Java 业务开发常见错误 100 例
朱晔
贝壳金服资深架构师
52944 人已学习
新⼈⾸单¥59
登录后,你可以任选4讲全文学习
推荐试读
换一换
课程目录
已完结/共 48 讲
开篇词 (1讲)
开篇词 | 业务代码真的会有这么多坑?
时长 14:28
代码篇 (23讲)
01 | 使用了并发工具类库,线程安全就高枕无忧了吗?
时长 18:29
02 | 代码加锁:不要让“锁”事成为烦心事
时长 17:20
03 | 线程池:业务代码最常用也最容易犯错的组件
时长 22:12
04 | 连接池:别让连接池帮了倒忙
时长 23:42
05 | HTTP调用:你考虑到超时、重试、并发了吗?
时长 21:10
06 | 20%的业务代码的Spring声明式事务,可能都没处理正确
时长 20:44
答疑篇:代码篇思考题集锦(一)
时长 17:29
07 | 数据库索引:索引并不是万能药
时长 25:25
08 | 判等问题:程序里如何确定你就是你?
时长 20:31
09 | 数值计算:注意精度、舍入和溢出问题
时长 14:29
10 | 集合类:坑满地的List列表操作
时长 18:50
11 | 空值处理:分不清楚的null和恼人的空指针
时长 23:42
12 | 异常处理:别让自己在出问题的时候变为瞎子
时长 18:25
答疑篇:代码篇思考题集锦(二)
时长 14:02
13 | 日志:日志记录真没你想象的那么简单
时长 22:29
14 | 文件IO:实现高效正确的文件读写并非易事
时长 16:11
15 | 序列化:一来一回你还是原来的你吗?
时长 22:20
16 | 用好Java 8的日期时间类,少踩一些“老三样”的坑
时长 21:28
17 | 别以为“自动挡”就不可能出现OOM
时长 17:53
18 | 当反射、注解和泛型遇到OOP时,会有哪些坑?
时长 16:57
19 | Spring框架:IoC和AOP是扩展的核心
时长 17:44
20 | Spring框架:框架帮我们做了很多工作也带来了复杂度
时长 22:41
答疑篇:代码篇思考题集锦(三)
时长 18:49
设计篇 (7讲)
21 | 代码重复:搞定代码重复的三个绝招
时长 18:22
22 | 接口设计:系统间对话的语言,一定要统一
时长 20:04
23 | 缓存设计:缓存可以锦上添花也可以落井下石
时长 22:03
24 | 业务代码写完,就意味着生产就绪了?
时长 22:53
25 | 异步处理好用,但非常容易用错
时长 20:20
26 | 数据存储:NoSQL与RDBMS如何取长补短、相辅相成?
时长 20:41
答疑篇:设计篇思考题答案合集
时长 22:23
安全篇 (5讲)
27 | 数据源头:任何客户端的东西都不可信任
时长 16:32
28 | 安全兜底:涉及钱时,必须考虑防刷、限量和防重
时长 14:46
29 | 数据和代码:数据就是数据,代码就是代码
时长 21:15
30 | 如何正确保存和传输敏感数据?
时长 24:45
答疑篇:安全篇思考题答案合集
时长 12:20
加餐 (9讲)
31 | 加餐1:带你吃透课程中Java 8的那些重要知识点(一)
时长 16:42
32 | 加餐2:带你吃透课程中Java 8的那些重要知识点(二)
时长 14:28
33 | 加餐3:定位应用问题,排错套路很重要
时长 23:16
34 | 加餐4:分析定位Java问题,一定要用好这些工具(一)
时长 14:31
35 | 加餐5:分析定位Java问题,一定要用好这些工具(二)
时长 18:16
36 | 加餐6:这15年来,我是如何在工作中学习技术和英语的?
时长 16:34
答疑篇:加餐篇思考题答案合集
时长 08:43
37 | 加餐7:程序员成长28计
时长 26:59
38 | 加餐8:Java程序从虚拟机迁移到Kubernetes的一些坑
时长 12:51
结束语 (3讲)
结束语 | 写代码时,如何才能尽量避免踩坑?
时长 11:10
结课测试 | 关于Java业务开发的100个常见错误,你都明白其中缘由了吗?
时长 00:35
结课问卷获奖用户名单
时长 01:35
Java 业务开发常见错误 100 例
15
15
1.0x
00:00/00:00
登录|注册

答疑篇:安全篇思考题答案合集

朱晔
HTTPS双向认证
对账
XSS
SQL注入
客户端数据相关的漏洞
敏感数据
安全兜底
数据源头
思考题集锦

该思维导图由 AI 生成,仅供参考

你好,我是朱晔。
今天,我们继续一起分析这门课“安全篇”模块的第 27~30 讲的课后思考题。这些题目涉及了数据源头、安全兜底、数据和代码、敏感数据相关的 4 大知识点。
接下来,我们就一一具体分析吧。

27 | 数据源头:任何客户端的东西都不可信任

问题 1:在讲述用户标识不能从客户端获取这个要点的时候,我提到开发同学可能会因为用户信息未打通而通过前端来传用户 ID。那我们有什么好办法,来打通不同的系统甚至不同网站的用户标识吗?
答:打通用户在不同系统之间的登录,大致有以下三种方案。
第一种,把用户身份放在统一的服务端,每一个系统都需要到这个服务端来做登录状态的确认,确认后在自己网站的 Cookie 中保存会话,这就是单点登录的做法。这种方案要求所有关联系统都对接一套中央认证服务器(中央保存用户会话),在未登录的时候跳转到中央认证服务器进行登录或登录状态确认。因此,这种方案适合一个公司内部的不同域名下的网站。
第二种,把用户身份信息直接放在 Token 中,在客户端任意传递,Token 由服务端进行校验(如果共享密钥话,甚至不需要同一个服务端进行校验),无需采用中央认证服务器,相对比较松耦合,典型的标准是 JWT。这种方案适合异构系统的跨系统用户认证打通,而且相比单点登录的方案,用户体验会更好一些。
确认放弃笔记?
放弃后所记笔记将不保留。
新功能上线,你的历史笔记已初始化为私密笔记,是否一键批量公开?
批量公开的笔记不会为你同步至部落
公开
同步至部落
取消
完成
0/2000
荧光笔
直线
曲线
笔记
复制
AI
  • 深入了解
  • 翻译
    • 英语
    • 中文简体
    • 中文繁体
    • 法语
    • 德语
    • 日语
    • 韩语
    • 俄语
    • 西班牙语
    • 阿拉伯语
  • 解释
  • 总结

本文涵盖了多个技术领域,包括安全防护、系统监控和异常处理等方面。首先,讨论了打通不同系统用户标识的三种方案,包括单点登录、JWT和OAuth 2.0的授权码模式。其次,针对开放重定向问题提出了三种代码层面的预防方法。接着,介绍了及时发现系统被攻击或利用的监控手段和对账中发现调用量低于对方系统记录的问题的解决方法。最后,讨论了SQL注入中的联合查询注入和FreeMarker模板引擎中的HTML转义处理方法。文章还涉及了日志脱敏和HTTPS双向认证的相关思路。总体而言,本文内容丰富,对于技术人员具有一定的参考价值。

仅可试看部分内容,如需阅读全部内容,请付费购买文章所属专栏
《Java 业务开发常见错误 100 例》新⼈⾸单¥59
立即购买
© 版权归极客邦科技所有,未经许可不得传播售卖。 页面已增加防盗追踪,如有侵权极客邦将依法追究其法律责任。
07 | 数据库索引:索引并不是万能药
08 | 判等问题:程序里如何确定你就是你?
33 | 加餐3:定位应用问题,排错套路很重要
21 | 代码重复:搞定代码重复的三个绝招
35 | 加餐5:分析定位Java问题,一定要用好这些工具(二)
28 | 安全兜底:涉及钱时,必须考虑防刷、限量和防重
登录 后留言

全部留言(1)

  • 最新
  • 精选
  • 鲁鸣
    重定向最好是服务端做,并且基于白名单进行
    2021-01-17
    2
收起评论
显示
设置
留言
1
收藏
沉浸
阅读
分享
手机端
快捷键
回顶部