华为云账号：alex_cool微信昵称:海之梦关于验证码除了纯字符的哪种，那些滑动图片，按要求点击倒立文字的验证码实现原理也一样吗？

华为云账号：alex_cool微信昵称:海之梦StrictHttpFirewall是Spring Security Web提供的一个HTTP防火墙(对应概念模型接口HttpFirewall)实现,该实现采用了严格模式，遇到任何可疑的请求，会通过抛出异常RequestRejectedException拒绝该请求。StrictHttpFirewall也是Spring Security Web在安全过滤器代理FilterChainProxy内置缺省使用的HTTP防火墙机制。该防火墙实现使用如下规则决定是否拒绝一个请求:不在HTTP method许可清单的请求会被拒绝。HTTP method许可清单通过方法setAllowedHttpMethods(Collection)设置。缺省被允许的HTTP method有 [DELETE, GET, HEAD, OPTIONS, PATCH, POST, PUT]。如果请求URL 不是标准化(normalize)的URL则该请求会被拒绝，以避免安全限制被绕过。

华为云账号：alex_cool微信昵称:海之梦1、攻击者Attacker能正常访问该应用网站；2、应用网站服务器返回一个会话ID给他；3、攻击者Attacker用该会话ID构造一个该网站链接发给受害者Victim；4-5、受害者Victim点击该链接，携带攻击者的会话ID和用户名密码正常登录了该网站，会话成功建立；6、攻击者Attacker用该会话ID成功冒充并劫持了受害者Victim的会话。防御固定攻击非常简单只需要在用户登录之后重新生成新的session就行。在spring security中，使用sessionManagement（会话管理的配置器）来防御会话固定攻击，其防御策略有四种none： 不做任何变动，登录过后仍然使用旧的sessionnewSession：登录之后创建一个新的sessionmigrateSession: 登录之后创建一个session，并将旧的session的数据复制到新的session里面 ---->默认changeSessionId：不创建新的会话，而是使用由servlet容器提供的会话固定保护。

华为云账号：alex_cool微信昵称:海之梦1、攻击者Attacker能正常访问该应用网站；2、应用网站服务器返回一个会话ID给他；3、攻击者Attacker用该会话ID构造一个该网站链接发给受害者Victim；4-5、受害者Victim点击该链接，携带攻击者的会话ID和用户名密码正常登录了该网站，会话成功建立；6、攻击者Attacker用该会话ID成功冒充并劫持了受害者Victim的会话。防御固定攻击非常简单只需要在用户登录之后重新生成新的session就行。在spring security中，使用sessionManagement（会话管理的配置器）来防御会话固定攻击，其防御策略有四种none： 不做任何变动，登录过后仍然使用旧的sessionnewSession：登录之后创建一个新的sessionmigrateSession: 登录之后创建一个session，并将旧的session的数据复制到新的session里面 ---->默认changeSessionId：不创建新的会话，而是使用由servlet容器提供的会话固定保护。

华为云账号：alex_cool微信昵称 : 海之梦用户表的密码通常使用MD5等不可逆算法加密后存储，为防止彩虹表破解更会先使用一个特定的字符串（如域名）加密，然后再使用一个随机的salt（盐值）加密。特定字符串是程序代码中固定的，salt是每个密码单独随机，一般给用户表加一个字段单独存储，比较麻烦。BCrypt算法将salt随机并混入最终加密后的密码，验证时也无需单独提供之前的salt，从而无需单独处理salt问题。在注册时，需要对用户密码加密应用 BCryptPasswordEncoder 之后，明文密码是无法被识别的，就会校验失败，只有存入密文密码才能被正常识别。所以，应该在注册时对用户密码进行加密。新用户注册后，数据库中就会存入密文密码。

华为云账号：alex_cool微信昵称 : 海之梦1. 用户提交用户名、密码被SecurityFilterChain中的 UsernamePasswordAuthenticationFilter 过滤器获取到，封装为请求Authentication，通常情况下是UsernamePasswordAuthenticationToken这个实现类。2. 然后过滤器将Authentication提交至认证管理器（AuthenticationManager）进行认证3. 认证成功后， AuthenticationManager 身份管理器返回一个被填充满了信息的（包括上面提到的权限信息，身份信息，细节信息，但密码通常会被移除） Authentication 实例。4. SecurityContextHolder 安全上下文容器将第3步填充了信息的 Authentication ，通过SecurityContextHolder.getContext().setAuthentication(…)方法，设置到其中

华为云账号：alex_cool微信昵称：海之梦Spring Security 命名空间的引入可以简化我们的开发，它涵盖了大部分 Spring Security 常用的功能。它的设计是基于框架内大范围的依赖的，可以被划分为以下几块。Web/Http 安全：这是最复杂的部分。通过建立 filter 和相关的 service bean 来实现框架的认证机制。当访问受保护的 URL 时会将用户引入登录界面或者是错误提示界面。业务对象或者方法的安全：控制方法访问权限的。AuthenticationManager：处理来自于框架其他部分的认证请求。AccessDecisionManager：为 Web 或方法的安全提供访问决策。会注册一个默认的，但是我们也可以通过普通 bean 注册的方式使用自定义的 AccessDecisionManager。AuthenticationProvider：AuthenticationManager 是通过它来认证用户的。UserDetailsService：跟 AuthenticationProvider 关系密切，用来获取用户信息的。

【单选】据Gartner预测，到2024年，有__B__的应用开发将使用low code开发平台进行 A. 60%   B. 65%   C. 70%  D. 75% 【单选】以下哪项不属于AppCude平台的能力：A A. 线下开发，线上调试 B. 全场景可视化开发 C. 多平台部署适配 D. 与领域技术紧密结合 2.【单选】“电表电压、台区温度采集”场景中，采集电压时，与边侧硬件设备进行直接通讯的协议节点是：C A. ttu-gpio B. dlt645 C. rs485 D. redis 3.【单选】"订单创建及查询流程编排"场景中，生成order订单节点的方式是：D A. hard coding B. 接口元数据生成 C. 预置下载 D. 可视化前端构建 4.例举出一个演示过程中涉及到的边侧硬件设备 __TTU__

华为云账号: alex_cool微信昵称: 海之梦

第五天：华为云账号：alex_cool微信昵称：海之梦所谓“低代码”，即区别于传统的编程方式，通过单击用户界面而就可以创建软件，从而减少开发新软件所需的手工编码。那么低代码平台的一些吸引人之处：视觉上面向“拖放”式开发工具，而不是传统的手工编码。结合了数据集成平台、ETL工具、BPM应用程序的强大功能。快速部署，允许在数天或者数周内交付企业级别应用程序开发，而不是数月或数年。尽管这仍然是一个不断发展的新兴市场，但许多分析人士认为，随着越来越多的企业已经习惯了低代码原则，并开始采用各种形式的低代码方法，低代码将逐渐成为主流。所以，现在我们会听到大量低代码解决方案运用到许多应用场景上的实例，比如销售、营销、业务流程管理平台，以及数据集成、数据科学、内容管理、分析、机器人流程自动化和认知平台的解决方案，还有许多其他方面。