游客z25ni244cd7s2_个人页

2025年12月

• 12.18 16:06:51
  发表了文章 2025-12-18 16:06:51

  什么是跨域

  CORS（跨域资源共享）是W3C标准，允许浏览器向跨源服务器发送XMLHttpRequest请求，突破AJAX同源限制。需浏览器和服务器共同支持，现代浏览器均兼容，IE需10以上。通信由浏览器自动完成，开发者无需改变代码，关键在于服务器实现CORS接口即可实现跨域交互。
• 12.18 15:36:16
  发表了文章 2025-12-18 15:36:16

  快速入门

  JMeter默认为英文界面，可通过设置临时切换为中文。在测试计划中添加线程组、HTTP取样器及监听器（如结果树、汇总报告），即可进行基本性能测试。如需永久使用中文，需修改bin目录下jmeter.properties文件，添加language=zh_CN，注意去掉注释符#并使用下划线。
• 12.18 15:34:50
  发表了文章 2025-12-18 15:34:50

  负载均衡算法

  负载均衡算法包括随机、轮询、最小活跃数、源地址哈希和一致性哈希。随机与加权随机适用于性能相近或差异明显的服务器；轮询按序调用，加权版本可分配不同权重；最小活跃数动态调度至负载低的节点；源地址哈希确保同一IP请求固定服务器；一致性哈希减少节点变动时的数据迁移，提升稳定性。
• 12.18 15:34:44
  发表了文章 2025-12-18 15:34:44

  RESTful使用进阶

  设计RESTful API需在初期引入“资源”概念，避免URI含动词，应使用名词表示资源，动词由HTTP方法（GET、POST等）表达。每个URI代表唯一资源，不同URI可指向同一资源，但一URI不应对应多个资源。通过HTTP方法实现CRUD操作，状态码反映结果，确保接口语义清晰、行为安全且符合规范。
• 12.18 15:33:00
  发表了文章 2025-12-18 15:33:00

  如何使用RESTful

  通过URI对资源进行增删改查：GET获取资源列表或详情，PUT替换资源组或创建单个资源，POST添加新资源或子元素，DELETE删除整组或指定资源，支持JSON、XML等格式。
• 12.18 15:32:05
  发表了文章 2025-12-18 15:32:05

  什么是RESTful

  RESTful是一种资源导向的软件架构风格，将互联网信息抽象为“资源”，通过唯一URI标识，以HTTP方法（如GET、POST等）实现资源的表现层状态转化，支持JSON、XML等多种数据格式，提升系统可伸缩性与简洁性。
• 12.18 15:31:54
  发表了文章 2025-12-18 15:31:54

  为什么需要RESTful

  本文探讨HTTP接口演进历程，从Servlet到SpringMVC，指出当前仍存在的接口设计不规范问题，如订单操作行为不统一、路径定义混乱等。提出应采用RESTful风格，实现资源与行为的标准化映射，具备结构清晰、统一标准、易于维护和扩展的优势，提升接口可读性与系统可维护性。（238字）
• 12.18 15:30:38
  发表了文章 2025-12-18 15:30:38

  数据库设计三范式

  数据库设计三范式简介：第一范式要求字段原子性，不可再分；第二范式在满足第一范式基础上，消除部分依赖，确保主键唯一确定非主键；第三范式消除传递依赖，避免非主键字段间相互决定。范式旨在减少数据冗余、提升维护性，但实际设计需结合业务权衡，不必严格遵循。
• 12.18 15:29:03
  发表了文章 2025-12-18 15:29:03

  常见的网络攻击

  恶意软件指具有破坏性意图的程序，如病毒、勒索软件、间谍软件等，常通过钓鱼邮件或漏洞入侵系统，窃取数据、阻断服务或安装后门。网络钓鱼伪装成可信来源骗取敏感信息。中间人攻击在通信中窃听并篡改数据。DDoS攻击利用大量流量瘫痪系统，近年趋势显示攻击规模与加密手段日益增强。SQL注入通过输入恶意代码获取非法数据访问权限。零日攻击利用未修复漏洞发起突击。DNS隧道则滥用域名协议隐藏恶意通信，实现数据外泄与远程控制。
• 12.18 15:27:56
  发表了文章 2025-12-18 15:27:56

  防御 SQL 注入攻击

  SQL注入可在应用层和网络层检测防御。应用层防御主要包括输入验证（白名单更安全）和使用参数化查询防止恶意SQL构造。同时应过滤敏感字符、处理错误信息，避免泄露数据库细节，提升安全性。
• 12.18 15:27:09
  发表了文章 2025-12-18 15:27:09

  盲注和二阶 SQL 注入

  SQL盲注通过延迟等间接方式判断语句执行，获取敏感信息或篡改数据库。攻击者利用sleep()或耗时操作引发响应延迟，分析执行结果。二阶SQL注入则利用存储后二次执行的数据，隐蔽性强，需结合参数化查询与严格验证防范。
• 12.18 15:27:02
  发表了文章 2025-12-18 15:27:02

  成功的 SQL 注入攻击的后果

  SQL注入攻击可绕过身份验证、窃取敏感信息、篡改或删除数据，甚至执行远程命令。通过构造恶意输入，攻击者能操纵数据库查询逻辑，如利用“admin')--”绕过登录验证，实现未授权访问，危害系统安全。
• 12.18 15:26:08
  发表了文章 2025-12-18 15:26:08

  了解SQL注入

  SQL是用于管理数据库的语言，广泛应用于各类Web应用。因输入验证不足，攻击者可利用SQL注入篡改SQL语句，窃取数据、绕过认证或执行恶意操作。OWASP将其列为头号安全威胁，防范至关重要。
• 12.18 15:26:00
  发表了文章 2025-12-18 15:26:00

  大厂如何解决订单幂等问题

  本文介绍如何在分布式系统中实现接口幂等性，避免重复下单与ABA问题。通过预生成唯一订单号并利用数据库主键约束，确保订单创建的幂等；通过版本号机制，校验并原子更新数据，防止并发修改导致的数据不一致。结合MySQL与Redis，可通用化应用于各类需幂等的业务场景，保障系统可靠性与数据一致性。（238字）
• 12.18 15:24:54
  发表了文章 2025-12-18 15:24:54

  常见注解及使用说明

  本文介绍了SpringMVC中@RequestMapping注解的作用及原理，它用于将HTTP请求映射到控制器方法，实现前后端接口路径对应。并通过@GetMapping等派生注解简化常用请求类型处理，提升开发效率。
• 12.18 15:24:47
  发表了文章 2025-12-18 15:24:47

  自定义注解

  本文介绍如何在Spring框架中通过自定义注解结合AOP与过滤器实现日志、权限控制等功能。涵盖注解定义（@Target、@Retention）、AOP拦截及登录鉴权注解@Login的实战应用，提升代码可读性与复用性。
• 12.18 15:23:25
  发表了文章 2025-12-18 15:23:25

  测试

  本文介绍OAuth四种授权模式测试流程：授权码模式通过登录授权获取code，再换取token；简化模式直接返回token；密码模式以用户名密码换取token；客户端模式则用客户端凭证获取token。四种模式分别适用于不同场景，完成认证后均可成功访问资源服务器。
• 12.18 15:19:44
  发表了文章 2025-12-18 15:19:44

  创建授权模块

  本文介绍如何在Java项目中搭建OAuth2授权服务器：创建工程、导入依赖、配置文件与启动类，并通过`@EnableAuthorizationServer`注解配置授权服务器，实现客户端信息、令牌、授权码等基于数据库的存储与管理。
• 12.18 15:19:37
  发表了文章 2025-12-18 15:19:37

  创建资源模块

  创建Spring Boot工程，导入Web、Security、OAuth2、MyBatis及MySQL依赖，配置数据源与MyBatis，编写启动类与产品查询接口，实现基础安全认证与资源访问控制。
• 12.18 15:18:11
  发表了文章 2025-12-18 15:18:11

  OAuth2.0实战案例

  创建父工程，统一管理Spring Boot与Spring Cloud版本依赖。通过继承spring-boot-starter-parent，导入Greenwich.RELEASE版本的Spring Cloud依赖，配置Maven仓库支持快照版本，为子模块提供标准化构建基础。（238字符）
• 12.18 15:18:01
  发表了文章 2025-12-18 15:18:01

  认识OAuth2.0

  OAuth2.0是一种开放授权标准，允许第三方应用在用户授权下安全访问资源，无需获取用户账号密码。其核心为“令牌机制”，支持四种模式：授权码模式（最安全，适用于Web应用）、简化模式（适用于前端单页应用）、密码模式（需高度信任）和客户端模式（服务间调用）。广泛用于第三方登录、API授权等场景，Spring Security可基于OAuth2实现单点登录与服务间资源共享。
• 12.18 15:16:37
  发表了文章 2025-12-18 15:16:37

  RememberMe用法

  本文介绍Spring Security中RememberMe功能的实现：通过配置`rememberMe()`并设置密钥，用户勾选后可实现关闭浏览器不需重新登录。系统通过`Set-Cookie`返回`remember-me`令牌，后续请求自动携带该Token进行身份校验。但存在安全风险——令牌泄露可能导致非法访问。优化方案为将Token持久化至数据库，并结合二次校验提升安全性。
• 12.18 15:16:28
  发表了文章 2025-12-18 15:16:28

  RememberMe简介

  RememberMe是一种保持用户登录状态的机制，不同于简单存储用户名密码。它通过服务端生成持久化Token，存于Cookie中，用户重开浏览器后自动校验，实现免密登录，提升体验同时兼顾安全，避免因明文保存凭证带来的风险。
• 12.18 15:14:44
  发表了文章 2025-12-18 15:14:44

  自定义认证实现流程

  通过实现UserDetailsService接口并自定义用户认证逻辑，结合Spring Security配置，完成基于数据库的用户权限认证。注册自定义服务类至Security配置，实现登录验证与权限加载，支持表单自定义参数及页面跳转，提升系统安全控制灵活性。
• 12.18 15:14:38
  发表了文章 2025-12-18 15:14:38

  认证流程分析

  `UsernamePasswordAuthenticationFilter` 是 Spring Security 处理表单登录的核心过滤器，拦截 `/login` 的 POST 请求，提取用户名密码并封装成 `UsernamePasswordAuthenticationToken`，交由 `AuthenticationManager` 执行认证。后者通过 `AuthenticationProvider` 链委托给
• 12.18 15:13:44
  发表了文章 2025-12-18 15:13:44

  启动验证

  启动工程后访问 http://localhost:8080/demo/index，自动跳转至自定义登录页，输入用户名 user 及控制台显示的密码，登录后返回接口信息。
• 12.18 15:12:26
  发表了文章 2025-12-18 15:12:26

  后端代码

  本文介绍了Spring Security基础配置：通过定义接口暴露访问路径，创建SecurityConfig配置类实现权限控制。配置中启用表单登录，设置登录页、认证接口、成功/失败跳转地址，并关闭CSRF以简化测试，所有请求均需认证后访问。
• 12.18 15:12:13
  发表了文章 2025-12-18 15:12:13

  自定义认证前端页面

  自定义认证前端页面，包含login.html（2KB）。将代码复制到指定路径，如无对应文件夹需手动创建，实现个性化登录界面。
• 12.18 15:11:40
  发表了文章 2025-12-18 15:11:40

  SecurityFilterChain

  `SecurityFilterChain`是Spring Security中定义过滤器链的接口，其唯一实现`DefaultSecurityFilterChain`负责存储匹配器与过滤器列表。通过`matches()`判断请求是否匹配，并返回对应的过滤器链。它是Web安全配置的核心组件，支撑着整个过滤机制的运行。理解其实现有助于自定义认证流程与页面集成。
• 12.18 15:10:37
  发表了文章 2025-12-18 15:10:37

  FilterChainProxy

  `FilterChainProxy` 是 Spring Security 的核心过滤器链代理，通过 `SecurityFilterChain` 管理多个安全过滤器。其 `doFilter` 方法触发过滤流程，经防火墙校验后，由 `getFilters` 匹配请求并获取对应过滤器列表，最终封装为虚拟链执行，实现细粒度的安全控制。
• 12.18 15:10:30
  发表了文章 2025-12-18 15:10:30

  DelegatingFilterProxy

  在web.xml中配置的DelegatingFilterProxy，实际是Spring Security的入口过滤器。其核心是通过`springSecurityFilterChain`名称从Spring容器获取FilterChainProxy实例，并在doFilter中初始化并调用它，最终实现安全过滤链的执行。
• 12.18 15:08:50
  发表了文章 2025-12-18 15:08:50

  常用过滤器介绍

  Spring Security通过过滤器链实现安全控制，涵盖认证、授权、CSRF防护等。如SecurityContextPersistenceFilter管理上下文，UsernamePasswordAuthenticationFilter处理登录，LogoutFilter处理退出。各过滤器分工明确，按需加载，灵活可配，共同保障Web应用安全。
• 12.18 15:07:27
  发表了文章 2025-12-18 15:07:27

  工程搭建与验证

  本文介绍如何使用阿里云脚手架快速搭建Spring Boot工程。通过官网链接可选择Maven或Gradle构建项目，创建后查看代码目录结构。默认Spring Boot版本为3.0.2，需JDK 17，建议降级至2.7.6以兼容更低JDK版本，提升开发适配性。
• 12.18 15:06:17
  发表了文章 2025-12-18 15:06:17

  认识SpringSecurity

  SpringSecurity是Java领域主流的权限框架，核心功能包括认证与鉴权。支持表单、OAuth2、JWT等多种认证方式，提供URL级、方法级授权及RBAC模型，并具备CSRF防护等安全机制。其架构基于过滤器链，通过FilterChainProxy实现多安全链管理，结合ExceptionTranslationFilter统一处理安全异常，灵活且扩展性强。
• 12.18 15:06:09
  发表了文章 2025-12-18 15:06:09

  实现权限管理的技术

  权限管理技术选型需综合考量。常见方案如Apache Shiro，轻量易用但安全维护弱；Spring Security功能强大、安全性高，适合复杂系统但配置繁琐；自定义ACL契合业务但维护成本高。多数框架基于ACL或RBAC模型封装，选型应结合项目规模与技术栈，权衡易用性、扩展性与学习成本。
• 12.18 15:04:52
  发表了文章 2025-12-18 15:04:52

  通用权限管理模型

  本文介绍了ACL、RBAC等常见权限模型。ACL通过用户/角色与权限直接绑定实现控制；RBAC则基于角色分层授权，包含RBAC0~3四个级别，支持角色继承与职责分离，提升系统权限管理的灵活性与安全性，为权限设计提供理论基础。
• 12.18 15:04:45
  发表了文章 2025-12-18 15:04:45

  什么是权限管理

  权限管理包含认证与授权两大核心：认证验证用户身份，授权分配操作权限。通过ACL、RBAC等模型实现菜单与资源的动态控制，保障系统安全。
• 12.18 15:03:13
  发表了文章 2025-12-18 15:03:13

  自动装配机制

  本文深入解析SpringBoot自动装配机制，从@SpringBootApplication注解入手，剖析其组合注解原理。重点讲解@EnableAutoConfiguration如何通过@AutoConfigurationImportSelector加载spring.factories中配置的自动装配类，结合@AutoConfigurationPackage实现包扫描与Bean注册，揭示SpringBoot“约定优于配置”的底层实现逻辑。
• 12.18 15:00:56
  发表了文章 2025-12-18 15:00:56

  鉴权

  本文介绍基于Spring Security与JWT实现客户端Token认证的完整方案，涵盖登录鉴权、Token生成与验证、权限角色控制等细节，并结合代码演示RBAC安全体系的构建过程。
• 12.18 15:00:05
  发表了文章 2025-12-18 15:00:05

  跨域处理

  本文详解跨域（CORS）问题及解决方案。介绍跨域概念、产生原因，并通过@CrossOrigin注解、全局配置WebMvcConfigurer、自定义Filter三种方式实现跨域资源共享，附完整代码示例与测试过程，帮助开发者快速解决前后端分离项目中的跨域难题。
• 12.18 14:59:00
  发表了文章 2025-12-18 14:59:00

  @Inherited

  @Inherited用于注解上，使子类继承父类中被其修饰的注解，仅适用于类继承关系，接口继承和实现均不继承注解。
• 12.18 14:56:47
  发表了文章 2025-12-18 14:56:47

  Spring Boot中集成Lucence

  Lucene是Apache开源的全文检索库，基于Java开发，通过分词、建立索引实现高效搜索。本文详解其原理，并结合Spring Boot实现英文索引、中文分词及高亮查询，助你快速掌握全文检索技术。
• 12.18 14:56:38
  发表了文章 2025-12-18 14:56:38

  Spring Boot中集成 Shiro

  Shiro是强大易用的Java安全框架，提供认证、授权、加密等功能。本课程详解其三大核心组件（Subject、SecurityManager、Realm）及身份与权限认证流程，并结合Spring Boot演示集成步骤，涵盖自定义Realm、过滤器配置及登录认证实现，帮助开发者快速掌握Shiro在实际项目中的应用。
• 12.18 14:55:06
  发表了文章 2025-12-18 14:55:06

  Spring Boot中集成ActiveMQ

  本文介绍JMS与ActiveMQ基本概念，详解ActiveMQ在Spring Boot中的集成应用。涵盖消息队列的点对点与发布/订阅模式，演示如何通过JmsMessagingTemplate发送消息，并使用@JmsListener实现消费。结合配置说明，完成Queue与Topic的消息通信，助力掌握异步消息处理机制。（238字）
• 12.18 14:52:18
  发表了文章 2025-12-18 14:52:18

  Spring Boot中使用拦截器

  拦截器是Spring Boot中AOP的一种实现，用于拦截动态请求，常用于权限控制、登录验证等场景。它不拦截静态资源（如static目录下的文件），但需注意配置方式对静态资源的影响。通过实现HandlerInterceptor接口，可在请求前、后及完成后执行逻辑。自定义拦截器后，通过WebMvcConfigurer添加路径匹配规则即可生效。支持灵活配置，如排除特定方法拦截，结合注解实现可插拔控制，适用于前后端分离或传统项目中的请求过滤需求。
• 12.18 14:51:22
  发表了文章 2025-12-18 14:51:22

  Spring Boot中使用监听器

  本文介绍了Web监听器的概念及在Spring Boot中的应用，涵盖监听ServletContext、HttpSession和ServletRequest的实战场景，实现数据缓存、在线人数统计与请求信息获取，并详解自定义事件与监听器的实现，适用于微服务间通信等业务需求，具有较强的实用价值。