandlerProvider:处理器提供类
  • IAuthorizationEvaluator:校验类
  • IAuthorizationHandlerContextFactory:授权上下文工厂
  • IAuthorizationHandler:授权处理器,这个是注入的集合,一个策略可以有多个授权处理器,依次执行
  • 配置类:AuthorizationOptions

微软的命名风格还是比较一致的
Service:服务
Provider:某类的提供者
Evaluator:校验预处理类
Factory:工厂
Handler:处理器
Context:上下文

看源码的过程,不仅可以学习框架背后原理,还可以学习编码风格和设计模式,还是挺有用处的。

/// 
/// Adds authorization services to the specified . 
/// 
/// The  to add services to.
/// The  so that additional calls can be chained.
public static IServiceCollection AddAuthorizationCore(this IServiceCollection services)
{
    if (services == null)
    {
        throw new ArgumentNullException(nameof(services));
    }
    
    services.TryAdd(ServiceDescriptor.Transient());
    services.TryAdd(ServiceDescriptor.Transient());
    services.TryAdd(ServiceDescriptor.Transient());
    services.TryAdd(ServiceDescriptor.Transient());
    services.TryAdd(ServiceDescriptor.Transient());
    services.TryAddEnumerable(ServiceDescriptor.Transient());
    return services;
}

/// 
/// Adds authorization services to the specified . 
/// 
/// The  to add services to.
/// An action delegate to configure the provided .
/// The  so that additional calls can be chained.
public static IServiceCollection AddAuthorizationCore(this IServiceCollection services, Action configure)
{
    if (services == null)
    {
        throw new ArgumentNullException(nameof(services));
    }

    if (configure != null)
    {
        services.Configure(configure);
    }

    return services.AddAuthorizationCore();
}

配置类 - AuthorizationOptions

  • PolicyMap:策略名称&策略的字典数据
  • InvokeHandlersAfterFailure: 授权处理器失败后是否触发下一个处理器,默认true
  • DefaultPolicy:默认策略,构造了一个RequireAuthenticatedUser策略,即需要认证用户,不允许匿名访问。现在有点线索了,为什么api一加上[Authorize],就会校验授权。
  • FallbackPolicy:保底策略。没有任何策略的时候会使用保底策略。感觉有点多此一举,不是给了个默认策略吗?
  • AddPolicy:添加策略
  • GetPolicy:获取策略
/// 
/// Provides programmatic configuration used by  and .
/// 
public class AuthorizationOptions
{
    private IDictionary PolicyMap { get; } = new Dictionary(StringComparer.OrdinalIgnoreCase);

    /// 
    /// Determines whether authentication handlers should be invoked after a failure.
    /// Defaults to true.
    /// 
    public bool InvokeHandlersAfterFailure { get; set; } = true;

    /// 
    /// Gets or sets the default authorization policy. Defaults to require authenticated users.
    /// 
    /// 
    /// The default policy used when evaluating  with no policy name specified.
    /// 
    public AuthorizationPolicy DefaultPolicy { get; set; } = new AuthorizationPolicyBuilder().RequireAuthenticatedUser().Build();

    /// 
    /// Gets or sets the fallback authorization policy used by 
    /// when no IAuthorizeData have been provided. As a result, the AuthorizationMiddleware uses the fallback policy
    /// if there are no  instances for a resource. If a resource has any 
    /// then they are evaluated instead of the fallback policy. By default the fallback policy is null, and usually will have no 
    /// effect unless you have the AuthorizationMiddleware in your pipeline. It is not used in any way by the 
    /// default .
    /// 
    public AuthorizationPolicy FallbackPolicy { get; set; }

    /// 
    /// Add an authorization policy with the provided name.
    /// 
    /// The name of the policy.
    /// The authorization policy.
    public void AddPolicy(string name, AuthorizationPolicy policy)
    {
        if (name == null)
        {
            throw new ArgumentNullException(nameof(name));
        }

        if (policy == null)
        {
            throw new ArgumentNullException(nameof(policy));
        }

        PolicyMap[name] = policy;
    }

    /// 
    /// Add a policy that is built from a delegate with the provided name.
    /// 
    /// The name of the policy.
    /// The delegate that will be used to build the policy.
    public void AddPolicy(string name, Action configurePolicy)
    {
        if (name == null)
        {
            throw new ArgumentNullException(nameof(name));
        }

        if (configurePolicy == null)
        {
            throw new ArgumentNullException(nameof(configurePolicy));
        }

        var policyBuilder = new AuthorizationPolicyBuilder();
        configurePolicy(policyBuilder);
        PolicyMap[name] = policyBuilder.Build();
    }

    /// 
    /// Returns the policy for the specified name, or null if a policy with the name does not exist.
    /// 
    /// The name of the policy to return.
    /// The policy for the specified name, or null if a policy with the name does not exist.
    public AuthorizationPolicy GetPolicy(string name)
    {
        if (name == null)
        {
            throw new ArgumentNullException(nameof(name));
        }

        return PolicyMap.ContainsKey(name) ? PolicyMap[name] : null;
    }
}

IAuthorizationService - 授权服务 - 主干逻辑

接口定义了授权方法,有两个重载,一个是基于requirements校验,一个是基于policyName校验。

Task AuthorizeAsync(ClaimsPrincipal user, object resource, IEnumerable requirements);

Task AuthorizeAsync(ClaimsPrincipal user, object resource, string policyName);

看下默认实现DefaultAuthorizationService的处理,逻辑还是比较简单

  • 获取策略
  • 获取策略的授权条件
  • 获取授权上下文
  • 获取处理器集合
  • 处理器依次执行,结果存入上下文
  • 校验器验证上下文
  • 返回授权结果类
 /// 
/// The default implementation of an .
/// 
public class DefaultAuthorizationService : IAuthorizationService
{
    private readonly AuthorizationOptions _options;
    private readonly IAuthorizationHandlerContextFactory _contextFactory;
    private readonly IAuthorizationHandlerProvider _handlers;
    private readonly IAuthorizationEvaluator _evaluator;
    private readonly IAuthorizationPolicyProvider _policyProvider;
    private readonly ILogger _logger;

    /// 
    /// Creates a new instance of .
    /// 
    /// The  used to provide policies.
    /// The handlers used to fulfill s.
    /// The logger used to log messages, warnings and errors.  
    /// The  used to create the context to handle the authorization.  
    /// The  used to determine if authorization was successful.  
    /// The  used.  
    public DefaultAuthorizationService(IAuthorizationPolicyProvider policyProvider, IAuthorizationHandlerProvider handlers, ILogger logger, IAuthorizationHandlerContextFactory contextFactory, IAuthorizationEvaluator evaluator, IOptions options)
    {
        if (options == null)
        {
            throw new ArgumentNullException(nameof(options));
        }
        if (policyProvider == null)
        {
            throw new ArgumentNullException(nameof(policyProvider));
        }
        if (handlers == null)
        {
            throw new ArgumentNullException(nameof(handlers));
        }
        if (logger == null)
        {
            throw new ArgumentNullException(nameof(logger));
        }
        if (contextFactory == null)
        {
            throw new ArgumentNullException(nameof(contextFactory));
        }
        if (evaluator == null)
        {
            throw new ArgumentNullException(nameof(evaluator));
        }

        _options = options.Value;
        _handlers = handlers;
        _policyProvider = policyProvider;
        _logger = logger;
        _evaluator = evaluator;
        _contextFactory = contextFactory;
    }

    /// 
    /// Checks if a user meets a specific set of requirements for the specified resource.
    /// 
    /// The user to evaluate the requirements against.
    /// The resource to evaluate the requirements against.
    /// The requirements to evaluate.
    /// 
    /// A flag indicating whether authorization has succeeded.
    /// This value is true when the user fulfills the policy otherwise false.
    /// 
    public async Task AuthorizeAsync(ClaimsPrincipal user, object resource, IEnumerable requirements)
    {
        if (requirements == null)
        {
            throw new ArgumentNullException(nameof(requirements));
        }

        var authContext = _contextFactory.CreateContext(requirements, user, resource);
        var handlers = await _handlers.GetHandlersAsync(authContext);
        foreach (var handler in handlers)
        {
            await handler.HandleAsync(authContext);
            if (!_options.InvokeHandlersAfterFailure && authContext.HasFailed)
            {
                break;
            }
        }

        var result = _evaluator.Evaluate(authContext);
        if (result.Succeeded)
        {
            _logger.UserAuthorizationSucceeded();
        }
        else
        {
            _logger.UserAuthorizationFailed();
        }
        return result;
    }

    /// 
    /// Checks if a user meets a specific authorization policy.
    /// 
    /// The user to check the policy against.
    /// The resource the policy should be checked with.
    /// The name of the policy to check against a specific context.
    /// 
    /// A flag indicating whether authorization has succeeded.
    /// This value is true when the user fulfills the policy otherwise false.
    /// 
    public async Task AuthorizeAsync(ClaimsPrincipal user, object resource, string policyName)
    {
        if (policyName == null)
        {
            throw new ArgumentNullException(nameof(policyName));
        }

        var policy = await _policyProvider.GetPolicyAsync(policyName);
        if (policy == null)
        {
            throw new InvalidOperationException($"No policy found: {policyName}.");
        }
        return await this.AuthorizeAsync(user, resource, policy);
    }
}

默认策略 - 需要认证用户

默认策略添加了校验条件DenyAnonymousAuthorizationRequirement

public AuthorizationPolicyBuilder RequireAuthenticatedUser()
{
    Requirements.Add(new DenyAnonymousAuthorizationRequirement());
    return this;
}

校验上下文中是否存在认证用户信息,验证通过则在上下文中将校验条件标记为成功。

protected override Task HandleRequirementAsync(AuthorizationHandlerContext context, DenyAnonymousAuthorizationRequirement requirement)
    {
        var user = context.User;
        var userIsAnonymous =
            user?.Identity == null ||
            !user.Identities.Any(i => i.IsAuthenticated);
        if (!userIsAnonymous)
        {
            context.Succeed(requirement);
        }
        return Task.CompletedTask;
    }

授权时序图

授权项目还是比较好理解的,微软提供了一个基于策略的授权模型,大部门的具体的业务代码还是需要自己去实现的。

classDiagram class AuthorizationPolicy{ Requirements } class Requirement{ } class AuthorizationHandler{ } class IAuthorizationHandler{ +HandleAsync(AuthorizationHandlerContext context) } class IAuthorizationRequirement{ } Requirement-->AuthorizationHandler AuthorizationHandler-->IAuthorizationHandler Requirement-->IAuthorizationHandler Requirement-->IAuthorizationRequirement

中间件去哪了?

开发不需要编写UseAuthorization类似代码,项目中也没发现中间件,甚至找不到 使用AuthorizeAttribute的地方。那么问题来了,框架怎么知道某个方法标记了[Authorize]特性,然后执行校验的呢?

答案是Mvc框架处理的,它读取了节点的[Authorize]和[AllowAnonymous]特性,并触发相应的逻辑。关于Mvc的就不细说了,感兴趣可以翻看源码。
AspNetCore\src\Mvc\Mvc.Core\src\ApplicationModels\AuthorizationApplicationModelProvider.cs。

public void OnProvidersExecuting(ApplicationModelProviderContext context)
{
    if (context == null)
    {
        throw new ArgumentNullException(nameof(context));
    }

    if (_mvcOptions.EnableEndpointRouting)
    {
        // When using endpoint routing, the AuthorizationMiddleware does the work that Auth filters would otherwise perform.
        // Consequently we do not need to convert authorization attributes to filters.
        return;
    }

    foreach (var controllerModel in context.Result.Controllers)
    {
        var controllerModelAuthData = controllerModel.Attributes.OfType().ToArray();
        if (controllerModelAuthData.Length > 0)
        {
            controllerModel.Filters.Add(GetFilter(_policyProvider, controllerModelAuthData));
        }
        foreach (var attribute in controllerModel.Attributes.OfType())
        {
            controllerModel.Filters.Add(new AllowAnonymousFilter());
        }

        foreach (var actionModel in controllerModel.Actions)
        {
            var actionModelAuthData = actionModel.Attributes.OfType().ToArray();
            if (actionModelAuthData.Length > 0)
            {
                actionModel.Filters.Add(GetFilter(_policyProvider, actionModelAuthData));
            }

            foreach (var attribute in actionModel.Attributes.OfType())
            {
                actionModel.Filters.Add(new AllowAnonymousFilter());
            }
        }
    }
}

你可能感兴趣的:(AspNetCore3.1_Secutiry源码解析_8_Authorization_授权框架)

  • 探索未来开发新纪元:**星辰大海——高效能全栈开发框架** 尚舰舸Elsie
    探索未来开发新纪元:星辰大海——高效能全栈开发框架minemacsMinEmacs:anEmacsconfigurationframeworkfordailyuse项目地址:https://gitcode.com/gh_mirrors/mi/minemacs项目介绍在浩瀚的编程宇宙中,星辰大海犹如一颗璀璨的新星,以其独特的光芒照亮了全栈开发的道路。这是一款由一群热情洋溢的技术极客倾力打造的开源项目
  • 【Spring Security Oauth2】构建授权服务器(三):使用数据库存储客户端信息 apple_csdn 数据库spring服务器springcloud
    一、环境准备1、回顾【SpringSecurityOauth2】构建授权服务器(一):内存模式2、Sql脚本createdatabased_study_oauth2charactersetutf8;used_study_oauth2;--auto-generateddefinitioncreatetableoauth_client_details(client_idvarchar(255)notn
  • C#常用744单词 Lu01 CommonWordsc#
    1.visual可见的2.studio工作室3.dot点4.net网5.harp尖端的,锋利的。6.amework骨架,构架,框架7.beta测试版,试用版8.XML(全称:eXtensibleMarkupLanguage)可扩展标记语言9.extensible可扩展的10.ASP(全称:ActiveServerPage)活动服务器网页11.active活动的,积极的12.PocketPC掌上电脑
  • python图形化界面开发工具_七个python gui图形界面开发框架 weixin_39653717 python图形化界面开发工具
    Kivy这是一个非常有趣的项目,基于OpenGLES2,支持Android和iOS平台的原生多点触摸,作为事件驱动的框架,Kivy非常适合游戏开发,非常适合处理从widgets到动画的任务。如果你想开发跨平台的图形应用,或者仅仅是需要一个强大的跨平台图形用户开发框架,Kivy都是不错的选择。Pyforms诞生只有两年的Pyforms是一个Python2.7/3.x跨环境图形应用开发框架,模块化和代
  • 用Python编写桌面应用GUI的几种框架对比 我就是全世界 ai编程
    1.PythonGUI框架概述1.1PythonGUI开发的重要性在现代软件开发中,图形用户界面(GUI)是用户与应用程序交互的主要方式。一个直观、易用的GUI可以极大地提升用户体验,使得应用程序更加受欢迎和易于使用。Python作为一种广泛使用的编程语言,其强大的生态系统和丰富的库支持使得开发者能够轻松创建功能丰富的GUI应用程序。PythonGUI开发的重要性体现在以下几个方面:用户体验:良好
  • 【导航业务框架】autoware manager 盒子君~ #自动驾驶Autoware#架构自动驾驶人工智能
    文章目录(1)从Autoware的系统层进行剖析(2)从系统组件框图进行剖析(3)从算法的基本控制和数据流进行剖析(4)从Autoware的节点图进行剖析【较有用】总结部署经验总结参考资料无人驾驶Autoware相关教程及博客请关注专栏:https://blog.csdn.net/qq_35635374/article/details/138165657无人车&无人机导航合集https://blo
  • 前端必知必会-Vue 简介 编程岁月 vue.js前端javascript
    文章目录Vue简介Vue是一个JavaScript框架为什么要学习Vue?OptionsAPI我的第一页文本插值文本插值中的JavaScript总结Vue简介Vue是一个JavaScript框架。可以使用标记将其添加到HTML页面。Vue使用指令扩展HTML属性,并使用表达式将数据绑定到HTML。Vue是一个JavaScript框架Vue是一个用JavaScript编写的前端JavaScript框
  • OAuth1和OAuth2授权协议 yaoshengting #jira安全
    OAuth1授权协议1.概述OAuth1是OAuth标准的第一个正式版本,它通过签名和令牌的方式,实现用户授权第三方访问其资源的功能。在OAuth1中,安全性依赖于签名机制,无需传递用户密码。2.核心特性使用签名(Signature)来验证请求,提供高安全性。每次请求需要签名,因此客户端和服务器必须具备一致的签名计算能力。授权流程较复杂,尤其是在客户端上实现。3.授权流程OAuth1的流程包括以下
  • python基础-推荐8个常用的Python GUI图形界面开发框架 小尤笔记 数据库pythonPython基础开发语言爬虫
    在Python中,GUI(图形用户界面)开发框架为开发者提供了创建交互式应用程序的工具。以下是八款常用的PythonGUI图形界面开发框架及其简要代码讲解:CSDN大礼包:《2024年最新全套学习资料包》免费分享1.Tkinter简介:Tkinter是Python的标准GUI库,它提供了一个简单的方式来创建窗口、对话框等GUI元素。Tkinter被整合到当前所有主要操作系统的Python安装程序中
  • 一个开源 GenBI AI 本地代理(确保本地数据安全),使数据驱动型团队能够与其数据进行互动,生成文本到 SQL、图表、电子表格、报告和 BI struggle2025 人工智能数据挖掘目标检测深度学习自然语言处理语言模型集成学习
    一、GenBIAI代理介绍(文末提供下载)github地址:https://github.com/Canner/WrenAI本文信息图片均来源于github作者主页在WrenAI,我们的使命是通过生成式商业智能(GenBI)使组织能够无缝访问数据,从而彻底改变商业智能。我们的目标是通过先进的AI驱动型解决方案、可组合数据框架和语义智能来打破数据洞察的障碍,使每个团队成员都能自信地做出更快、更智能的
  • Spring Boot 3.x 系列【6】日志框架集成及配置 墨 禹 SpringBoot3.xspringbootjavalogback
    有道无术,术尚可求,有术无道,止于术。本系列SpringBoot版本3.0.3源码地址:https://gitee.com/pearl-organization/study-spring-boot3文章目录前言常用日志框架SLF4JJCLJULLog4jLogbackSpringBoot日志1.日志格式2.控制台输出3.日志级别4.打印日志5.日志分组6.日志关闭钩子7.输出到文件8.自定义日志配
  • 【Golang】——Gin 框架与数据库集成详解 Linke- Golanggolanggin数据库后端开发语言go
    文章目录1.引言2.初始化项目2.1创建Gin项目2.2安装依赖3.数据库驱动安装与配置3.1配置数据库3.2连接数据库3.3在主函数中初始化数据库4.定义数据模型4.1创建用户模型4.2自动迁移5.使用GORM进行CRUD操作5.1创建用户5.2获取用户列表5.3更新用户信息5.4删除用户5.5路由配置6.数据库迁移与管理6.1数据迁移6.2手动迁移7.使用事务处理复杂操作8.优化与调试8.1数
  • QObject源码浅析 令狐掌门 深入浅出C++Qt开发技术qtc++QObject源码浅析
      Qt的基类祖先是QObject,看Qt源码,在安装Qt时你得勾选了源码选项,没有勾选的话,可以去官网下载源码,或者重新安装Qt.用vscode打开Qtsrc是比较好的选择,理论上用QtCreator也可以,不过目测编译比较麻烦,我用的vscode.  Qt的实现采用了Pimpl机制,对于该Pimpl不熟悉的可以看这篇【C++PImpl实现机制浅析与代码实现】  Qt是完全面向对象的框架,一般每
  • 零信任安全架构 烁月_o9 安全网络web安全运维微信
    零信任安全架构是一种创新的网络安全理念和模型,它颠覆了传统的基于边界的安全思维。一、基本理念零信任架构基于“永不信任,始终验证”的原则。这意味着无论访问请求是来自组织内部网络还是外部网络,都不能默认其是安全的,必须对每个访问请求进行严格的身份验证和授权。传统的安全架构主要聚焦于保护网络边界,一旦攻击者突破边界,就可以相对容易地在内部网络中移动并访问各种资源。而零信任架构则认为,威胁可能来自任何地方
  • Spring的设计理念之【事务管理】 冰糖心158 java
    Spring框架的事务管理是其核心设计理念之一,旨在简化复杂的事务处理逻辑,提供统一的编程模型,同时支持灵活的事务策略配置。以下是Spring事务管理的关键设计理念和实现机制:一、设计目标解耦业务逻辑与事务管理将事务管理代码从业务逻辑中剥离,开发者只需关注业务逻辑,事务的开启、提交、回滚等由框架统一处理。统一事务抽象提供PlatformTransactionManager接口,抽象不同事务实现(如
  • Spring源码的模块结构指南 冰糖心158 springjava后端
    Spring框架是一个广泛使用的开源框架,主要用于企业级应用开发,特别是在Java生态系统中。Spring的源码结构比较复杂,包含多个模块,每个模块有特定的功能。下面是Spring源码的主要模块结构详细输出:1.SpringCore(核心模块)spring-core:Spring的基础核心库,包含了Spring的核心功能,比如BeanFactory(bean的容器接口)和一些通用的类和工具类。sp
  • STLG_07_20_微信小程序开发 - 进阶阶段复习与总结 魔都天健 小程序微信小程序笔记开发语言
    在微信小程序开发的进阶阶段,复习与总结是巩固知识的关键。重点回顾复杂交互设计、性能优化技巧、组件化开发、数据管理与缓存策略,以及与微信生态的深度结合(如支付、分享等)。同时,梳理项目实践中的问题与解决方案,总结框架选择与项目架构经验,关注代码规范与版本管理,提升开发效率与质量。1.核心知识点回顾1.1小程序框架小程序生命周期App生命周期:小程序全局的生命周期函数,例如onLaunch(小程序启动
  • Spring的应用场景和优势 冰糖心158 SpringFrameworkjava
    Spring框架是Java生态中最流行的企业级应用开发框架之一,其设计目标是简化复杂性,提供灵活性和可扩展性。以下是Spring的应用场景和核心优势的详细说明:一、Spring的主要应用场景企业级Web应用开发SpringMVC:用于构建分层清晰的Web应用,支持RESTfulAPI开发。SpringWebFlux:支持响应式编程(ReactiveProgramming),适合高并发、非阻塞的异步
  • WebServices应用集成框架ESB(Enterprise Service Bus 企业服务总线) songyuhong 技术service框架webservicejbossweb服务中间件
    给大家介绍一个好东东,在进行系统间集成时经常利用WebService,但是从建立WebService和调用的重复性和维护性的工作量都相当大,所以接下来我将宴请大家干看不吃一顿丰盛的WebService应用框架技术大餐。首先简单介绍一下,ESB全称为EnterpriseServiceBus,即企业服务总线。它是传统中间件技术与XML、Web服务等技术结合的产物。ESB提供了网络中最基本的连接中枢,是
  • 分布式应用集成框架 cissyring ApplicationIntegration分布式应用框架
    http://blog.csdn.net/cissyring/gallery/image/44775.aspx
  • 核弹级0day深信服运维安全管理系统(堡垒机)存在信息泄露漏洞 SDASDASD111asd 0day安全运维网络web安全安全架构
    0x01产品概述深信服运维安全管理系统侧重于运维安全管理,集账号管理、身份认证、单点登录、资源授权、访问控制和操作审计为一体,能够对IT资产(如服务器、网络设备、安全设备、数据库等)的操作过程进行有效的运维操作审计,使运维审计由事件审计提升为操作内容审计,通过事前预防、事中控制和事后审计的能力全面解决运维安全问题,进而提高IT运维管理水平。0x02漏洞概述0x03漏洞描述漏洞为Web站点的网络安全
  • 10分钟学会logback错误日志推送企业微信 鲨鱼 Fish logback企业微信java
    引言项目部署到服务器上之后,有错误日志和异常无法及时响应和查看。本文目的是把logback的error级别日志通过群聊机器人推送到企业微信上。ps:本文教程默认你的项目已经整合了logback日志框架知识点引入Appender:logback将写入日志事件的任务委托给一个名为Appender的组件。AppenderBase是一个抽象类,实现了Appender接口。更多关于Appender的知识点可
  • C# WPF MVVM框架从 .NET,用优雅的架构构建强大的应用程序 XsfFsharp c#wpf.net.NET
    在现代的软件开发中,采用合适的架构模式可以帮助我们构建可维护、可扩展和可测试的应用程序。WPF(WindowsPresentationFoundation)是一个强大的用户界面框架,而MVVM(Model-View-ViewModel)是一种流行的架构模式,用于在WPF应用程序中实现分离关注点的开发。本文将介绍如何使用C#和.NET平台来构建基于MVVM的WPF应用程序。在开始编写WPF应用程序之
  • 【漏洞复现】广联达 Linkworks OA ArchiveWebService XML实体注入漏洞 0x0000001 漏洞复现xml网络安全web安全渗透测试网络安全
    免责声明:本文旨在提供有关特定漏洞的信息,以帮助用户了解潜在风险。发布此信息旨在促进网络安全意识和技术进步,并非出于恶意。读者应理解,利用本文提到的漏洞或进行相关测试可能违反法律或服务协议。未经授权访问系统、网络或应用程序可能导致法律责任或严重后果。作者对读者基于本文内容的行为不承担责任。读者在使用信息时必须遵守适用法律法规和服务协议,独自承担所有风险和责任。如有侵权,请联系删除。漏洞描述广联达L
  • yolo是什么,有什么优缺点以及YOLO的应用场景? cesske YOLO
    目录前言一、yolo是什么?二、YOLO的优点三、YOLO的缺点四、YOLO的应用场景总结前言这里我们来讲一下yolo是什么,有什么优缺点?一、yolo是什么?“YOLO”在计算机视觉和深度学习领域是一个特定的算法框架,全称是“YouOnlyLookOnce”。这个算法最初由JosephRedmon、SantoshDivvala、RossGirshick和AliFarhadi在2015年提出,旨在
  • 超过80%大厂都在用,Jetpack Compose现代Android界面开发的未来 Calvin880828 现代Android开发jetpackcomposeandroid
    超过80%大厂都在用,JetpackCompose现代Android界面开发的未来1.引言JetpackCompose是一款用于构建Android界面的现代化工具包。目前该框架已经相对成熟,大厂包括Google、字节、阿里等大厂都在使用。根据反馈,普遍认为开发效率提高了很多,语法简单直观,受到普遍好评!相较于传统的XML布局文件和Java代码,JetpackCompose采用了声明式的方式来描述U
  • 如何自己设计一个类似Dubbo的RPC框架 小熊123~ dubbodubborpcjava
    上来你的服务就得去注册中心注册吧,你是不是得有个注册中心,保留各个服务的信息,可以用zookeeper来做,对吧。然后你的消费者需要去注册中心拿对应的服务信息吧,对吧,而且每个服务可能会存在于多台机器上。接着你就该发起一次请求了,咋发起?当然是基于动态代理了,你面向接口获取到一个动态代理,这个动态代理就是接口在本地的一个代理,然后这个代理会找到服务对应的机器地址。然后找哪个机器发送请求?那肯定得有
  • 掌握无人机自主起飞:深入解析ROS2节点实现(Ardupilot+ROS2+Gazebo+Mavros仿真) xehuosh 无人机python机器人linux信息与通信开发语言
    一:ROS2与MAVROSROS2是一个用于机器人软件开发的开源框架,它提供了一套丰富的工具和库,使得开发者能够快速构建复杂的机器人应用程序。ROS2可以通过Mavros插件包与无人机的飞行控制系统进行通信,实现了对无人机的精确控制。目前网上基于ROS2的Mavros教程极少,且几乎都是针对PX4固件的,这无疑增大了Arudupilot、ROS2和Mavros的学习困难。PX4官网的ROS1dem
  • 【JavaP6大纲】Dubbo篇:如何自己设计一个类似 Dubbo 的 RPC 框架?(1) 2401_84103344 程序员dubborpc网络协议
    上来你的服务就得去注册中心注册吧,你是不是得有个注册中心,保留各个服务的信息,可以用zookeeper来做,对吧。然后你的消费者需要去注册中心拿对应的服务信息吧,对吧,而且每个服务可能会存在于多台机器上。接着你就该发起一次请求了,咋发起?当然是基于动态代理了,你面向接口获取到一个动态代理,这个动态代理就是接口在本地的一个代理,然后这个代理会找到服务对应的机器地址。然后找哪个机器发送请求?那肯定得有
  • 如何自己设计一个类似 Dubbo 的 RPC 框架? 码农小旋风 后端
    面试题如何自己设计一个类似Dubbo的RPC框架?面试官心理分析说实话,就这问题,其实就跟问你如何自己设计一个MQ一样的道理,就考两个:你有没有对某个rpc框架原理有非常深入的理解。你能不能从整体上来思考一下,如何设计一个rpc框架,考考你的系统设计能力。面试题剖析其实问到你这问题,你起码不能认怂,因为是知识的扫盲,那我不可能给你深入讲解什么kafka源码剖析,dubbo源码剖析,何况我就算讲了,
  • 异常的核心类Throwable 无量 java源码异常处理exception
    java异常的核心是Throwable,其他的如Error和Exception都是继承的这个类 里面有个核心参数是detailMessage,记录异常信息,getMessage核心方法,获取这个参数的值,我们可以自己定义自己的异常类,去继承这个Exception就可以了,方法基本上,用父类的构造方法就OK,所以这么看异常是不是很easy package com.natsu;
  • mongoDB 游标(cursor) 实现分页 迭代 开窍的石头 mongodb
    上篇中我们讲了mongoDB 中的查询函数,现在我们讲mongo中如何做分页查询      如何声明一个游标        var mycursor = db.user.find({_id:{$lte:5}});       迭代显示游标数
  • MySQL数据库INNODB 表损坏修复处理过程 0624chenhong tomcatmysql
    最近mysql数据库经常死掉,用命令net stop mysql命令也无法停掉,关闭Tomcat的时候,出现Waiting for N instance(s) to be deallocated 信息。查了下,大概就是程序没有对数据库连接释放,导致Connection泄露了。因为用的是开元集成的平台,内部程序也不可能一下子给改掉的,就验证一下咯。启动Tomcat,用户登录系统,用netstat -
  • 剖析如何与设计人员沟通 不懂事的小屁孩 工作
    最近做图烦死了,不停的改图,改图……。烦,倒不是因为改,而是反反复复的改,人都会死。很多需求人员不知该如何与设计人员沟通,不明白如何使设计人员知道他所要的效果,结果只能是沟通变成了扯淡,改图变成了应付。 那应该如何与设计人员沟通呢? 我认为设计人员与需求人员先天就存在语言障碍。对一个合格的设计人员来说,整天玩的都是点、线、面、配色,哪种构图看起来协调;哪种配色看起来合理心里跟明镜似的,
  • qq空间刷评论工具 换个号韩国红果果 JavaScript
    var a=document.getElementsByClassName('textinput'); var b=[]; for(var m=0;m<a.length;m++){ if(a[m].getAttribute('placeholder')!=null) b.push(a[m]) } var l
  • S2SH整合之session 灵静志远 springAOPstrutssession
    错误信息: Caused by: org.springframework.beans.factory.BeanCreationException: Error creating bean with name 'cartService': Scope 'session' is not active for the current thread; consider defining a scoped
  • xmp标签 a-john 标签
    今天在处理数据的显示上遇到一个问题: var html = '<li><div class="pl-nr"><span class="user-name">' + user + '</span>' + text + '</div></li>'; ulComme
  • Ajax的常用技巧(2)---实现Web页面中的级联菜单 aijuans Ajax
    在网络上显示数据,往往只显示数据中的一部分信息,如文章标题,产品名称等。如果浏览器要查看所有信息,只需点击相关链接即可。在web技术中,可以采用级联菜单完成上述操作。根据用户的选择,动态展开,并显示出对应选项子菜单的内容。 在传统的web实现方式中,一般是在页面初始化时动态获取到服务端数据库中对应的所有子菜单中的信息,放置到页面中对应的位置,然后再结合CSS层叠样式表动态控制对应子菜单的显示或者隐
  • 天-安-门,好高 atongyeye 情感
        我是85后,北漂一族,之前房租1100,因为租房合同到期,再续,房租就要涨150。最近网上新闻,地铁也要涨价。算了一下,涨价之后,每次坐地铁由原来2块变成6块。仅坐地铁费用,一个月就要涨200。内心苦痛。     晚上躺在床上一个人想了很久,很久。        我生在农
  • android 动画 百合不是茶 android透明度平移缩放旋转
    android的动画有两种  tween动画和Frame动画   tween动画;,透明度,缩放,旋转,平移效果   Animation   动画 AlphaAnimation 渐变透明度 RotateAnimation 画面旋转 ScaleAnimation 渐变尺寸缩放 TranslateAnimation 位置移动 Animation
  • 查看本机网络信息的cmd脚本 bijian1013 cmd
    @echo 您的用户名是:%USERDOMAIN%\%username%>"%userprofile%\网络参数.txt" @echo 您的机器名是:%COMPUTERNAME%>>"%userprofile%\网络参数.txt" @echo ___________________>>"%userprofile%\
  • plsql 清除登录过的用户 征客丶 plsql
    tools---preferences----logon history---history  把你想要删除的删除 -------------------------------------------------------------------- 若有其他凝问或文中有错误,请及时向我指出, 我好及时改正,同时也让我们一起进步。 email : binary_spac
  • 【Pig一】Pig入门 bit1129 pig
    Pig安装 1.下载pig   wget http://mirror.bit.edu.cn/apache/pig/pig-0.14.0/pig-0.14.0.tar.gz   2. 解压配置环境变量      如果Pig使用Map/Reduce模式,那么需要在环境变量中,配置HADOOP_HOME环境变量   expor
  • Java 线程同步几种方式 BlueSkator volatilesynchronizedThredLocalReenTranLockConcurrent
    为何要使用同步?      java允许多线程并发控制,当多个线程同时操作一个可共享的资源变量时(如数据的增删改查),      将会导致数据不准确,相互之间产生冲突,因此加入同步锁以避免在该线程没有完成操作之前,被其他线程的调用,      从而保证了该变量的唯一性和准确性。 1.同步方法&
  • StringUtils判断字符串是否为空的方法(转帖) BreakingBad nullStringUtils“”
    转帖地址:http://www.cnblogs.com/shangxiaofei/p/4313111.html   public static boolean isEmpty(String str)     判断某字符串是否为空,为空的标准是 str== null  或 str.length()== 0  
  • 编程之美-分层遍历二叉树 bylijinnan java数据结构算法编程之美
    import java.util.ArrayList; import java.util.LinkedList; import java.util.List; public class LevelTraverseBinaryTree { /** * 编程之美 分层遍历二叉树 * 之前已经用队列实现过二叉树的层次遍历,但这次要求输出换行,因此要
  • jquery取值和ajax提交复习记录 chengxuyuancsdn jquery取值ajax提交
    // 取值 // alert($("input[name='username']").val()); // alert($("input[name='password']").val()); // alert($("input[name='sex']:checked").val()); // alert($("
  • 推荐国产工作流引擎嵌入式公式语法解析器-IK Expression comsci java应用服务器工作Excel嵌入式
    这个开源软件包是国内的一位高手自行研制开发的,正如他所说的一样,我觉得它可以使一个工作流引擎上一个台阶。。。。。。欢迎大家使用,并提出意见和建议。。。 ----------转帖--------------------------------------------------- IK Expression是一个开源的(OpenSource),可扩展的(Extensible),基于java语言
  • 关于系统中使用多个PropertyPlaceholderConfigurer的配置及PropertyOverrideConfigurer daizj spring
    1、PropertyPlaceholderConfigurer Spring中PropertyPlaceholderConfigurer这个类,它是用来解析Java Properties属性文件值,并提供在spring配置期间替换使用属性值。接下来让我们逐渐的深入其配置。 基本的使用方法是:(1) <bean id="propertyConfigurerForWZ&q
  • 二叉树:二叉搜索树 dieslrae 二叉树
        所谓二叉树,就是一个节点最多只能有两个子节点,而二叉搜索树就是一个经典并简单的二叉树.规则是一个节点的左子节点一定比自己小,右子节点一定大于等于自己(当然也可以反过来).在树基本平衡的时候插入,搜索和删除速度都很快,时间复杂度为O(logN).但是,如果插入的是有序的数据,那效率就会变成O(N),在这个时候,树其实变成了一个链表. tree代码:
  • C语言字符串函数大全 dcj3sjt126com cfunction
    C语言字符串函数大全     函数名: stpcpy 功 能: 拷贝一个字符串到另一个 用 法: char *stpcpy(char *destin, char *source); 程序例:   #include <stdio.h> #include <string.h>   int main
  • 友盟统计页面技巧 dcj3sjt126com 技巧
    在基类调用就可以了, 基类ViewController示例代码 -(void)viewWillAppear:(BOOL)animated { [super viewWillAppear:animated]; [MobClick beginLogPageView:[NSString stringWithFormat:@"%@",self.class]];
  • window下在同一台机器上安装多个版本jdk,修改环境变量不生效问题处理办法 flyvszhb javajdk
    window下在同一台机器上安装多个版本jdk,修改环境变量不生效问题处理办法 本机已经安装了jdk1.7,而比较早期的项目需要依赖jdk1.6,于是同时在本机安装了jdk1.6和jdk1.7. 安装jdk1.6前,执行java -version得到 C:\Users\liuxiang2>java -version java version "1.7.0_21&quo
  • Java在创建子类对象的同时会不会创建父类对象 happyqing java创建子类对象父类对象
      1.在thingking in java 的第四版第六章中明确的说了,子类对象中封装了父类对象,   2."When you create an object of the derived class, it contains within it a subobject of the base class. This subobject is the sam
  • 跟我学spring3 目录贴及电子书下载 jinnianshilongnian spring
        一、《跟我学spring3》电子书下载地址: 《跟我学spring3》  (1-7 和 8-13) http://jinnianshilongnian.iteye.com/blog/pdf     跟我学spring3系列 word原版 下载     二、 源代码下载 最新依
  • 第12章 Ajax(上) onestopweb Ajax
    index.html <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns="http://www.w3.org/
  • BI and EIM 4.0 at a glance blueoxygen BO
    http://www.sap.com/corporate-en/press.epx?PressID=14787   有机会研究下EIM家族的两个新产品~~~~   New features of the 4.0 releases of BI and EIM solutions include: Real-time in-memory computing –
  • Java线程中yield与join方法的区别 tomcat_oracle java
    长期以来,多线程问题颇为受到面试官的青睐。虽然我个人认为我们当中很少有人能真正获得机会开发复杂的多线程应用(在过去的七年中,我得到了一个机会),但是理解多线程对增加你的信心很有用。之前,我讨论了一个wait()和sleep()方法区别的问题,这一次,我将会讨论join()和yield()方法的区别。坦白的说,实际上我并没有用过其中任何一个方法,所以,如果你感觉有不恰当的地方,请提出讨论。 &nb
  • android Manifest.xml选项 阿尔萨斯 Manifest
    结构 继承关系 public final class Manifest extends Objectjava.lang.Objectandroid.Manifest 内部类 class Manifest.permission权限 class Manifest.permission_group权限组 构造函数 public Manifest () 详细 androi
  • Oracle实现类split函数的方 zhaoshijie oracle
    关键字:Oracle实现类split函数的方 项目里需要保存结构数据,批量传到后他进行保存,为了减小数据量,子集拼装的格式,使用存储过程进行保存。保存的过程中需要对数据解析。但是oracle没有Java中split类似的函数。从网上找了一个,也补全了一下。 CREATE OR REPLACE TYPE t_split_100 IS TABLE OF VARCHAR2(100); cr
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他