0 - 前言 在业务开发的时候，经常会遇到某一个接口不能对外暴露，只能内网服务间调用的实际需求。面对这样的情况，我们该如何实现呢？今天，我们就来理一理这个问题，从几个可行的方案中，挑选一个来实现。 1

0. 前言 在Java反序列化漏洞挖掘或利用的时候经常会遇到RMI、JNDI、JRMP这些概念，其中RMI是一个基于序列化的Java远程方法调用机制。作为一个常见的反序列化入口，它和反序列化漏洞有着千丝万缕的联系。除了直接攻击RMI服务接口外（比如：CVE-2017-3241）…

2021年12月10日凌晨前，网上曝出了 log4j2 的核弹级漏洞，这种漏洞超级高危，操作简单，利用方便，适用范围广，可以直接任意代码执行，接管你的服务器

最近开始做新项目，是一个toC项目，之前的登录接口是一个实习生写的，偶然间另一位同事看了看项目代码之后跟我说为了提高安全性，修改了登录接口。。。 背景 笔者在做的一个项目之前的登录接口是实习生写的，登

幂等是一个数学与计算机学概念，在数学中某一元运算为幂等时，其作用在任一元素两次后会和其作用一次的结果相同。 [在计算机中编程中，一个幂等操作的特点是其任意多次执行所产生的影响均与一次执行的影响相同。幂等函数或幂等方法是指可以使用相同参数重复执行，并能获得相同结果的函数。这些函数…

幂等是一个数学与计算机学概念，在数学中某一元运算为幂等时，其作用在任一元素两次后会和其作用一次的结果相同。 幂等函数或幂等方法是指可以使用相同参数重复执行，并能获得相同结果的函数。这些函数不会影响系统状态，也不用担心重复执行会对系统造成改变。 在HTTP/1.1中，对幂等性进行…

数字签名、信息加密 是前后端开发都经常需要使用到的技术，应用场景包括了用户登入、交易、信息通讯、oauth 等等，不同的应用场景也会需要使用到不同的签名加密算法，或者需要搭配不一样的 签名加密算法 来达到业务目标。这里简单的给大家介绍几种常见的签名加密算法和一些典型场景下的应用…

接口的安全性主要围绕Token、Timestamp和Sign三个机制展开设计，保证接口的数据不会被篡改和重复调用。 用户使用用户名密码登录后服务器给客户端返回一个Token（通常是UUID），并将Token-UserId以键值对的形式存放在缓存服务器中。服务端接收到请求后进行T…

最近公司业务需要对外提供接口，之前没有什么对外接口开发经验所以最近找了很多文章，恶补了一下对外接口开发知识，这篇算是自己开发接口的一个总结吧。下图我设计接口的大体流程 请求报文在网络传输过程中可能会被劫持篡改请求参数信息，导致服务端接收错误的参数。所以我们引入签名机制，就好比一…