eyoulc123
eyoulc123

基于Kerberos认证的TCP通信

1 前言

kerberos是一种安全协议,它涉及到三个部分:KDC、 Server端 与 Client端的代码。对于Kerberos 的整个认证过程,有很多介绍。但是对于如何在一个已有TCP程序中进行kerberos认证,一直不知道如何使用。前段时间在oracle的文件中,找到一个server与client的样例,结合这个用例,将它进行改写,便于理解。
前置说明:

  1. KDC需要保证能正常运行
  2. 有对应的的princal, 如在我们的例子中,就需要保证admin与lch这两个princal必须存在

2 代码介绍

2.1 服务端代码说明

package com.test.gssapi.sample1;

import org.ietf.jgss.*;

import java.io.*;
import java.net.Socket;
import java.net.ServerSocket;


public class TestServer {

    private int localPort;
    private ServerSocket ss;
    private boolean iskerberos;
    private Socket socket = null;
    private GSSContext context = null;


    public TestServer(int port) {
        this.localPort = port;
        this.iskerberos = false;
    }
    public TestServer(int port, boolean iskerberos) {
        this.localPort = port;
        this.iskerberos = iskerberos;
    }

    public void receive() throws IOException, GSSException {
        this.ss =  new ServerSocket(localPort);
        while(true) {
            socket = ss.accept();
            DataInputStream inStream =  new DataInputStream(socket.getInputStream());
            DataOutputStream outStream =  new DataOutputStream(socket.getOutputStream());
            this.initKerberos(inStream, outStream);

            int length = inStream.readInt();
            byte[] token = new byte[length];

            token = new byte[length];
            System.out.println("Will read token of size " + token.length);
            inStream.readFully(token);
            String s = new String(token);
            System.out.println(s);
            //1. 发送回去的消息
            byte[] token1 = "Receive Client Message".getBytes();
            outStream.writeInt(token1.length);
            outStream.write(token1);
            outStream.flush();      

            this.destroy();
        }
    }


    private void initKerberos( DataInputStream inStream, DataOutputStream outStream) throws GSSException, IOException {
        if(!this.iskerberos) {
            return;
        }       
        GSSManager manager = GSSManager.getInstance();
        context = manager.createContext((GSSCredential) null);
        byte[] token = null;

        while (!context.isEstablished()) {

            token = new byte[inStream.readInt()];
            System.out.println(
                    "Will read input token of size " + token.length + " for processing by acceptSecContext");
            inStream.readFully(token);


            token = context.acceptSecContext(token, 0, token.length);

            // Send a token to the peer if one was generated by
            // acceptSecContext
            if (token != null) {
                System.out.println("Will send token of size " + token.length + " from acceptSecContext.");
                outStream.writeInt(token.length);
                outStream.write(token);
                outStream.flush();
            }
        }

        System.out.print("Context Established! ");
        System.out.println("Client is " + context.getSrcName());
        System.out.println("Server is " + context.getTargName());
    }

    private void destroy() {
        if(this.socket != null) {
            try {
                this.socket.close();
            } catch (IOException e) {
                // TODO Auto-generated catch block
                e.printStackTrace();
            }
            this.socket = null;
        }
        if(this.context != null) {
            try {
                this.context.dispose();
            } catch (GSSException e) {
                // TODO Auto-generated catch block
                e.printStackTrace();
            }
            this.context = null;

        }
    }


    public static void main(String[] args) throws IOException, GSSException {

        int localPort = Integer.parseInt(args[0]);
        boolean iskerberos = false;
        if(args.length >= 2) {
            iskerberos  = Boolean.parseBoolean(args[1]);
        }
        TestServer server = new TestServer(localPort, iskerberos);
        server.receive();
    }


}

2.2 客户端代码

package com.test.gssapi.sample1;


import org.ietf.jgss.*;

import java.net.Socket;
import java.net.UnknownHostException;
import java.io.IOException;
import java.io.DataInputStream;
import java.io.DataOutputStream;


public class TestClient {

    private String srvPrincal;
    private String srvIP;
    private int srvPort;
    private boolean isKerberos;
    private Socket socket;
    private DataInputStream inStream;
    private DataOutputStream outStream;
    private GSSContext context;

    public TestClient(String srvPrincal, String srvIp, int srvPort, boolean iskerberos) {
        this.srvPrincal = srvPrincal;
        this.srvIP = srvIp;
        this.srvPort = srvPort;
        this.context = null;
        this.isKerberos = iskerberos;
        try {
            this.initSocket();
        } catch (UnknownHostException e) {
            e.printStackTrace();
        } catch (IOException e) {
            e.printStackTrace();
        }
    }

    public TestClient(String srvPrincal, String srvIp, int srvPort) {
        this.srvPrincal = srvPrincal;
        this.srvIP = srvIp;
        this.srvPort = srvPort;
        this.context = null;
        this.isKerberos = false;
        try {
            this.initSocket();
        } catch (UnknownHostException e) {
            e.printStackTrace();
        } catch (IOException e) {
            e.printStackTrace();
        }
    }

    public void destroy() throws IOException, GSSException {
        if (this.inStream != null) {
            this.inStream.close();
        }
        if (this.outStream != null) {
            this.outStream.close();
        }
        if (this.socket != null) {
            this.socket.close();
        }
        if (this.context != null) {
            this.context.dispose();
        }
    }

    private void initSocket() throws UnknownHostException, IOException {
        this.socket = new Socket(srvIP, srvPort);
        this.inStream = new DataInputStream(socket.getInputStream());
        this.outStream = new DataOutputStream(socket.getOutputStream());
        System.out.println("Connected to server: " + this.socket.getInetAddress());
    }

    private void initKerberos() throws GSSException, IOException {
        if (!isKerberos) {
            return;
        }

        /**
         * Oid用来表示GSS-API这种机制。 这个值是协议中定义的(RFC 1964),这一个部分是固定的
         */
        Oid krb5Oid = new Oid("1.2.840.113554.1.2.2");

        GSSManager manager = GSSManager.getInstance();

        /*
         * Create a GSSName out of the server's name. The null indicates that this
         * application does not wish to make any claims about the syntax of this name
         * and that the underlying mechanism should try to parse it as per whatever
         * default syntax it chooses.
         */
        /**
         * 创建一个GSSName,需要注意的是第一个参数srvPrincal,服务器收到消息后,会与自己的princal进行比较,
         * 如果不正确,就会抛出异常.
         */
        GSSName serverName = manager.createName(srvPrincal, null);

        /*
         * Create a GSSContext for mutual authentication with the server. - serverName
         * is the GSSName that represents the server. - krb5Oid is the Oid that
         * represents the mechanism to use. The client chooses the mechanism to use. -
         * null is passed in for client credentials - DEFAULT_LIFETIME lets the
         * mechanism decide how long the context can remain valid. Note: Passing in null
         * for the credentials asks GSS-API to use the default credentials. This means
         * that the mechanism will look among the credentials stored in the current
         * Subject to find the right kind of credentials that it needs.
         */
        System.out.println("init kerberos .. 1");
        GSSContext context = manager.createContext(serverName, krb5Oid, null, GSSContext.DEFAULT_LIFETIME);

        // Set the desired optional features on the context. The client
        // chooses these options.

        context.requestMutualAuth(true); // Mutual authentication
        context.requestConf(true); // Will use confidentiality later
        context.requestInteg(true); // Will use integrity later
        System.out.println("init kerberos .. 2");

        // Do the context eastablishment loop

        byte[] token = new byte[0];

        while (!context.isEstablished()) {
            // token is ignored on the first call
            // 这里进行kerberos认证,即调用JaaS的代码进行认证。认证完成后,返回
            // 这里我们可以把它GSS-api将JaaS的代码集成了。kerberos信息的确认是在此函数中进行的
            token = context.initSecContext(token, 0, token.length);

            // Send a token to the server if one was generated by
            // initSecContext
            if (token != null) {

                System.out.println("Will send token of size " + token.length + " from initSecContext.");
                outStream.writeInt(token.length);
                outStream.write(token);
                outStream.flush();
            }

            // If the client is done with context establishment
            // then there will be no more tokens to read in this loop
            if (!context.isEstablished()) {
                token = new byte[inStream.readInt()];
                System.out
                        .println("Will read input token of size " + token.length + " for processing by initSecContext");
                inStream.readFully(token);
            }
        }

        System.out.println("Context Established! ");
        System.out.println("Client is " + context.getSrcName());
        System.out.println("Server is " + context.getTargName());

    }

    public void sendMessage() throws UnknownHostException, IOException, GSSException {
        // Obtain the command-line arguments and parse the port number
        System.setProperty("java.security.krb5.conf", "/etc/krb5.conf");

        //判断是不是需要初始化kerberos
        this.initKerberos();

        //发送消息
        String msg = "Hello Server ";
        byte[] messageBytes = msg.getBytes();
        outStream.writeInt(messageBytes.length);
        outStream.write(messageBytes);
        outStream.flush();


        //收到服务端传回来的消息
        byte[] token = new byte[0];
        token = new byte[inStream.readInt()];
        System.out.println("Will read token of size " + token.length);
        inStream.readFully(token);

        String s = new String(token);
        System.out.println(s);

        System.out.println("Exiting... ");

        this.destroy();
    }

    public static void main(String[] args) throws IOException, GSSException {
        String princal = args[0];
        String ip = args[1];
        int port = Integer.parseInt(args[2]);
        boolean iskerberos =  false;
        if(args.length >= 4) {
             iskerberos = Boolean.parseBoolean(args[3]);
        }
        TestClient client =  new TestClient(princal, ip, port, iskerberos);
        client.sendMessage();
    }
}

2.3 配置文件说明

还管是服务端还是客户端都需要使用到jaas的配置文件,这个配置文件,在下面结合程序的执行来进行说明

2.4 程序的执行

需要特别指出的,对于客户端/服务端,需要保证KDC正常可用,而且其中包含了正常的princal信息。下面介绍它的执行过程

2.4.1 不带Kerberos认证的通信,即我们正常的连接方式

服务端执行命令:

java -classpath kerberosTest.jar    com.test.gssapi.sample1.TestServer 9111

客户端执行命令:

java  -classpath kerberosTest.jar   com.test.gssapi.sample1.TestClient admin 192.168.1.56 9111

此时就是一个普通的TCP通信协议

2.4.2 加入Kerberos认证

服务端的命令:

[root@freeipa56 testKerberos]# java -classpath kerberosTest.jar -Djava.security.krb5.realm=EXAMPLE.COM  -Djava.security.krb5.kdc=freeipa56.example.com -Djavax.security.auth.useSubjectCredsOnly=false -Djava.security.auth.login.config=server.conf   com.test.gssapi.sample1.TestServer 9111 true

参数说明: 服务端一共有两个参数, 9111表示端口号, true表示启用kerberos,如果不输入,则表明不启用kerberos

客户端命令:

java  -classpath kerberosTest.jar -Djava.security.krb5.realm=EXAMPLE.COM  -Djava.security.krb5.kdc=freeipa56.example.com    -Djavax.security.auth.useSubjectCredsOnly=false -Djava.security.auth.login.config=client.conf  com.test.gssapi.sample1.TestClient admin 192.168.1.56 9111 true

参数说明:
客户端参数一共四个参数,
admin: 表示服务端对应的princal为admin, 服务端认证的princal必须为这个
192.168.1.56: 表明服务端对应的IP
9111: 为服务端监听的端口
true: 表明启用kerberos

Kerberos提供了多种认证方式,这些认证方式都是通过java.security.auth.login.config对应的配置文件来设置的。下面对于分几种情况说明.

2.4.2.1 通过输入用户名与密码的方式

服务端配置文件(即server.conf与client.conf):

[root@freeipa56 testKerberos]# cat server.conf 
com.sun.security.jgss.accept  {
  com.sun.security.auth.module.Krb5LoginModule required storeKey=true; 
};

客户端的配置文件client.conf

[root@freeipa56 testKerberos]# cat client.conf 
com.sun.security.jgss.initiate  {
  com.sun.security.auth.module.Krb5LoginModule required;
};

此时客户端的打屏信息:

[lch@freeipa56 testKerberos]$  java  -classpath kerberosTest.jar -Djava.security.krb5.realm=EXAMPLE.COM  -Djava.security.krb5.kdc=freeipa56.example.com    -Djavax.security.auth.useSubjectCredsOnly=false -Djava.security.auth.login.config=client.conf  com.test.gssapi.sample1.TestClient admin 192.168.1.56 9111 true
Connected to server: /192.168.1.56
Kerberos username [lch]: lch   <------ 提示输入princal
Kerberos password for lch:     <-----  提示输入相应的密码
Will send token of size 558 from initSecContext.
Will read input token of size 108 for processing by initSecContext
Context Established! 
Client is lch@EXAMPLE.COM
Server is admin
Will read token of size 22
Receive Client Message
Exiting...

而服务端:

[root@freeipa56 testKerberos]# java -classpath kerberosTest.jar -Djava.security.krb5.realm=EXAMPLE.COM  -Djava.security.krb5.kdc=freeipa56.example.com -Djavax.security.auth.useSubjectCredsOnly=false -Djava.security.auth.login.config=bcsLogin.conf   com.test.gssapi.sample1.TestServer 9111 true
Will read input token of size 579 for processing by acceptSecContext
Kerberos username [root]: admin  <---- 提示输入服务端的princal名称 
Kerberos password for admin:     <--- 提示输入相应的密码
Will send token of size 108 from acceptSecContext.
Context Established! Client is [email protected]
Server is [email protected]
Will read token of size 13
Hello Server

2.4.2.2 通过TGT的方式

服务端的配置与2.4.2.1相同,client通过获取ticket的方式来进行认证
服务端的配置文件:

[root@freeipa56 testKerberos]# cat server.conf 
com.sun.security.jgss.accept  {
  com.sun.security.auth.module.Krb5LoginModule required storeKey=true; 
};

客户端配置文件:

[lch@freeipa56 testKerberos]$ cat client.conf 
com.sun.security.jgss.initiate  {
  com.sun.security.auth.module.Krb5LoginModule required
  useKeyTab=false
  useTicketCache=true;

};

查看当前环境的kerberos信息,

[lch@freeipa56 testKerberos]$ klist
Ticket cache: FILE:/tmp/krb5cc_500
Default principal: lch@EXAMPLE.COM

Valid starting     Expires            Service principal
11/15/17 11:08:47  11/16/17 11:08:46  krbtgt/EXAMPLE.COM@EXAMPLE.COM

执行客户端命令:

[lch@freeipa56 testKerberos]$  java  -classpath kerberosTest.jar -Djava.security.krb5.realm=EXAMPLE.COM  -Djava.security.krb5.kdc=freeipa56.example.com    -Djavax.security.auth.useSubjectCredsOnly=false -Djava.security.auth.login.config=client.conf  com.test.gssapi.sample1.TestClient admin 192.168.1.56 9111 true
Connected to server: /192.168.1.56
Will send token of size 579 from initSecContext.
Will read input token of size 108 for processing by initSecContext
Context Established! 
Client is lch@EXAMPLE.COM
Server is admin
Will read token of size 22
Receive Client Message
Exiting...

客户端程序不需要输入用户名密码(服务端与)

2.4.2.3 服务端通过keytab文件

服务端的配置文件

[root@freeipa56 testKerberos]# cat server.conf 
com.sun.security.jgss.accept  {
  com.sun.security.auth.module.Krb5LoginModule required 
  useKeyTab=true
  storeKey=true
  useTicketCache=false
  keyTab="/root/admin.headless.keytab"
  principal="[email protected]";

};

客户端的配置文件:

[lch@freeipa56 testKerberos]$ cat client.conf 
com.sun.security.jgss.initiate  {
  com.sun.security.auth.module.Krb5LoginModule required
  useKeyTab=false
  useTicketCache=true;

};

执行服务端程序与客户端程序就会发现服务端不再需要输入认证信息了。

3. 总结

Kerberos提供多种认证方式,而我们可以通过java.security.auth.login.config对应的配置参数进行认证

你可能感兴趣的:(其它,tcp,server,kerberos,安全,client)

  • Redis系列:深入理解缓存穿透、缓存击穿、缓存雪崩及其解决方案 菜就多练少说 Redis缓存redis数据库
    在使用Redis作为缓存系统时,我们经常会遇到“缓存穿透”、“缓存击穿”和“缓存雪崩”等问题,这些问题一旦出现,会严重影响应用性能甚至造成服务不可用。因此,理解这些问题的产生原因和解决方案非常重要。本文将全面讲解缓存穿透、缓存击穿、缓存雪崩的具体概念、产生原因、以及对应的解决策略,帮助开发人员高效、安全地使用Redis。一、缓存穿透(CachePenetration)(一)什么是缓存穿透?缓存穿透
  • 远程调试Python脚本之ptvsd 工头阿乐 PyTorch深度学习python开发语言
    深度学习文章目录深度学习前言前言有时候需要远程调试Python脚本,怎么办呢…以下这段代码用于远程调试Python脚本,特别是通过VisualStudioCode(VSCode)的远程调试功能。它会在指定的服务器IP和端口上等待调试器的连接。#检查是否提供了服务器IP和端口ifargs.server_ipandargs.server_port:#远程调试-参见https://code.visual
  • 前端大文件上传,分片方式上传 Sunsit 前端开发vue前端javascript开发语言
    前端大文件分片上传文件上传超时:原因是前端请求框架限制最大请求时长,后端设置了接口访问的超时时间,或者是nginx(或其它代理/网关)限制了最大请求时长。文件大小超限:原因在于后端对单个请求大小做了限制,一般nginx和server都会做这个限制。上传时间过久(想想10个g的文件上传,这不得花个几个小时的时间)由于各种网络原因上传失败,且失败之后需要从头开始整体思路前端根据代码中设置好的分片大小将
  • 【加密】常用加密算法 llzcxdb java开发语言
    非对称加密非对称加密是一种加密技术,也称为公钥加密。它使用一对密钥:公钥和私钥。公钥可以向任何人公开,用于加密信息,而私钥则是保密的,用于解密信息。这种加密方法确保了数据的安全传输,因为只有拥有对应私钥的人才能解密通过公钥加密的信息。非对称加密的一个主要特点是,即使公钥被他人获取,他们也无法解密密文,因为缺乏与之配对的私钥。常见的非对称加密算法包括RSA、椭圆曲线加密(ECC)和数字签名算法(DS
  • electron 源码下载与编译构 五一编程 学习交流electronjavascript前端webrtcc语言c++
    electron源码下载与编译构建预先安装安装nodejs下载eletron构建工具:安装python构建Electron基本要求环境依赖交叉编译构建故障排查高级提示使用clang之外的其它编译器electron的depot_tools工具下载构建源码。这个工具是用nodejs写的,封装了chromium自身的depot_tools工具。非常方便易用。主要是electron在下载完chromium
  • Lec01-什么是安全? 蛋蛋deべ 忧桑 安全
    本文使用人工智能协助翻译,内容仅供参考,可能有错误或遗漏。如果你对内容或超链接有疑问,可以查看原文。参考资料地址:https://github.com/PKUFlyingPig/MIT6.16006.1600课程团队:HenryCorrigan-Gibbs,YaelKalai,BenKettle(TA),NickolaiZeldovich2022年秋季[!warning]免责声明本套笔记为正在进行
  • JS逆向案例-致远OA的前端密码加密逆向分析 布啦啦李 我的渗透笔记pythonJS逆向javascript逆向致远OA密码爆破防范措施js逆向
    免责声明本文仅为技术研究与渗透测试思路分享,旨在帮助安全从业人员更好地理解相关技术原理和防御措施。任何个人或组织不得利用本文内容从事非法活动或攻击他人系统。如果任何人因违反法律法规或不当使用本文内容而导致任何法律后果,本文作者概不负责。请务必遵守法律法规,合理使用技术知识。一、致远OA的登录过程1.1实验版本致远A6+协同管理软件V8.0SP2用户名不变,密码加密,无验证码。1.2登录过程步骤操作
  • ESP8266使用AT指令回传判断思路(STM32上位机) 2501_91184823 单片机嵌入式硬件stm32esp8266
    前言ESP8266是由安信可科技开发的一款低成本、高性能Wi-Fi模块,上位机可以通过使用串口发送AT指令配置Wi-Fi连接、TCP/UDP通信等以接入互联网,但是ESP8266返回的内容十分不规范,上位机判断ESP8266返回的内容还是有点难度的。最初的回传判断方法最初判断ESP8266返回的内容使用的是最简单的办法,就是上位机通过串口给ESP8266发送AT指令之后,直接延时等待ESP8266
  • 从FFmpeg命令行到Rust:多场景实战指南 Yeauty ffmpegrustvideo-codec
    FFmpeg作为功能强大的多媒体处理工具,被广泛应用于视频编辑、格式转换等领域。然而,直接使用FFmpeg的命令行界面(CLI)可能会遇到以下挑战:命令复杂度高:FFmpeg的命令行参数众多且复杂,初学者可能难以掌握,配置错误时调试困难。集成困难:在Rust等现代编程语言中,直接调用FFmpeg的C语言API需要处理复杂的内存管理和安全性问题,可能引发内存泄漏、非法访问等问题。为了解决这些问题,R
  • python中使用单例模式在整个程序中只创建一个数据库连接,节省资源 背太阳的牧羊人 python数据库数据库python单例模式
    示例代码:fromloguruimportloggerfrompymongoimportMongoClientfrompymongo.errorsimportConnectionFailurefromllm_engineering.settingsimportsettingsclassMongoDatabaseConnector:_instance:MongoClient|None=Nonedef
  • Spark集群启动与关闭 陈沐 sparksparkhadoopbigdata
    Hadoop集群和Spark的启动与关闭Hadoop集群开启三台虚拟机均启动ZookeeperzkServer.shstartMaster1上面执行启动HDFSstart-dfs.shslave1上面执行开启YARNstart-yarn.shslave2上面执行开启YARN的资源管理器yarn-daemon.shstartresourcemanager(如果nodeManager没有启动(正常情况
  • C# 中泛型(Generics)‌的核心概念 ByteGeek‌ C#基础从入门到精通c#windows开发语言
    在C#中,‌泛型(Generics)‌是一种强大的编程特性,允许你编写可重用、类型安全的代码,而无需为不同类型重复编写相似的逻辑。泛型的核心思想是‌参数化类型‌,即通过占位符(如T)表示类型,在编译时确定具体类型。以下是泛型的详细讲解:‌1.泛型的基本概念‌类型参数化‌:用占位符(如T、TKey、TValue)代替具体类型。编译时类型安全‌:泛型在编译时检查类型一致性,避免运行时类型错误。避免装箱
  • 一文解秘Rust如何与Java互操作 编辑器
    本博客所有文章除特别声明外,均采用CCBY-NC-SA4.0许可协议。转载请注明来自唯你使用场景JAVA与Rust互操作让Rust可以背靠Java大生态来做更多事情,而Java也可以享受Rust语言特性的内存安全,所有权机制,无畏并发。互操作的典型场景包括:性能优化:利用Rust处理计算密集型任务,提高Java应用的整体性能。系统级编程:结合Rust的底层控制能力与Java的高级抽象,实现更高效的
  • Nginx面试题 努力的搬砖人. java后端nginx
    以下是150道Nginx面试题及其详细回答,涵盖了Nginx的基础知识、配置与优化、负载均衡、安全与性能、高级特性等多个方面,每道题目都尽量详细且简单易懂:Nginx基础概念类1.什么是Nginx?Nginx是一个高性能的HTTP和反向代理服务器,同时也是一个IMAP/POP3/SMTP代理服务器。它以其事件驱动的方式处理请求,能够处理大量的并发连接,适用于高并发场景。例如,当有大量用户同时访问一
  • tomcat下直接访问html网页 努力的搬砖人.
    在conf/server.html配置文件中添加(在标签上添加)访问地址:http://localhost:8081/hello.html
  • goldengate sqlserver mysql_使用 Oracle GoldenGate 在 Microsoft SQL Server 和 Oracle Database 之间复制事务... weixin_39907713 goldengatesqlservermysql
    大多数关注数据复制的Oracle技术专家都熟悉OracleStreams。在2009年之前,Streams一直是推荐使用的最流行的Oracle数据分发技术。2009年7月,Oracle收购了GoldenGate这一数据库复制软件供应商。Oracle现在鼓励客户使用OracleGoldenGate(Oracle融合中间件系列的组成部分)来满足新应用中的数据复制需求。Oracle关于OracleStr
  • goldengate sqlserver mysql_Oracle GoldenGate 之 SqlServer数据同步到Mysql数据库 Huawei_Germany goldengatesqlservermysql
    C:\OGG>INSTALLADDSERVICEService'GGSMGR'created.Installprogramterminatednormally.C:\OGG>配置ODBC数据源MicrosoftSQLServerODBC驱动程序版本06.01.7601数据源名称:oa_test数据源描述:服务器:WIN-UGCMTTOTKE7数据库:(Default)语言:(Default)翻译字
  • java web 安全,如何认证客户端?时间戳和noce如何抵御重放攻击? ughome java安全
    技术问答整理1.JavaHMAC签名验签示例问题如何用Java实现HMAC签名和验签?答案importjavax.crypto.Mac;importjavax.crypto.spec.SecretKeySpec;importjava.nio.charset.StandardCharsets;importjava.util.HexFormat;publicclassHmacExample{//生成H
  • 使用 CryptoJS 实现 AES 解密:动态数据解密示例 木觞清 javascript
    在现代加密应用中,AES(高级加密标准)是一种广泛使用的对称加密算法。它的安全性高、效率好,适合用于各种加密任务。今天,我们将通过一个实际的示例,展示如何使用CryptoJS实现AES解密,解密动态数据。CryptoJS是一个基于JavaScript的加密库,它支持AES、DES等多种常见的加密算法。本文将详细介绍如何使用CryptoJS解密AES加密的数据。1.引入CryptoJS库首先,确保你
  • 分析Windows操作系统的容量为什么会越来越大? 网硕互联的小客服 服务器运维网络windows
    Windows操作系统容量逐渐增大的原因是多方面的,反映了技术进步、用户需求变化以及微软在功能、兼容性、安全性等方面的权衡。以下是关键因素的分析:1.功能扩展与复杂度提升新功能集成:每代Windows都会引入新功能(如Cortana、虚拟桌面、WSL、DirectStorage等),这些功能需要额外的代码库、图形界面和支持文件。多场景支持:Windows需兼顾个人电脑、工作站、游戏设备、企业服务器
  • 每日一题--计算机网络 秋凉 づᐇ 计算机网络
    一、基础概念类问题1.TCP和UDP的区别是什么?回答示例:TCP:面向连接、可靠传输(通过三次握手建立连接,丢包重传)、保证数据顺序(如文件传输、网页访问)。UDP:无连接、不可靠传输(不保证数据到达或顺序)、低延迟(如视频通话、实时游戏)。加分点:补充实际应用场景(如HTTP/3基于UDP优化性能)。2.HTTP和HTTPS的区别?核心区别:HTTP:明文传输,端口80,无安全性。HTTPS:
  • 深入浅出 -- 系统架构之负载均衡Nginx配置SSL证书 xiaoli8748_软件开发 系统架构系统架构负载均衡nginx
    一、Nginx配置SSL证书随着越来越多的网站接入HTTPS,因此Nginx中仅配置HTTP还不够,往往还需要监听443端口的请求,但在上篇《HTTP/HTTPS》中谈到过,HTTPS为了确保通信安全,所以服务端需配置对应的数字证书,当项目使用Nginx作为网关时,那么证书在Nginx中也需要配置,接下来简单聊一下关于SSL证书配置过程:①先去CA机构或从云控制台中申请对应的SSL证书,审核通过后
  • SpringSecurity 陈陈爱java springboot后端java
    springboot3整合SpringSecurity实现登录校验与权限认证(万字超详细讲解)_springbootsecurity-CSDN博客SpringSecurity(安全框架)1、介绍SpringSecurity是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。如果项目中需要进行权限管理,具有多个角色和多种权限,我们可以使用SpringSecurity
  • 面试经验分享 | 某安全厂商HW面试经验 渗透测试老鸟-九青 面试经验分享安全web安全网络xsscsrf
    目录:所面试的公司:某安全厂商所在城市:安徽省面试职位:蓝初面试过程:面试官的问题:所面试的公司:某安全厂商所在城市:安徽省面试职位:蓝初面试过程:腾讯会议(语音)面试过程:整体流程就是自我介绍加上一些问题问题balabalabala。。。由于面的是蓝队所以渗透部分不会太多,回答部分基本上是我的原答案,不保证正确。面试总体大概分三个大块(下面跳过自我介绍部分)面试官的问题:1、sql注入原理攻击者
  • 关于xshell和todesk两种远程控制电脑的区别以及核心原理 白雪落青衣 运维
    Xshell和ToDesk都是远程控制工具,但它们在功能、应用场景以及核心原理上存在显著差异。一、核心原理Xshell原理概述:Xshell是一款终端仿真器,主要凭借SecureShell(SSH)协议来实施远程控制和管理。SSH是一种加密的网络协议,用于在不太安全的网络环境中安全地开展系统管理以及数据传输。具体步骤:构建加密连接:用户启动Xshell并输入远程服务器的地址以及登录凭据后,Xshe
  • arcgis加载天地图_在arcmap和arcgispro中添加在线地图服务 Nx·仙鹤无名 arcgis加载天地图
    在arcmap或者arcgispro有时想使用一些免费在线地图服务辅助于其它的地理处理操作,下述介绍了如何在arcmap以及arcgispro中添加在线的地图服务。1、加载门户自身的在线底图arcmap加载基础底图提示:需要arcgisdesktop连接了arcgisonline的门户网址加载arcgisonline中的数据服务arcgispro前提:arcgispro如果登录了arcgisonl
  • Port xxxxx is in use by another program. Either identify and stop that program, or start the server 李卓璐 报错整理服务器运维
    端口被占用问题如何解决:1.安装netstatapt-getinstallnet-tools2.检测端口占用netstat-npl|grep"端口"3.根据PID杀死该进程kill-9xxxxx
  • 现代密码学 | 具有数字签名功能的安全方案 He_Donglin 密码学安全网络
    1.案例背景1.1冒用签名触发信任危机,360安全大脑率先截杀解除警报2020年8月,360安全大脑独家发现冒用数字签名的网络攻击再度活跃,且继此前360安全大脑披露过的GoDaddy、StarfieldSecure、赛门铁克、Verisign和DigiCert等国际知名CA证书颁发机构,SectigoRSACodeSigningCA纷纷沦陷,成为不法攻击者冒用的新目标。与以往披露信息略显不同的是
  • Android Zygote的进程机制 王景程 androidzygotegithub模块测试
    目录✅AndroidZygote进程机制详解一、Zygote的作用⚙️二、Zygote启动流程✅1.init进程启动Zygote✅2.Zygote初始化虚拟机与核心类库✅3.Zygote监听Socket✅4.Zygotefork创建应用进程三、Zygote与应用进程之间的关系四、Zygote多进程模型️五、Zygote性能优化机制✅六、Zygote的安全性总结✅AndroidZygote进程机制详
  • 【ES6新特性】声明变量关键字:var、let、const详解 小钟H呀 ES6新特性学习手册es6javascript开发语言
    前言在ES6(ECMAScript2015)之前,JavaScript中只有var关键字用于变量声明。ES6新增了let和const,它们解决了var的一些设计缺陷,使得变量声明更安全、更符合编程直觉。核心特性对比1.作用域(Scope)var:函数作用域(在函数内部声明的变量,只能在函数内部访问)let/const:块级作用域(在{}代码块中声明的变量,只能在块内访问)//var示例functi
  • 对股票分析时要注意哪些主要因素? 会飞的奇葩猪 股票 分析 云掌股吧
      众所周知,对散户投资者来说,股票技术分析是应战股市的核心武器,想学好股票的技术分析一定要知道哪些是重点学习的,其实非常简单,我们只要记住三个要素:成交量、价格趋势、振荡指标。     一、成交量   大盘的成交量状态。成交量大说明市场的获利机会较多,成交量小说明市场的获利机会较少。当沪市的成交量超过150亿时是强市市场状态,运用技术找综合买点较准;
  • 【Scala十八】视图界定与上下文界定 bit1129 scala
    Context Bound,上下文界定,是Scala为隐式参数引入的一种语法糖,使得隐式转换的编码更加简洁。   隐式参数 首先引入一个泛型函数max,用于取a和b的最大值 def max[T](a: T, b: T) = { if (a > b) a else b }  因为T是未知类型,只有运行时才会代入真正的类型,因此调用a >
  • C语言的分支——Object-C程序设计阅读有感 darkblue086 applec框架cocoa
    自从1972年贝尔实验室Dennis Ritchie开发了C语言,C语言已经有了很多版本和实现,从Borland到microsoft还是GNU、Apple都提供了不同时代的多种选择,我们知道C语言是基于Thompson开发的B语言的,Object-C是以SmallTalk-80为基础的。和C++不同的是,Object C并不是C的超集,因为有很多特性与C是不同的。 Object-C程序设计这本书
  • 去除浏览器对表单值的记忆 周凡杨 html记忆autocompleteform浏览
                                       &n
  • java的树形通讯录 g21121 java
    最近用到企业通讯录,虽然以前也开发过,但是用的是jsf,拼成的树形,及其笨重和难维护。后来就想到直接生成json格式字符串,页面上也好展现。 // 首先取出每个部门的联系人 for (int i = 0; i < depList.size(); i++) { List<Contacts> list = getContactList(depList.get(i
  • Nginx安装部署 510888780 nginxlinux
    Nginx ("engine x") 是一个高性能的 HTTP 和 反向代理 服务器,也是一个 IMAP/POP3/SMTP 代理服务器。 Nginx 是由 Igor Sysoev 为俄罗斯访问量第二的 Rambler.ru 站点开发的,第一个公开版本0.1.0发布于2004年10月4日。其将源代码以类BSD许可证的形式发布,因它的稳定性、丰富的功能集、示例配置文件和低系统资源
  • java servelet异步处理请求 墙头上一根草 java异步返回servlet
    servlet3.0以后支持异步处理请求,具体是使用AsyncContext ,包装httpservletRequest以及httpservletResponse具有异步的功能,        final AsyncContext ac = request.startAsync(request, response);   ac.s
  • 我的spring学习笔记8-Spring中Bean的实例化 aijuans Spring 3
    在Spring中要实例化一个Bean有几种方法: 1、最常用的(普通方法) <bean id="myBean" class="www.6e6.org.MyBean" /> 使用这样方法,按Spring就会使用Bean的默认构造方法,也就是把没有参数的构造方法来建立Bean实例。 (有构造方法的下个文细说) 2、还
  • 为Mysql创建最优的索引 annan211 mysql索引
    索引对于良好的性能非常关键,尤其是当数据规模越来越大的时候,索引的对性能的影响越发重要。 索引经常会被误解甚至忽略,而且经常被糟糕的设计。 索引优化应该是对查询性能优化最有效的手段了,索引能够轻易将查询性能提高几个数量级,最优的索引会比 较好的索引性能要好2个数量级。 1 索引的类型 (1) B-Tree 不出意外,这里提到的索引都是指 B-
  • 日期函数 百合不是茶 oraclesql日期函数查询
      ORACLE日期时间函数大全 TO_DATE格式(以时间:2007-11-02 13:45:25为例) Year: yy two digits 两位年 显示值:07 yyy three digits 三位年 显示值:007
  • 线程优先级 bijian1013 javathread多线程java多线程
    多线程运行时需要定义线程运行的先后顺序。 线程优先级是用数字表示,数字越大线程优先级越高,取值在1到10,默认优先级为5。 实例: package com.bijian.study; /** * 因为在代码段当中把线程B的优先级设置高于线程A,所以运行结果先执行线程B的run()方法后再执行线程A的run()方法 * 但在实际中,JAVA的优先级不准,强烈不建议用此方法来控制执
  • 适配器模式和代理模式的区别 bijian1013 java设计模式
    一.简介        适配器模式:适配器模式(英语:adapter pattern)有时候也称包装样式或者包装。将一个类的接口转接成用户所期待的。一个适配使得因接口不兼容而不能在一起工作的类工作在一起,做法是将类别自己的接口包裹在一个已存在的类中。      &nbs
  • 【持久化框架MyBatis3三】MyBatis3 SQL映射配置文件 bit1129 Mybatis3
     SQL映射配置文件一方面类似于Hibernate的映射配置文件,通过定义实体与关系表的列之间的对应关系。另一方面使用<select>,<insert>,<delete>,<update>元素定义增删改查的SQL语句, 这些元素包含三方面内容 1. 要执行的SQL语句 2. SQL语句的入参,比如查询条件 3. SQL语句的返回结果
  • oracle大数据表复制备份个人经验 bitcarter oracle大表备份大表数据复制
    前提:    数据库仓库A(就拿oracle11g为例)中有两个用户user1和user2,现在有user1中有表ldm_table1,且表ldm_table1有数据5千万以上,ldm_table1中的数据是从其他库B(数据源)中抽取过来的,前期业务理解不够或者需求有变,数据有变动需要重新从B中抽取数据到A库表ldm_table1中。    
  • HTTP加速器varnish安装小记 ronin47 http varnish 加速
    上午共享的那个varnish安装手册,个人看了下,有点不知所云,好吧~看来还是先安装玩玩! 苦逼公司服务器没法连外网,不能用什么wget或yum命令直接下载安装,每每看到别人博客贴出的在线安装代码时,总有一股羡慕嫉妒“恨”冒了出来。。。好吧,既然没法上外网,那只能麻烦点通过下载源码来编译安装了! Varnish 3.0.4下载地址: http://repo.varnish-cache.org/
  • java-73-输入一个字符串,输出该字符串中对称的子字符串的最大长度 bylijinnan java
    public class LongestSymmtricalLength { /* * Q75题目:输入一个字符串,输出该字符串中对称的子字符串的最大长度。 * 比如输入字符串“google”,由于该字符串里最长的对称子字符串是“goog”,因此输出4。 */ public static void main(String[] args) { Str
  • 学习编程的一点感想 Cb123456 编程感想Gis
           写点感想,总结一些,也顺便激励一些自己.现在就是复习阶段,也做做项目.      本专业是GIS专业,当初觉得本专业太水,靠这个会活不下去的,所以就报了培训班。学习的时候,进入状态很慢,而且当初进去的时候,已经上到Java高级阶段了,所以.....,呵呵,之后有点感觉了,不过,还是不好好写代码,还眼高手低的,有
  • [能源与安全]美国与中国 comsci 能源
         现在有一个局面:地球上的石油只剩下N桶,这些油只够让中国和美国这两个国家中的一个顺利过渡到宇宙时代,但是如果这两个国家为争夺这些石油而发生战争,其结果是两个国家都无法平稳过渡到宇宙时代。。。。而且在战争中,剩下的石油也会被快速消耗在战争中,结果是两败俱伤。。。       在这个大
  • SEMI-JOIN执行计划突然变成HASH JOIN了 的原因分析 cwqcwqmax9 oracle
    甲说: A B两个表总数据量都很大,在百万以上。 idx1  idx2字段表示是索引字段 A B 两表上都有 col1字段表示普通字段 select xxx from A where A.idx1 between mmm and nnn      and exists (select 1 from B where B.idx2 =
  • SpringMVC-ajax返回值乱码解决方案 dashuaifu AjaxspringMVCresponse中文乱码
      SpringMVC-ajax返回值乱码解决方案   一:(自己总结,测试过可行) ajax返回如果含有中文汉字,则使用:(如下例:) @RequestMapping(value="/xxx.do")       public @ResponseBody void getPunishReasonB
  • Linux系统中查看日志的常用命令 dcj3sjt126com OS
    因为在日常的工作中,出问题的时候查看日志是每个管理员的习惯,作为初学者,为了以后的需要,我今天将下面这些查看命令共享给各位 cat tail -f 日 志 文 件 说 明 /var/log/message 系统启动后的信息和错误日志,是Red Hat Linux中最常用的日志之一 /var/log/secure 与安全相关的日志信息 /var/log/maillog 与邮件相关的日志信
  • [应用结构]应用 dcj3sjt126com PHPyii2
    应用主体 应用主体是管理 Yii 应用系统整体结构和生命周期的对象。 每个Yii应用系统只能包含一个应用主体,应用主体在 入口脚本中创建并能通过表达式 \Yii::$app 全局范围内访问。 补充: 当我们说"一个应用",它可能是一个应用主体对象,也可能是一个应用系统,是根据上下文来决定[译:中文为避免歧义,Application翻译为应
  • assertThat用法 eksliang JUnitassertThat
    junit4.0  assertThat用法 一般匹配符1、assertThat( testedNumber, allOf( greaterThan(8), lessThan(16) ) ); 注释: allOf匹配符表明如果接下来的所有条件必须都成立测试才通过,相当于“与”(&&) 2、assertThat( testedNumber, anyOf( g
  • android点滴2 gundumw100 应用服务器android网络应用OSHTC
    如何让Drawable绕着中心旋转? Animation a = new RotateAnimation(0.0f, 360.0f, Animation.RELATIVE_TO_SELF, 0.5f, Animation.RELATIVE_TO_SELF,0.5f); a.setRepeatCount(-1); a.setDuration(1000); 如何控制Andro
  • 超简洁的CSS下拉菜单 ini htmlWeb工作html5css
    效果体验:http://hovertree.com/texiao/css/3.htmHTML文件: <!DOCTYPE html> <html xmlns="http://www.w3.org/1999/xhtml"> <head> <title>简洁的HTML+CSS下拉菜单-HoverTree</title>
  • kafka consumer防止数据丢失 kane_xie kafkaoffset commit
    kafka最初是被LinkedIn设计用来处理log的分布式消息系统,因此它的着眼点不在数据的安全性(log偶尔丢几条无所谓),换句话说kafka并不能完全保证数据不丢失。   尽管kafka官网声称能够保证at-least-once,但如果consumer进程数小于partition_num,这个结论不一定成立。   考虑这样一个case,partiton_num=2
  • @Repository、@Service、@Controller 和 @Component mhtbbx DAOspringbeanprototype
    @Repository、@Service、@Controller 和 @Component 将类标识为Bean Spring 自 2.0 版本开始,陆续引入了一些注解用于简化 Spring 的开发。@Repository注解便属于最先引入的一批,它用于将数据访问层 (DAO 层 ) 的类标识为 Spring Bean。具体只需将该注解标注在 DAO类上即可。同时,为了让 Spring 能够扫描类
  • java 多线程高并发读写控制 误区 qifeifei java thread
    先看一下下面的错误代码,对写加了synchronized控制,保证了写的安全,但是问题在哪里呢? public class testTh7 { private String data; public String read(){ System.out.println(Thread.currentThread().getName() + "read data "
  • mongodb replica set(副本集)设置步骤 tcrct javamongodb
    网上已经有一大堆的设置步骤的了,根据我遇到的问题,整理一下,如下: 首先先去下载一个mongodb最新版,目前最新版应该是2.6 cd /usr/local/bin wget http://fastdl.mongodb.org/linux/mongodb-linux-x86_64-2.6.0.tgz tar -zxvf mongodb-linux-x86_64-2.6.0.t
  • rust学习笔记 wudixiaotie 学习笔记
    1.rust里绑定变量是let,默认绑定了的变量是不可更改的,所以如果想让变量可变就要加上mut。 let x = 1; let mut y = 2; 2.match 相当于erlang中的case,但是case的每一项后都是分号,但是rust的match却是逗号。 3.match 的每一项最后都要加逗号,但是最后一项不加也不会报错,所有结尾加逗号的用法都是类似。 4.每个语句结尾都要加分
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他