看点: 月影谈：如何做技术管理？跳槽看钱还是成长？程序员如何做副业？；深入理解web安全攻防策略；vivo 全球商城：电商平台通用取货码设计；基于React Native的动态列表方案探索

去年底转转启动建设统一权限管理系统，到今天公司大部分业务系统都已经用上了。本系列将会分为三部分来分享下转转新权限系统的设计与实现。今天先分享第一部分设计篇，后续还将分享后端架构和前端架构部分。

1. 项目截图 2. 功能实现 3. 具体说明 1. 文件结构 2. 配置文件（config 包） 3. web.xml 4. 实体类（User.java） 5. 自定义异常 6. 映射器 6. 验证码 7. Service 层 8. Controller

每个Broker有一个ID和密码，Broker和Server事先已知道。 当Client第一次访问Broker时，它会创建一个随机令牌，该令牌存储在cookie中。然后Broker将Client重定向到Server，传递Broker的ID和令牌。Server使用Broker的I…

为了防止通过程序进行暴力登录等, 系统在登录时都会增加验证码用来分区是人为登录还是使用程序登录. 验证码的原理很简单: 在用户访问登录页面时请求服务器生成验证码, 服务器将生成的验证码保存至SESSION后生成验证码图片并显示在登录页面, 由于程序识别图片内容的成功率较低, 而…

针对数字签名进行分析，比较三种算法异同，并用 Java 实现 RSA、DSA、ECDSA 算法的签名与验签

这篇文章写一下前后端分离下的登录解决方案，目前大多数都采用请求头携带 Token 的形式。 前端得到 401 状态码，重定向到登录页面。 使用 respone 拦截器，对 2xx 状态码以外的结果进行拦截。 如果状态码是401，则有可能是 Token 过期，跳转到登录页。 上面…

HTTP协议是纯文本协议，没有任何加密措施。通过HTTP协议传输的数据都可以在网络上被完全监听。如果用户登陆时将用户名和密码直接明文通过HTTP协议传输过去了，那么密码可能会被黑客窃取。 一种方法是使用非对称加密。GET登陆页面时，将公钥以Javascript变量的形式暴露给浏…

资源服务器验证令牌（Access Token），校验通过，并返回第三方所请求的资源。 注：这两者有时候可能存在同一个应用程序中（即SOA架构）。在Spring OAuth中可以简便的将其分配到两个应用中（即微服务），而且可多个资源获取服务共享一个授权认证服务。 注：其中clie…