微信昵称：kentarou 华为云账号：kentarou0425 理解jvm能够有助于体会java执行原理和执行机制，我们所敲下的每一行代码，编译执行的每一个class文件都是在和jvm做一次无声的交流。我们将编写后的代码交给jvm执行运载，将控制内存的权力也交给了jvm，我们所做的是查看jvm执行后的结果是否达到预期并维护jvm的运行，从某种意义上来说，jvm是java开发人员重要的合作伙伴，深入理解jvm是开发人员在职业生涯中永恒的课题。

微信昵称：kentarou 华为云账号：kentarou0425 第五天 链接：https://bbs.huaweicloud.com/blogs/353704

微信：kentarou ；华为云账号：kentarou0425 1. https://bbs.huaweicloud.com/blogs/353683 2. https://bbs.huaweicloud.com/blogs/353694 3. https://bbs.huaweicloud.com/blogs/353699 4. https://bbs.huaweicloud.com/blogs/353702

微信：kentarou ；华为云账号：kentarou0425 1. https://bbs.huaweicloud.com/blogs/353683 2. https://bbs.huaweicloud.com/blogs/353694 3. https://bbs.huaweicloud.com/blogs/353699 4. https://bbs.huaweicloud.com/blogs/353702

华为云账号：kentarou；微信昵称：kentarou；Day05  Spring Security 防火墙在 Spring Security 中提供了一个 HttpFirewall HttpFirewall 目前一共有两个实现类 一个是严格模式的防火墙设置，还有一个默认防火墙设置。DefaultHttpFirewall 的限制相对于 StrictHttpFirewall 要宽松一些，当然也意味着安全性不如 StrictHttpFirewall。Spring Security 中默认使用的是 StrictHttpFirewall。StrictHttpFirewall要求 只允许白名单中的方法,请求地址不能有分号,必须是标准化 URL，必须是可打印的 ASCII 字符，双斜杠，% ，正反斜杠，.不被允许。这些限制，都是针对请求的 requestURI 进行的限制，而不是针对请求参数

华为云账号：kentarou；微信昵称：kentarou；Day04   Spring Security 会话管理会话固定攻击（session fixation attack）是利用应用系统在服务器的会话ID固定不变机制，借助他人用相同的会话ID获取认证和授权，然后利用该会话ID劫持他人的会话以成功冒充他人，造成会话固定攻击。整个攻击流程是：1、攻击者Attacker能正常访问该应用网站；2、应用网站服务器返回一个会话ID给他；3、攻击者Attacker用该会话ID构造一个该网站链接发给受害者Victim；4-5、受害者Victim点击该链接，携带攻击者的会话ID和用户名密码正常登录了该网站，会话成功建立；6、攻击者Attacker用该会话ID成功冒充并劫持了受害者Victim的会话。防御固定攻击非常简单只需要在用户登录之后重新生成新的session就行。在spring security中，使用sessionManagement（会话管理的配置器）来防御会话固定攻击，其防御策略有四种none： 不做任何变动，登录过后仍然使用旧的sessionnewSession：登录之后创建一个新的sessionmigrateSession: 登录之后创建一个session，并将旧的session的数据复制到新的session里面 ---->默认changeSessionId：不创建新的会话，而是使用由servlet容器提供的会话固定保护

华为云账号：kentarou；微信昵称：kentarou；DAY03  Spring Security 密码加密以前在数据库中存入用户密码的时侯，选择的都是明文密码，没有任何的安全性，这种方式其实非常的危险。所以我们需要在用户注册时就对用户键入的密码进行加密，然后存储到数据库中。之后在用户登录的时候再对数据中的加密密码和用户键入的密码进行一个对比的验证。这里不推荐使用spring security自带的PasswordEncoder方法进行加密，因为这样很容易被破解掉。推荐编写自己的加密方法，可以选择SHA-1,SHA-256等算法，然后也可以在密码加密之前中加入盐值salt。然后写自己的MyPasswordEncoder方法然后重写PasswordEncoder，实现encode,matches方法

华为云账号：kentarou；微信昵称：kentarou；Day 02  Spring Security 认证流程分析       spring security的认证过滤操作由UsernamePasswordAuthenticationFilter 完成，当请求来临时，在默认情况下，请求先经过AbstractAuthenticationProcessingFilter的子类UsernamePasswordAuthenticationFilter过滤器。在UsernamePasswordAuthenticationFilter过滤器调用attemptAuthentication()方法现实主要的两步过程：创建拥有用户的详情信息的Authentication对象，在默认的UsernamePasswordAuthenticationFilter中将创建1.UsernamePasswordAuthenticationToken的Authentication对象；2.AuthenticationManager调用authenticate()方法进行认证过程，在默认情况，使用ProviderManager类进行认证。     请求经过过滤器处理之后，在AuthenticationManager以及ProviderManager认证在默认认证详细处理过程中，AuthenticationProvider认证由AbstractUserDetailsAuthenticationProvider抽象类以及AbstractUserDetailsAuthenticationProvider的子类DaoAuthenticationProvider进行方法重写协助共同工作进行认证的

华为云账号：kentarou；微信昵称：kentarou；Day 01 spring security spring security 的核心功能主要包括：认证 （你是谁）授权 （你能干什么）攻击防护 （防止伪造身份）其核心就是一组过滤器链，项目启动后将会自动配置。最核心的就是 Basic Authentication Filter 用来认证用户的身份，一个在spring security中一种过滤器处理一种认证方式。比如，对于username password认证过滤器来说， 会检查是否是一个登录请求；是否包含username 和 password （也就是该过滤器需要的一些认证信息） ；如果不满足则放行给下一个。

华为云账号：kentarou；微信昵称：kentarou；话题B . 列举几个您常用的安全管理框架的优劣势在平时开发中会时常遇到 用户安全认证的问题，不同的项目有不同的常用方案。在前后端不分离的项目中，这些项目往往是比较老旧的项目一般都采用shiro的方式来管理用户，在spring全家桶的模式下也常常采用springsecurity的方式。shiro和springsecurity 的机制大同小异基本都要满足认证和授权两个核心功能，shiro的优势在于轻量级和spring关联不大易于分割项目，springsecurity则必须使用spring框架 。两者都是采用session的安全机制，简单易操作，项目容易搭建，但也存在问题和漏洞例如：每个用户经过我们的应用认证之后，我们的应用都要在服务端做一次记录，以方便用户下次请求的鉴别，通常而言session都是保存在内存中，而随着认证用户的增多，服务端的开销会明显增大。再者，采用session机制是不利于扩展的，用户认证之后，服务端做认证记录，如果认证的记录被保存在内存中的话，这意味着用户下次请求还必须要请求在这台服务器上,这样才能拿到授权的资源，这样在分布式的应用上，相应的限制了负载均衡器的能力。这也意味着限制了应用的扩展能力。    在前后端分离的项目中 一般使用token机制来进行用户认证管理，即token oauth。一般应用于app，vue,react,angular等项目中使用。基于token的鉴权机制类似于http协议也是无状态的，它不需要在服务端去保留用户的认证信息或者会话信息。这就意味着基于token认证机制的应用不需要去考虑用户在哪一台服务器登录了，这就为应用的扩展提供了便利。token oauth的优势在于支持跨域访问，服务端易于扩展，适用于移动端，更重要的一点在于解耦，可以适用于多种项目。 基于token的认证机制还有一种JWT的方式，它是一个标准，更简洁，更安全常用于身份认证和信息交换。