本文所介绍的项目是一个基于oath2协议的应用，实现的的功能逻辑与QQ互联，微博开放平台类似，都是同一套认证授权流程。 项目结构简单易懂，却不偷工减料，在学习完本文内容后，读者可以直接获取文中的项目代码用于学习或者copy到公司的生产项目中修改后使用，真正达到学以致用的目的。 …

在开发的过程中，遇到了外部调用内部敏感接口场景。为了保证接口的安全，基于微信公众号消息验证机制，实现了一套安全验证流程。

前段时间做了一个小插件，需要调用一个查询指定期号中奖号码的Api接口，找了很多开放的接口，都不合我意，要么限速，要么收费，要么进群。还可能不稳定，接口动不动就被改掉了，导致访问失败。遂罢。 首先实现的是给自己用的福彩相关的Api，推荐给朋友后试着还不错，于是在朋友的推荐下新增了…

上一篇文章《开放API网关实践(一)》中的接口设计提到timestamp和nonce两个参数的作用是用来防重放. 本文就重放攻击及其防御进行探讨. 先抛出两个问题: 打开浏览器的调试工具并访问一个网站, 在网络工具中找到一个请求并右键选择Replay. 如图: 上述的重放操作是…

随着业务的发展, 所对接的第三方越来越多, 各个业务系统面临着同样一个问题: 如何让第三方安全快速接入. 此时有一个集验签、鉴权、限流、降级等功能于一身的API网关服务变得尤为重要. 接下来将分享如何设计实现一个轻量级的API开放网关, 包括接口设计、数据库设计、签名验签方案、…

在前两篇文章中我介绍了OAuth2.0协议的基本概念（https://www.zifangsky.cn/1309.html）以及OAuth2.0授权服务端从设计到实现（https://www.zifangsky.cn/1313.html）。这篇文章中我将介绍OAuth2.0授权…

埋点，是网站分析的一种常用的数据采集方法。我们主要用来采集用户行为数据（例如页面访问路径，点击了什么元素）进行数据分析，从而让运营同学更加合理的安排运营计划。现在市面上有很多第三方埋点服务商，百度统计，友盟，growingIO 等大家应该都不太陌生，大多情况下大家都只是使用，最…

开发高并发系统时有多重系统保护手段, 如缓存、限流、降级等. 在网关层, 限流的应用比较广泛. 很多情况下我们可以认为网关上的限流与业务没有很强的关联(与系统的承载能力有关), 且各个子系统都有限流这种需求, 将部分限流功能放到网关会比较合适. 众所周知, 服务器、网站应用的处…