服务端API的OAuth认证实现

http://stackoverflow.com/questions/12499602/body-joints-angle-using-kinect?rq=1

新浪微博跟update相关的api已经挂了很多天了一直没有恢复正常,返回错误:40070 Error limited application access api!,新浪开放平台的论坛里n多的人都在等这个恢复,新浪官方也相当的恶心出问题了连个公告都没有,既不说什么原因又不说什么时候能恢复,。还是有版主说是api正在升级礼拜1恢复正常今天都礼拜2了还是不行。基于这个原因我的android版的新浪微博客户端已经停工好几天了,刚好是跟update相关的一些功能。

     客户端开发不成了,就自己做做服务端程序,提供类似新浪微博rest api服务, api其实说简单也很简单了,无法是通过链接对外提供json或者xml格式的数据和接收外部提供的数据进去相应的存储、删除、更新等操作。过程中碰到的最麻烦的问题就是OAuth认证功能了,在做android版的新浪微博客户端时候也花了蛮长的时间对OAuth认证进行研究,在客户端原先是采用oauth-signpost开源项目,后来由于某些原因就放弃了这个开源类库,自己重新写了OAuth认证部分的实现, 现在做服务端的OAuth认证,其实有过做客户端的经验做服务端也差不多,简单的说无非是客户端对参数字符串进行签名然后把签名值传输到服务端,服务端也对同样对参数字符串进行签名,把从客户端传过来的签名值进去比较,简单的说就这么个过程,具体实现肯定比这个要复杂多了,不明真相的同学可以google一下OAuth进行深入的学习研究了。

      服务端程序用asp.net和C#编写了而非java,理由很简单本人对.net更加熟悉。由于想快速的实现效果采用了oauth-dot-net开源项目并没有全部自己写。

      一、首先新建名为Rest Api的ASP.NET Web应用程序,然后添加 oauth-dot-net开源项目相关的几个dll(Castle.Core.dll、Castle.MicroKernel.dll、Castle.Windsor.dll、CommonServiceLocator.WindsorAdapter.dll、Microsoft.Practices.ServiceLocation.dll、OAuth.Net.Common.dll、OAuth.Net.Components.dll、OAuth.Net.ServiceProvider.dll)。

     二、在Web.config文件里添加相应的配置,具体可以参考OAuth.Net.Examples.EchoServiceProvider项目,然后在Global.asax.cs添加如下代码:

复制代码
public   override   void  Init()
        {
            IServiceLocator injector  =
                 new  WindsorServiceLocator(
                     new  WindsorContainer(
                         new  XmlInterpreter(
                             new  ConfigResource( " oauth.net.components " ))));

            ServiceLocator.SetLocatorProvider(()  =>  injector);
复制代码

        }

      接下来是比较重要,就是request_token、authorize、access_token的实现,OAuth认证实现的几个过程,不理解可以看android开发我的新浪微博客户端-OAuth篇(2.1) ,具体代码实现很多是参考OAuth.Net.Examples.EchoServiceProvider示例项目。

      三、 首先新建ConsumerStore.cs类,用来存储Consumer信息,由于测试项目所以存储在内存中并没有考虑保存到数据库,真实项目的时候请把相应的Consumer信息保存到数据库中。Consumer信息对应新浪微博其实就是应用的App Key和App Secret,当开发者在新浪微博建一个新的应用获取App Key和App Secret,所以完整的应该还需要一个开发一个提供给第三方开发者申请获取App Key和App Secret的功能页面,这里就不具体实现,直接在代码里写死了一个名为测试应用的Consumer,App Key:2433927322,App Secret:87f042c9e8183cbde0f005a00db1529f,这个提供给客户端测试用。 具体代码如下:

复制代码
public   sealed   class  ConsumerStore : InMemoryConsumerStore, IConsumerStore
    {
         internal   static   readonly  IConsumer FixedConsumer  =   new  OAuthConsumer( " 2433927322 " " 87f042c9e8183cbde0f005a00db1529f " " 测试应用 " , ConsumerStatus.Valid);

         public  ConsumerStore()
        {
             this .ConsumerDictionary.Add(
                ConsumerStore.FixedConsumer.Key, 
                ConsumerStore.FixedConsumer);
        }

         public   override   bool  Add(IConsumer consumer)
        {
             throw   new  NotSupportedException( " Consumers cannot be added to this store--it is fixed. " );
        }

         public   override   bool  Contains( string  consumerKey)
        {
             return  ConsumerStore.FixedConsumer.Key.Equals(consumerKey);
        }

         public   override   bool  Update(IConsumer consumer)
        {
             throw   new  NotSupportedException( " Consumers cannot be updated in this store--it is fixed. " );
        }

         public   override   bool  Remove(IConsumer consumer)
        {
             throw   new  NotSupportedException( " Consumers cannot be removed from this store--it is fixed. " );
        }
复制代码

    } 

      四、接下来就是request_token功能,新建RequestTokenHandler.cs ,这个是OAuth.Net.ServiceProvider.RequestTokenHandler子类,并且是httpHandlers所以需要在Web.config中添加httpHandlers配置,这个用来接收客户端程序的请求,返回给客户端程序Request Token和Request Secret用,具体代码如下:

复制代码
public   sealed   class  RequestTokenHandler : OAuth.Net.ServiceProvider.RequestTokenHandler
    {   
         protected   override   void  IssueRequestToken(HttpContext httpContext, OAuthRequestContext requestContext)
        {
             // 产生RequestToken
            IRequestToken token  =   this .GenerateRequestToken(httpContext, requestContext);

            requestContext.RequestToken  =  token;
            Uri callbackUri;
             if  (Uri.TryCreate(requestContext.Parameters.Callback, UriKind.Absolute,  out  callbackUri))
            {
                 if  ( ! ServiceProviderContext.CallbackStore.ContainsCallback(token))
                {
                     // 保存Callback地址了
                    ServiceProviderContext.CallbackStore.AddCallback(token, callbackUri);
                }
            }
             else
                OAuthRequestException.ThrowParametersRejected( new   string [] { Constants.CallbackParameter },  " Not a valid Uri. " );


             // 把token.Token和token.Secret输出到客户端,
            requestContext.ResponseParameters[Constants.TokenParameter]  =  token.Token;
            requestContext.ResponseParameters[Constants.TokenSecretParameter]  =  token.Secret;
        }

         protected   override  IRequestToken GenerateRequestToken(HttpContext httpContext, OAuthRequestContext requestContext)
        {
            
             return  ServiceProviderContext.TokenGenerator.CreateRequestToken(requestContext.Consumer, requestContext.Parameters);
        }
复制代码

    } 

      五、 接着是authorize功能,新建名为authorize.aspx的页面,用来给用户输入账号和密码进行授权的页面,这个页面很简单具体如下图,在这个页面中获取用户输入的账户和密码跟数据库中存储的用户账号和密码进行验证,如果验证通过返回之前客户端提供的callback地址,并且给这个地址添加一个校验码,具体代码如下:

复制代码
public   partial   class  authorize : System.Web.UI.Page
    {
         protected   void  Page_Load( object  sender, EventArgs e)
        {

        }

         protected   void  Button1_Click( object  sender, EventArgs e)
        {
             if  (loginName.Text  ==   " test "   &&  password.Text  ==   " 123 " )
            {
                 string  toke  =  Request.Params[ " oauth_token " ];
                IRequestToken tk  =  ServiceProviderContext.TokenStore.GetRequestToken(toke);
                Uri callback  =  ServiceProviderContext.CallbackStore.GetCalback(tk);
                 string  oauth_verifier  =  ServiceProviderContext.VerificationProvider.Generate(tk);
                Response.Redirect(callback.ToString()  +   " ?oauth_verifier= "   +  oauth_verifier);
            }
            
        }
复制代码

    } 

     六、接下来就是access_token功能,新建AccessTokenHandler.cs , 这个是OAuth.Net.ServiceProvider.AccessTokenHandler子类,并且是httpHandlers所以需要在Web.config中添加httpHandlers配置,这个用来接收客户端程序的请求,返回给客户端程序Access Token和Access Secret用,具体代码如下:

复制代码
public   sealed   class  AccessTokenHandler : OAuth.Net.ServiceProvider.AccessTokenHandler
    {
         protected   override   void  IssueAccessToken(HttpContext httpContext, OAuthRequestContext requestContext)
        {
             // 产生access token
            IAccessToken accessToken  =   this .GenerateAccessToken(httpContext, requestContext);

            accessToken.Status  =  TokenStatus.Authorized;

             //  把accessToken和accessSecret输出到客户端,
            requestContext.ResponseParameters[Constants.TokenParameter]  =  accessToken.Token;
            requestContext.ResponseParameters[Constants.TokenSecretParameter]  =  accessToken.Secret;
        }

         protected   override  IAccessToken GenerateAccessToken(HttpContext httpContext,  OAuthRequestContext requestContext)
        {
             return  ServiceProviderContext.TokenGenerator.CreateAccessToken(requestContext.Consumer, requestContext.RequestToken);
        }
    }

 public   class  TokenGenerator : ITokenGenerator
    {
         internal   static   readonly  IRequestToken FixedRequestToken  =   new  OAuthRequestToken( " requestkey " ,
             " requestsecret " ,
            ConsumerStore.FixedConsumer,
            TokenStatus.Authorized,
             null ,
            ServiceProviderContext.DummyIdentity,
             new   string [] { });

         internal   static   readonly  IAccessToken FixedAccessToken  =   new  OAuthAccessToken(
             " accesskey " ,
             " accesssecret " ,
            ConsumerStore.FixedConsumer,
            TokenStatus.Authorized,
            TokenGenerator.FixedRequestToken);

         public  IRequestToken CreateRequestToken(IConsumer consumer, OAuthParameters parameters)
        {
             return  TokenGenerator.FixedRequestToken;
        }

         public  IAccessToken CreateAccessToken(IConsumer consumer, IRequestToken requestToken)
        {
             return  TokenGenerator.FixedAccessToken;
        }
    }

 public   class  TokenStore : InMemoryTokenStore, ITokenStore
    {
         public  TokenStore()
        {
             this .RequestTokenDictionary.Add(
                TokenGenerator.FixedRequestToken.Token,
                TokenGenerator.FixedRequestToken);

             this .AccessTokenDictionary.Add(
                TokenGenerator.FixedAccessToken.Token,
                TokenGenerator.FixedAccessToken);
        }

         public   override   bool  Add(IRequestToken token)
        {
             throw   new  NotSupportedException( " Tokens cannot be added to the token store--it is fixed. " );
        }

         public   override   bool  Add(IAccessToken token)
        {
             throw   new  NotSupportedException( " Tokens cannot be added to the token store--it is fixed. " );
        }

         public   override   bool  Update(IRequestToken token)
        {
             throw   new  NotSupportedException( " Tokens cannot be updated in the token store--it is fixed. " );
        }

         public   override   bool  Update(IAccessToken token)
        {
             throw   new  NotSupportedException( " Tokens cannot be updated in the token store--it is fixed. " );
        }

         public   override   bool  Remove(IRequestToken token)
        {
             throw   new  NotSupportedException( " Tokens cannot be removed from the token store--it is fixed. " );
        }

         public   override   bool  Remove(IAccessToken token)
        {
             throw   new  NotSupportedException( " Tokens cannot be removed from the token store--it is fixed. " );
        }
复制代码

    } 

 这样就完成了一个最最简单小型的服务端OAuth认证,然后用android客户端进行测试ok通过。

     注意点:

     一、android模拟器访问本地服务地址为10.0.2.2,比如http://localhost:3423/authorize.aspx在模拟器中用http://10.0.2.2:3423/authorize.aspx。

     二、OAuth.Net类库的OAuth.Net.Common项目中的interface ICallbackStore 添加了一个Uri GetCalback(IRequestToken token);并且在具体的实现类InMemoryCallbackStore添加了实习代码:

          public Uri GetCalback(IRequestToken token)

        {
            lock (this.callbackStore)
            {
                if (this.callbackStore.ContainsKey(token))
                {
                    return this.callbackStore[token];
                }
                else
                {
                    return null;
                }
            }
        }
 

       三、为了能用我前面做的给新浪用的android客户端,对于类库源代码AccessTokenHandler的ParseParameters方法做了如下修改,因为新浪请求api的时候都会加一个source的参数:

            protected virtual void ParseParameters(HttpContext httpContext, OAuthRequestContext requestContext)

        {
            .......
            parameters.AllowOnly(
                    Constants.ConsumerKeyParameter,
                    Constants.TokenParameter,
                    Constants.SignatureMethodParameter,
                    Constants.SignatureParameter,
                    Constants.TimestampParameter,
                    Constants.NonceParameter,
                    Constants.VerifierParameter,
                    Constants.VersionParameter, // (optional)
                    Constants.RealmParameter, // (optional)
                    "source");
 
            ......
        }
 

 

你可能感兴趣的:(OAuth)

  • php 实现JWT 每天瞎忙的农民工 phpphp
    在PHP中,JSONWebToken(JWT)是一种开放标准(RFC7519)用于在各方之间作为JSON对象安全地传输信息。JWT通常用于身份验证系统,如OAuth2或基于令牌的身份验证。以下是一个基本的PHP实现JWT生成和验证的代码示例。JWT的组成部分JWT包含三个部分:Header(头部):说明算法和令牌类型。Payload(有效载荷):包含声明(如用户数据、过期时间等)。Signatur
  • springcloud — 微服务鉴权管理Spring Security原理解析(二) RachelHwang springcloudspringjavaspringsecurityoauth2springcloud
    引言:回顾之前介绍的OAuth2简单分析与介绍,微服务鉴权管理之OAuth2原理解析(一),前面的部分,我们关注了SpringSecurity是如何完成认证工作的,但是另外一部分核心的内容:过滤器,一直没有提到,我们已经知道SpringSecurity使用了springSecurityFilterChain作为了安全过滤的入口,这一节主要分析一下这个过滤器链都包含了哪些关键的过滤器,并且各自的使命
  • 三十五、Gin注册功能实战 Boo_T gogingolang开发语言后端
    目录一、创建请求组二、service下创建register.go文件三、实现密码加密功能四、在register方法中使用encryptPassword函数一、创建请求组const(rootPath="/api/"noAuthPath="/out/api/")//创建请求组noAuth:=r.Group(noAuthPath)//注册功能路由绑定noAuth.POST("cms/register",
  • Spring Boot整合Spring Security+JWT+OAuth 2.0 实现认证鉴权登录(框架介绍) 星空下夜猫子 springspringboot数据库
    简介SpringSecurity框架描述SpringSecurity是一个基于Spring框架的安全性框架,可以为Web应用程序提供身份验证(Authentication)、授权(Authorization)、攻击防御等安全功能。SpringSecurity框架提供了一整套的身份验证、授权、ACL(访问控制列表)等模块和类库,还提供了一系列的安全过滤器、安全标签等,可以方便地实现常见的安全性控制。
  • Elasticsearch 安装 哒哒-blog Elasticsearchelasticsearchjenkins大数据
    下载安装elasticsearch下载链接运行:bin\elasticsearch.bat设置密码:.\bin\elasticsearch-setup-passwordsinteractive这边设置密码遇到一个坑PSG:\elasticsearch-8.8.1>.\bin\elasticsearch-setup-passwordsinteractiveFailedtoauthenticateus
  • Spring Cloud云架构 - SSO单点登录之OAuth2.0 根据token获取用户信息(4) 初夏_91fb
    上一篇我根据框架中OAuth2.0的使用总结,画了SSO单点登录之OAuth2.0登出流程,今天我们看一下根据用户token获取yoghurt信息的流程:image/***根据token获取用户信息*@paramaccessToken*@return*@throwsException*/@RequestMapping(value="/user/token/{accesstoken}",method
  • 【网络安全】漏洞挖掘之会话管理缺陷 秋说 网络安全web安全漏洞挖掘会话管理
    未经许可,不得转载。文章目录正文正文目标:example.com该站点允许存在主要邮箱和次要邮箱。在尝试使用次要邮箱和密码登录时,由于账户最初是通过主邮箱创建的,无法登录。于是,我通过次要邮箱使用GoogleOAuth进行登录。令人意外的是,我成功通过GoogleOAuth登录了该账户。接着,我在两个浏览器上登录了同一个账户:Chrome浏览器使用主邮箱([email protected])和
  • 这可能是全网最详细的 Spring Cloud OAuth2 单点登录使用教程了,妈妈再也不用担心我被面试官吊打了! 2401_84558091 程序员java面试学习
    最后对于很多Java工程师而言,想要提升技能,往往是自己摸索成长,不成体系的学习效果低效漫长且无助。整理的这些资料希望对Java开发的朋友们有所参考以及少走弯路,本文的重点是你有没有收获与成长,其余的都不重要,希望读者们能谨记这一点。再分享一波我的Java面试真题+视频学习详解+技能进阶书籍本文已被CODING开源项目:【一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码】收
  • 【DevOps工具篇】使用Ansible部署Keycloak oauth2proxy 和 单点登录(SSO)设置 小涵 DevOps企业级项目实战devopsansible运维ldapkeycloakproxyoauth
    【DevOps工具篇】使用Ansible部署Keycloakoauth2proxy和单点登录(SSO)设置目录【DevOps工具篇】使用Ansible部署Keycloakoauth2proxy和单点登录(SSO)设置Ansible基础知识部署Keycloak创建OIDC-客户端创建oauth2proxy部署顶级AnsiblePlaybookHost.iniplaybook.yaml推荐超级课程:D
  • <二> speed_bounds_decider(3) 不知道是谁2 自动驾驶apollo规划控制
    st_boundary_mapper.cc/*******************************************************************************Copyright2017TheApolloAuthors.AllRightsReserved.**LicensedundertheApacheLicense,Version2.0(the"Lice
  • Oauth2简介 Lill_bin 杂谈githubgit网络服务器大数据java
    OAuth2.0是一个行业标准的协议,用于授权。它允许应用程序代表用户访问服务器上的数据,而无需暴露用户的用户名和密码。OAuth2.0专注于简化客户端开发人员的操作,同时为Web应用、桌面应用、手机和客厅设备提供专门的认证流程。OAuth2.0的核心概念:资源所有者(ResourceOwner):指的是数据的拥有者,即用户。在OAuth2.0中,资源所有者授权第三方应用访问其数据。资源服务器(R
  • Spring-Security(二)OAuth2认证详解(持续更新) lbmydream springcloud架构spring探析springjava后端
    SpringSecurity&Oauth2系列:SpringSecurity(一)源码分析及认证流程SpringSecurity(二)OAuth2认证详解及自定义异常处理文章目录1、OAuth2.0简介1.1OAuth2.0相关名词解释1.2四种授权模式1.3、OAuth2框架1.4OAuth2.0客户端提供功能2、OAuth2.0认证服务2.1SpringSecurityOAuth2提供的程序实
  • 支付宝生活号获取用户授权 Strawberry96 支付宝生活号前端
    为了下次不用再去看一遍官方文档,简单的做一下笔记。想了解更多的细节,请移步支付宝官方文档1、用户授权,拼接的url,如下:获取用户信息的授权scope=auth_user:https://openauth.alipay.com/oauth2/publicAppAuthorize.htm?app_id=APPID&scope=auth_user&redirect_uri=ENCODED_URL?st
  • 【JS 逆向百例】当乐网登录接口参数逆向 K哥爬虫
    声明本文章中所有内容仅供学习交流,严禁用于商业用途和非法用途,否则由此产生的一切后果均与作者无关,若有侵权,请联系我立即删除!逆向目标目标:当乐网登录主页:https://oauth.d.cn/auth/goLogin.html接口:https://oauth.d.cn/auth/login逆向参数:QueryStringParameters:pwd:26fac08e6b524bef29c0947
  • Dzzoffice 入口文件所对应的程序文件 小胡2024 DzzOffice小胡社区前端javascript开源软件开发语言php
    介绍入口文件是一个PHP文件,用于启动系统流程控制。入口文件所对应的程序文件包括多个类文件和配置文件。入口文件对应目录admin.php对应/admin目录;index.php对应/dzz目录;user.php对应/user目录;misc.php对应/misc目录;oauth.php对应/dzz目录;avatar.php对应/data/avatar目录;程序文件目录下通常含有以下目录和文件clas
  • 微信投票系统源码开源版 投票活动制作平台源码 源码师傅 源码分享php源码软件
    分享一个微信投票系统源码,系统基于微信公众平台,含完整搭建教程和程序包,可以任意制作各种投票活动。主要功能一览:01.界面配色后台自定义,轻松搭建不同风格,我们后台还内置3套模板,一键随意切换02.100%防暴力高并发刷票03.支持微信开放平台,订阅号如服务号操作,用户体验极佳04.支持所有类型公众号活动(非服务号需要借用认证服务号oauth权限即可,未认证号不能借用支付礼物)05.首页列表全aj
  • 教程:在Spring Boot应用中集成OAuth 2.0认证 微赚淘客系统开发者@聚娃科技 springboot后端java
    教程:在SpringBoot应用中集成OAuth2.0认证大家好,我是免费搭建查券返利机器人省钱赚佣金就用微赚淘客系统3.0的小编,也是冬天不穿秋裤,天冷也要风度的程序猿!OAuth2.0是一种广泛使用的授权框架,用于安全地授权第三方应用程序访问HTTP服务,而无需将用户的用户名和密码暴露给第三方。在现代的分布式系统中,使用OAuth2.0认证可以有效地保护API端点和用户数据。本文将介绍如何在S
  • Spring OAuth2.0 OIDC详解 Mr. bigworth OAuth2.0springspringboot
    OIDC简介作用身份验证:OIDC在OAuth2授权的基础上增加了身份验证功能,通过IDToken验证用户身份的真实性。用户信息获取:通过IDToken和用户信息端点,客户端可以获取用户的详细信息。安全性增强:通过引入nonce参数和IDToken,OIDC增强了请求的安全性,防止重放攻击等安全问题。总的来说,OIDC提供了比OAuth2更加完整和安全的身份验证和授权机制,确保在授权第三方应用访问
  • 在Spring Boot中实现OAuth2.0认证 微赚淘客机器人开发者联盟@聚娃科技 springbootjavaredis
    在SpringBoot中实现OAuth2.0认证大家好,我是微赚淘客系统3.0的小编,是个冬天不穿秋裤,天冷也要风度的程序猿!OAuth2.0是一种用于授权的协议,它使得用户可以授权第三方应用程序访问他们在某服务提供商上的资源,而无需共享他们的凭据。SpringBoot提供了对OAuth2.0的原生支持,可以方便地将其集成到应用程序中。本文将详细介绍如何在SpringBoot中实现OAuth2.0
  • API接口的安全性分类及其对开发的影响 2401_86932795 职场发展职场和发展求职招聘单一职责原则
    API接口的分类:按照访问权限分公开APIs:对所有用户开放的API。私有APIs:只对特定用户或组织开放的API。内部API:仅供组织内部使用的API,用于连接组织内部的不同系统或服务。第三方APIs:由第三方开发并提供的API。API接口的分类:按照安全分非安全API:这些API可能不提供或仅提供有限的安全措施。安全API:这些API设计有安全措施,如HTTPS、OAuth认证、访问控制列表(
  • GitHub每周最火火火项目(8.19-8.25) FutureUniant Github周推github人工智能python音视频计算机视觉
    项目名称:goauthentik/authentik项目介绍:authentik是一个认证相关的工具,它就像是一个强大的粘合剂,能够满足你的各种认证需求。无论是在复杂的系统环境中,还是对于安全性要求极高的应用场景,它都能发挥关键作用。通过authentik,你可以实现更加可靠和安全的认证流程,确保只有授权的用户能够访问系统资源。项目地址:https://github.com/goauthentik
  • Spring Boot 与 Spring Security 的集成及 OAuth2 实现 2的n次方_ springspringbootjava
    我的主页:2的n次方_在现代Web应用开发中,安全性是至关重要的。无论是保护用户的敏感数据,还是确保API只允许经过授权的请求访问,开发者都需要一个强大且灵活的安全框架来实现这些需求。SpringSecurity作为Spring框架的安全模块,能够为应用提供全面的安全保护。而OAuth2作为一种授权协议,广泛应用于单点登录(SSO)、社交登录、API保护等场景。本文将详细介绍如何在SpringBo
  • Java中的第三方登录 ueing java开发语言
    1.介绍在Java中实现第三方登录通常涉及使用OAuth(开放授权)协议.OAuth是一种授权框架,允许用户在不提供其用户名和密码的情况下向第三方应用授予对其资源的有限访问权限.2.步骤(Java中实现的第三方登录):注册应用:首先,你需要在目标第三方平台(如GitHub,Google,Facebook等)注册你的应用,以获取客户端ID和客户端秘钥.这通常需要在第三方平台的开发者控制台完成.选择O
  • 高级web安全技术(第一篇) Hi, how are you web安全安全
    之前我们也有讲过web安全的一些基础,这次我们来认识一下高级篇的一、概述随着Web应用的普及和复杂化,安全威胁也变得愈发严峻。本篇文章将深入探讨Web应用安全中的高级技术,包括安全编码实践、高级API安全以及OAuth的深入解析。通过这些技术,开发者能够更好地防护Web应用免受各种攻击。二、安全编码实践1.输入验证与输出编码a.输入验证白名单验证:通过仅允许预期的输入类型和格式,阻止恶意数据的传入
  • 前端登陆方式,这一篇就够了 爱吃果蔬的猫 前端
    目录1、基于会话(Session)的认证1.1实现流程1.2优缺点1.3应用场景2、基于Token的认证(如JWT,JSONWebTokens)2.1实现流程2.2优缺点2.3应用场景3、OAuth/OpenID3.1实现流程3.2优缺点3.3应用场景4、单点登录(SSO,SingleSign-On)4.1实现流程4.2优缺点4.3应用场景5、多因素认证(MFA,Multi-FactorAuthe
  • springboot 集成OAuth2 一些用到的基础类 耂勹 springspringbootjavaspring
    文章目录1.登录校验token,提取clientId2.根据clientId获取token配置信息类3.实际登录类4.加载token信息到自定义缓存5.自定义用户信息类6.异常翻译类7.认证服务器配置1.登录校验token,提取clientIdpackageorg.springframework.security.web.authentication.www;publicclassBasicAut
  • K8S Secret 王小工 云原生kubernetes容器云原生
    K8S(Kubernetes)中的Secret是一种用于保存敏感信息的资源对象,如密码、OAuth令牌、SSH密钥等。这些信息通常不应该直接暴露在Pod的规范(Spec)或镜像中,因为这样做会增加数据泄露的风险。Secret提供了一种更安全的方式来管理这些敏感信息,并允许Pod以受控的方式访问它们。Secret的主要用途Kubernetes支持多种Secret类型,每种类型都有其特定的用途和限制。
  • 设计一个登录系统时,分布式如何保证 喝醉的小鲁班 设计模式
    设计一个分布式登录系统时,需要确保系统的可靠性、安全性和可扩展性。分布式系统的登录功能需要处理用户认证、授权、会话管理等方面,并且要在多个服务器或服务实例之间保持一致。以下是设计分布式登录系统时需要考虑的一些关键点:1.用户认证与授权集中认证服务:设计一个专门的认证服务处理用户登录请求。所有的登录请求都应通过这个服务进行处理。认证服务可以使用JWT(JSONWebTokens)、OAuth2、Op
  • Salesforce Community 用户 OAuth 只能通过 web server 或 user-agent flows,而不能通过 username/password Channing Lewis Salesforcesalesforce
    importrequestsinstance_url='https://yourCompanyName.my.site.com'url=f"{instance_url}/services/oauth2/token"payload={'grant_type':'password','client_id':'CLIENT_ID','client_secret':'CLIENT_SECRET','use
  • 程序员开发技术整理 laizhixue 学习前端框架
    前端技术:vue-前端框架element-前端框架bootstrap-前端框架echarts-图标组件C#后端技术:webservice:soap架构:简单的通信协议,用于服务通信ORM框架:对象关系映射,如EF:对象实体模型,是ado.net中的应用技术soap服务通讯:xml通讯ado.net:OAuth2:登录授权认证:Token认证:JWT:jsonwebtokenJava后端技术:便捷工
  • Spring的注解积累 yijiesuifeng spring注解
    用注解来向Spring容器注册Bean。   需要在applicationContext.xml中注册: <context:component-scan base-package=”pagkage1[,pagkage2,…,pagkageN]”/>。 如:在base-package指明一个包    <context:component-sc
  • 传感器 百合不是茶 android传感器
    android传感器的作用主要就是来获取数据,根据得到的数据来触发某种事件   下面就以重力传感器为例;   1,在onCreate中获得传感器服务   private SensorManager sm;// 获得系统的服务 private Sensor sensor;// 创建传感器实例 @Override protected void
  • [光磁与探测]金吕玉衣的意义 comsci
          这是一个古代人的秘密:现在告诉大家       信不信由你们:       穿上金律玉衣的人,如果处于灵魂出窍的状态,可以飞到宇宙中去看星星       这就是为什么古代
  • 精简的反序打印某个数 沐刃青蛟 打印
    以前看到一些让求反序打印某个数的程序。 比如:输入123,输出321。   记得以前是告诉你是几位数的,当时就抓耳挠腮,完全没有思路。   似乎最后是用到%和/方法解决的。   而今突然想到一个简短的方法,就可以实现任意位数的反序打印(但是如果是首位数或者尾位数为0时就没有打印出来了)   代码如下: long num, num1=0;
  • PHP:6种方法获取文件的扩展名 IT独行者 PHP扩展名
      PHP:6种方法获取文件的扩展名   1、字符串查找和截取的方法   1 $extension = substr ( strrchr ( $file ,  '.' ), 1); 2、字符串查找和截取的方法二   1 $extension = substr
  • 面试111 文强chu 面试
    1事务隔离级别有那些 ,事务特性是什么(问到一次) 2 spring aop 如何管理事务的,如何实现的。动态代理如何实现,jdk怎么实现动态代理的,ioc是怎么实现的,spring是单例还是多例,有那些初始化bean的方式,各有什么区别(经常问) 3 struts默认提供了那些拦截器 (一次) 4 过滤器和拦截器的区别 (频率也挺高) 5 final,finally final
  • XML的四种解析方式 小桔子 domjdomdom4jsax
    在平时工作中,难免会遇到把 XML 作为数据存储格式。面对目前种类繁多的解决方案,哪个最适合我们呢?在这篇文章中,我对这四种主流方案做一个不完全评测,仅仅针对遍历 XML 这块来测试,因为遍历 XML 是工作中使用最多的(至少我认为)。   预 备   测试环境:   AMD 毒龙1.4G OC 1.5G、256M DDR333、Windows2000 Server
  • wordpress中常见的操作 aichenglong 中文注册wordpress移除菜单
    1 wordpress中使用中文名注册解决办法   1)使用插件   2)修改wp源代码      进入到wp-include/formatting.php文件中找到       function sanitize_user( $username, $strict = false
  • 小飞飞学管理-1 alafqq 管理
    项目管理的下午题,其实就在提出问题(挑刺),分析问题,解决问题。 今天我随意看下10年上半年的第一题。主要就是项目经理的提拨和培养。 结合我自己经历写下心得 对于公司选拔和培养项目经理的制度有什么毛病呢? 1,公司考察,选拔项目经理,只关注技术能力,而很少或没有关注管理方面的经验,能力。 2,公司对项目经理缺乏必要的项目管理知识和技能方面的培训。 3,公司对项目经理的工作缺乏进行指
  • IO输入输出部分探讨 百合不是茶 IO
     //文件处理  在处理文件输入输出时要引入java.IO这个包; /* 1,运用File类对文件目录和属性进行操作 2,理解流,理解输入输出流的概念 3,使用字节/符流对文件进行读/写操作 4,了解标准的I/O 5,了解对象序列化 */   //1,运用File类对文件目录和属性进行操作   //在工程中线创建一个text.txt
  • getElementById的用法 bijian1013 element
            getElementById是通过Id来设置/返回HTML标签的属性及调用其事件与方法。用这个方法基本上可以控制页面所有标签,条件很简单,就是给每个标签分配一个ID号。        返回具有指定ID属性值的第一个对象的一个引用。        语法: &n
  • 励志经典语录 bijian1013 励志人生
    经典语录1:   哈佛有一个著名的理论:人的差别在于业余时间,而一个人的命运决定于晚上8点到10点之间。每晚抽出2个小时的时间用来阅读、进修、思考或参加有意的演讲、讨论,你会发现,你的人生正在发生改变,坚持数年之后,成功会向你招手。不要每天抱着QQ/MSN/游戏/电影/肥皂剧……奋斗到12点都舍不得休息,看就看一些励志的影视或者文章,不要当作消遣;学会思考人生,学会感悟人生
  • [MongoDB学习笔记三]MongoDB分片 bit1129 mongodb
    MongoDB的副本集(Replica Set)一方面解决了数据的备份和数据的可靠性问题,另一方面也提升了数据的读写性能。MongoDB分片(Sharding)则解决了数据的扩容问题,MongoDB作为云计算时代的分布式数据库,大容量数据存储,高效并发的数据存取,自动容错等是MongoDB的关键指标。 本篇介绍MongoDB的切片(Sharding)   1.何时需要分片 &nbs
  • 【Spark八十三】BlockManager在Spark中的使用场景 bit1129 manager
    1. Broadcast变量的存储,在HttpBroadcast类中可以知道 2. RDD通过CacheManager存储RDD中的数据,CacheManager也是通过BlockManager进行存储的 3. ShuffleMapTask得到的结果数据,是通过FileShuffleBlockManager进行管理的,而FileShuffleBlockManager最终也是使用BlockMan
  • yum方式部署zabbix ronin47 yum方式部署zabbix
    安装网络yum库#rpm -ivh http://repo.zabbix.com/zabbix/2.4/rhel/6/x86_64/zabbix-release-2.4-1.el6.noarch.rpm 通过yum装mysql和zabbix调用的插件还有agent代理#yum install zabbix-server-mysql zabbix-web-mysql mysql-
  • Hibernate4和MySQL5.5自动创建表失败问题解决方法 byalias J2EEHibernate4
    今天初学Hibernate4,了解了使用Hibernate的过程。大体分为4个步骤: ①创建hibernate.cfg.xml文件 ②创建持久化对象 ③创建*.hbm.xml映射文件 ④编写hibernate相应代码 在第四步中,进行了单元测试,测试预期结果是hibernate自动帮助在数据库中创建数据表,结果JUnit单元测试没有问题,在控制台打印了创建数据表的SQL语句,但在数据库中
  • Netty源码学习-FrameDecoder bylijinnan javanetty
    Netty 3.x的user guide里FrameDecoder的例子,有几个疑问: 1.文档说:FrameDecoder calls decode method with an internally maintained cumulative buffer whenever new data is received. 为什么每次有新数据到达时,都会调用decode方法? 2.Dec
  • SQL行列转换方法 chicony 行列转换
    create table tb(终端名称 varchar(10) , CEI分值 varchar(10) , 终端数量 int) insert into tb values('三星' , '0-5' , 74) insert into tb values('三星' , '10-15' , 83) insert into tb values('苹果' , '0-5' , 93)
  • 中文编码测试 ctrain 编码
    循环打印转换编码 String[] codes = { "iso-8859-1", "utf-8", "gbk", "unicode" }; for (int i = 0; i < codes.length; i++) { for (int j
  • hive 客户端查询报堆内存溢出解决方法 daizj hive堆内存溢出
    hive> select * from t_test where ds=20150323 limit 2; OK Exception in thread "main" java.lang.OutOfMemoryError: Java heap space   问题原因: hive堆内存默认为256M   这个问题的解决方法为: 修改/us
  • 人有多大懒,才有多大闲 (评论『卓有成效的程序员』) dcj3sjt126com 程序员
      卓有成效的程序员给我的震撼很大,程序员作为特殊的群体,有的人可以这么懒,  懒到事情都交给机器去做 ,而有的人又可以那么勤奋,每天都孜孜不倦得做着重复单调的工作。   在看这本书之前,我属于勤奋的人,而看完这本书以后,我要努力变成懒惰的人。 不要在去庞大的开始菜单里面一项一项搜索自己的应用程序,也不要在自己的桌面上放置眼花缭乱的快捷图标
  • Eclipse简单有用的配置 dcj3sjt126com eclipse
    1、显示行号  Window -- Prefences -- General -- Editors -- Text Editors -- show line numbers   2、代码提示字符 Window ->Perferences,并依次展开 Java -> Editor -> Content Assist,最下面一栏 auto-Activation
  • 在tomcat上面安装solr4.8.0全过程 eksliang Solrsolr4.0后的版本安装solr4.8.0安装
    转载请出自出处: http://eksliang.iteye.com/blog/2096478       首先solr是一个基于java的web的应用,所以安装solr之前必须先安装JDK和tomcat,我这里就先省略安装tomcat和jdk了         第一步:当然是下载去官网上下载最新的solr版本,下载地址
  • Android APP通用型拒绝服务、漏洞分析报告 gg163 漏洞androidAPP分析
    点评:记得曾经有段时间很多SRC平台被刷了大量APP本地拒绝服务漏洞,移动安全团队爱内测(ineice.com)发现了一个安卓客户端的通用型拒绝服务漏洞,来看看他们的详细分析吧。  0xr0ot和Xbalien交流所有可能导致应用拒绝服务的异常类型时,发现了一处通用的本地拒绝服务漏洞。该通用型本地拒绝服务可以造成大面积的app拒绝服务。  针对序列化对象而出现的拒绝服务主要
  • HoverTree项目已经实现分层 hvt 编程.netWebC#ASP.ENT
    HoverTree项目已经初步实现分层,源代码已经上传到 http://hovertree.codeplex.com请到SOURCE CODE查看。在本地用SQL Server 2008 数据库测试成功。数据库和表请参考:http://keleyi.com/a/bjae/ue6stb42.htmHoverTree是一个ASP.NET 开源项目,希望对你学习ASP.NET或者C#语言有帮助,如果你对
  • Google Maps API v3: Remove Markers 移除标记 天梯梦 google maps api
    Simply do the following:   I. Declare a global variable: var markersArray = [];   II. Define a function: function clearOverlays() { for (var i = 0; i < markersArray.length; i++ )
  • jQuery选择器总结 lq38366 jquery选择器
      1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40
  • 基础数据结构和算法六:Quick sort sunwinner AlgorithmQuicksort
    Quick sort is probably used more widely than any other. It is popular because it is not difficult to implement, works well for a variety of different kinds of input data, and is substantially faster t
  • 如何让Flash不遮挡HTML div元素的技巧_HTML/Xhtml_网页制作 刘星宇 htmlWeb
    今天在写一个flash广告代码的时候,因为flash自带的链接,容易被当成弹出广告,所以做了一个div层放到flash上面,这样链接都是a触发的不会被拦截,但发现flash一直处于div层上面,原来flash需要加个参数才可以。 让flash置于DIV层之下的方法,让flash不挡住飘浮层或下拉菜单,让Flash不档住浮动对象或层的关键参数:wmode=opaque。 方法如下:
  • Mybatis实用Mapper SQL汇总示例 wdmcygah sqlmysqlmybatis实用
    Mybatis作为一个非常好用的持久层框架,相关资料真的是少得可怜,所幸的是官方文档还算详细。本博文主要列举一些个人感觉比较常用的场景及相应的Mapper SQL写法,希望能够对大家有所帮助。 不少持久层框架对动态SQL的支持不足,在SQL需要动态拼接时非常苦恼,而Mybatis很好地解决了这个问题,算是框架的一大亮点。对于常见的场景,例如:批量插入/更新/删除,模糊查询,多条件查询,联表查询,
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他