目录SQLInjection(mitigation)演示案例:Javaweb-SQL注入攻击-预编译机制绕过Javaweb-身份验证攻击-JWT修改伪造攻击jwt加解密：https://jwt.io/#debugger-io通过前期的WEB漏洞的学习，掌握了大部分的安全漏洞的原理及利用，但在各种脚本语言开发环境的差异下，会存在新的安全问题，其中脚本语言类型PHP、Java、Python等主流开发框架会有所差异。每个脚本程序语言在开发它web程序这块的时候，不管是它的结构还是它开发语言的特性，这些差异条件会造成一些新的问题，如果说php容易产生那些漏洞，java容易产生那些漏洞，就是因为语言的特

今天主要介绍以下内容：用户可以注册新帐户，或使用用户名和密码登录。根据用户的权限，我们授权用户访问资源今日内容介绍，大约花费40分钟图片1.SpringBoot注册和登录withJWT身份验证流程下图显示了我们如何实现用户注册、用户登录和授权流程的流程。图片如果客户端访问受保护的资源，则必须将合法的JWT添加到HTTP授权标头中。SpringBoot中使用SpringSecurity您可以通过下图概述我们的SpringBoot项目：图片SpringSecurity介绍：WebSecurityConfig: springSecurity配置类，用于配置SpringSecurity的行为和规则。它

1.使用JWT生成token第一步：引入依赖com.auth0java-jwt3.10.3第二步：创建工具类在until包下创建TokenUntil类，用于生成token利用id，和password作为参数生成tokenJWt为这个包下的对象importcom.auth0.jwt.JWT;packagecom.example.mybatis_plus_generator.untils;importcn.hutool.core.date.DateUtil;importcom.auth0.jwt.JWT;importcom.auth0.jwt.algorithms.Algorithm;import

之前文章里说过，分布式系统的鉴权有两种方式，一是在网关进行统一的鉴权操作，二是在各个微服务里单独鉴权。第二种方式比较常见，代码网上也是很多。今天主要是说第一种方式。1.网关鉴权的流程重要前提：需要收集各个接口的uri路径和所需权限列表的对应关系，并存入缓存。2.收集uri路径和对应权限服务启动的时候，执行缓存数据的初始化操作：扫描服务内的所有controller接口方法，利用反射，获取方法的完整uri路径，方法上指定注解中的权限值，再存入Redis缓存。服务启动时做一些操作，方法有很多，可以继承CommandLineRunner或者其他方式。不熟悉的可以去查一下有关资料。因为后续可能会有很多微

1.相关函数创建如下函数：登录函数：登录接口调用该函数身份验证：其他函数调用该函数，用token判断身份是否合法刷新token：登录接口调用该函数，如果token验证通过则发放新token验证token：需要验证身份的服务调用该函数判断token是否合法生成token：其他函数调用该函数，用以生成新tokenpackagerouterimport("github.com/dgrijalva/jwt-go""github.com/gin-gonic/gin""time")typeLoginInfostruct{UserNamestring`json:"user_name"`Passwordstr

整理下工作中常用到的加密解密算法和使用场景一、Base64和UrlBase64二、Md5+salt二、对称加密四、非对称加密这节整理MD5、MD5+salt基本介绍、使用场景及特点，以及java实现机制（文末附代码，需要的自取哈）二、Md5+saltMd5加密（在线加解密网址https://www.cmd5.com/）定义：（英语：MD5Message-DigestAlgorithm），一种被广泛使用的密码散列函数，可以产生出一个128位（16字节）的散列值（hashvalue），用以提供消息的完整性保护。特点：加密不可逆，即无法通过密文得到原文。不变性，即相同的原文，通过MD5算法得到的密文

背景用户连接服务器weksocket前，需经过jwt的token验证（token中包含账号信息），验证合法后，才可以于服务器正常交互。实现一、配置依赖（pom.xml）org.springframework.bootspring-boot-starter-websocket二、因为springboot的websocket连接时不会显示header信息，也就无法拿到cookie中的token信息，需要在连接前处理，新建一个WebSocketConfig.class，在连接前做一个jwt的token验证，并获取用户的账号信息添加到session中。(关于jwt的token验证工具类我这里就不详细讲

golang使用 Gin实现websocket，这里笔者重新搭建一个项目1、创建项目安装依赖项目名为 go-gin-websocket在指定文件夹下，新建项目文件夹 go-gin-websocket进入项目文件夹，打开cmd窗口，在项目（go-gin-websocket）文件夹路径下，执行初始化命令 gomodinit go-gin-websocketgomodinit go-gin-websocket安装依赖安装gingoget-ugithub.com/gin-gonic/gin 安装websocketgogetgithub.com/gorilla/websocket2、搭建项目在项目目录下

在使用Gin开发web应用的时候，业务异常是很常见的，通常我们会为每个异常情况定义一个唯一的error。同时当发生异常的时候，我们也需要把异常信息放入到接口的响应信息里面，方便页面上做提示。//业务异常packagebizerrconst(//定义可预见的异常UserNotFound=10001PasswrodErr=10002)varresultCodeText=map[int]string{UserNotFound:"用户不存在",}funcMessage(codeint)(string,bool){message,ok:=resultCodeText[code]returnmessage

写在前面：各位看到此博客的小伙伴，如有不对的地方请及时通过私信我或者评论此博客的方式指出，以免误人子弟。多谢！如果我的博客对你有帮助，欢迎进行评论✏️✏️、点赞👍👍、收藏⭐️⭐️，满足一下我的虚荣心💖🙏🙏🙏。上一篇记录了使用jwt令牌和自定义token携带的信息，本篇继续完善一下令牌的解析和使用refresh_token获取令牌，本篇代码基于上一篇：使用SpringSecurityOAuth2使用JWT生成token及自定义token携带的信息(十)目录Java解析JWT内容pom依赖测试类Postman测试刷新令牌环境 Postman测试Java解析JWT内容这里我们使用jjwt的工具包解析