上一篇文章《开放API网关实践(一)》中的接口设计提到timestamp和nonce两个参数的作用是用来防重放. 本文就重放攻击及其防御进行探讨. 先抛出两个问题: 打开浏览器的调试工具并访问一个网站, 在网络工具中找到一个请求并右键选择Replay. 如图: 上述的重放操作是…

出于安全考虑，现需要将数据库的中敏感信息加密存储到数据库中，但是正常业务交互还是需要使用明文数据，所以查询返回我们还需要经过相应的解密才能返回给调用方。 这个需求说起来不是很难，我们只需要在执行 sql 之前，提前将指定数据进行加密。执行 sql 之后，获取返回结果，再进行的相…

时隔10多天，monkey-api-encrypt发布了第二个版本，还是要感谢一些正在使用的朋友们，提出了一些问题。 如果感觉配置比较繁琐，你的加解密接口很多，需要大量的配置，还可以采用另一种方式来标识加解密，就是注解的方式。 要么使用手动注册Filter的方式开启加解密功能，…

Token授权机制：用户使用用户名密码登录后服务器给客户端返回一个Token（通常是UUID），并将Token-UserId以键值对的形式存放在缓存服务器中。服务端接收到请求后进行Token验证，如果Token不存在，说明请求无效。 时间戳超时机制：用户每次请求都带上当前时间的…

在常规的业务开发中，切记不可把接口服务暴露给任何人都可以访问，不然别人可以任意查看或者修改你的数据，这是很严重的事情。除了常规从网段IP方面限制固定客户端IP的范围，接口本身也要增加安全验证，这里我们使用基于JWT的Token登录认证； 问题是我们如果自定义控制，哪些接口是需要…

做完这一步之后就是选择项目的存储位置。全部完成之后项目的结构如下所示： 这里需要注意的地方是 Gradle 在初始化的时候速度略慢，甚至可能会失败，主要是 Gradle 在初始化时会下载一个 .zip 文件，受到国内网络大环境的影响，该网站响应较慢，不过对此网络上有很多解决的办…

到这里项目就完全创建完成了。 可以看到sql已经进行分页了。

springboot项目，在接收text/plain格式的时候，无法通过@requestBody得到请求中的json信息，需要对请求中的参数进行解析。 异常 type 'text/plain;charset=UTF-8' not supported。