ErgouTree's Blog

开始演示前的准备工作 搭建项目 其实设计三个子模块足矣 服务名 功能 数据库 order-service 创建订单（主业务入口） order_db account-service 扣减用户余额 account_db storage-service 扣减库存 storage_db 这是 Seata 官方示例的经典三服务模型，非常适合演练 集成 Seata Server 到你的项目中 下载 Seata Server（如 1.7.0），https://github.com/seata/seata/releases，然后把依赖添加到每个子项目中，这个就不说了，关于 Seata 如何安装配置，就不讲了 那么在项目开始编写之前，需要进入 seata-server/bin/ 目录运行seata-server.bat然后启动seata，如果你配置了 Nacos...

Nginx是什么 因为我之前没怎么接触过 nginx，个人配置 Web 服务器几乎全部使用 Apache，所以说我也是重新学习一下 Nginx是 lgor Sysoev 为俄罗斯访问量第二的 rambler.ru 站点设计开发的。从2004年发布至今，凭借开源的力量，已经接近成熟与完善。 Nginx 是一种代理服务器，代理服务器是一种位于客户端与服务器之间的中间层服务器，其主要功能是转发客户端的请求到目标服务器，并将目标服务器的响应返回给客户端，并在中间提供各种功能。在生产环境中，几乎所有现代 Web 应用架构都会将...

...

了解HTTP协议 HTTP 简介 HTTP 是 Hyper Text Transfer Protocol，超文本传输协议，HTTP是万维网的数据通信的基础，是互联网的基石。 因为 HTTP 定义了客户端（如浏览器）与服务器之间如何通信，以传输超文本（如 HTML、图片、视频等）。作为应用层协议，HTTP 基于 TCP 协议（默认端口 80），并通过请求 - 响应模型实现数据交换。 HTTP的发展是由 蒂姆·伯纳斯·李 于1989年在欧洲核子研究组织（CERN）所发起，最初版本为HTTP/0.9，仅支持 GET 方法和纯文本响应。HTTP 在 1.0 实现了允许非持久连接。 HTTP的标准制定由万维网协会（World Wide Web Consortium，W3C）和互联网工程任务组（Internet Engineering Task Force，IETF）进行协调，最终发布了一系列的RFC，其中最著名的是1999年6月公布的 RFC 2616，定义了HTTP协议中现今依旧广泛使用的一个版本——HTTP 1.1。而 HTTP 2.0 标准于...

HTTP协议 对HTTP协议的详解先不放到这里，移到了另外一章，看到这篇的默认认为了解 HTTP 协议 https://www.ergoutreegal.cn/posts/30445.html RPC协议 为什么要有RPC协议 RPC，全称 Remote Procedure Call，远程过程调用，是一种允许程序调用另一个地址空间（通常是在网络中的另一台计算机上）的程序的协议。它使得程序能够像调用本地函数一样调用远程函数，而无需显式编码这些远程交互的细节。 但这个名字起的一点都不好，过分强调了和LPC（本地过程调用）的对比。没有突出出来 RPC 本身涉及到的一些技术特点。 我非常同意上述观点，跟他妈的鲁棒性那个翻译似的 什么意思 假设你有两台电脑： 本地电脑 A：你写的程序运行在这里，想获取用户信息； 远程电脑 B：数据库在这，有一个 getUserInfo(userId) 函数能查用户信息。 如果没有 RPC，你要实现 “调用 B 的函数”，得自己做这些事： 手动写网络通信代码，比如用 Socket，把...

前置芝士 了解Session Session就是会话（会话管理，Session Management），是指服务器用来跟踪用户状态的一种机制。 因为 HTTP 协议是无状态（Stateless）的。这意味着服务器处理完你的一个请求后，就会立刻“忘记”你是谁。 一旦你有了一个 认证请求 的应用程序，重要的是要考虑如何在未来的请求中持久化和恢复所产生的认证。 Spring Security 虽然会在默认情况下是自动完成的，所以不需要额外的代码。但是，如果没有 Session，你每点击一个网页都需要重新登录。 那么它是如何工作的呢？当你登录成功后，服务器会在内存（或数据库）中开辟一块空间存储你的信息，并生成一个唯一的 Session ID。 服务器通过响应头将这个 Session ID 发给浏览器，浏览器通常将其存入 Cookie 中。后续你发送请求时，浏览器会自动带上这个 Cookie，服务器识别 ID 后就知道：“哦，又是那个已经登录过的二狗”。 而引入 Session...

如何实践OAuth2 前言 从授权服务器的搭建、客户端的配置，到令牌的生成与验证，Spring Security OAuth2 等组件已将协议细节封装为可复用的接口与注解，让开发者无需深入钻研协议底层，即可快速实现 “用微信登录自研系统”“用 GitHub 账号接入企业平台” 等场景。 正好，我的项目需要引入第三方登录，我们以 github 第三方登录为例子，来在 Spring Security 中使用 OAuth2 至于为什么不用微信，QQ，钉钉等这种国内更常用的，你可以去看看，申请这些东西有多复杂，不仅需要整体的备案，还需要上线服务，显然，对于第三方登录的实践，国内平台是不太合适的 有空我也想使下 OSU！的三方登录）） 先给大家看一下基本的项目结构 image-20251115145142724 OAuth2的第三方登录的业务应该如何设计 那么，最重要的部分就是 OAuth2 业务如何设计 在老式的设计中，开发人员可能会在 User 表里加 google_id,...

OAuth2 协议 为什么需要 OAuth 协议 第三方应用需要用户在其他平台的资源，但用户不愿、也不应暴露核心账号密码，怎么办？ OAuth2.0 协议的核心价值是解决「第三方应用访问用户在另一平台的资源」时的安全与信任问题，避免账号密码泄露和权限滥用。 我们假设这样的一个场景 在 A 需访问用户在 B 的相片资源的场景中，直接用账号密码验证的方案存在致命问题： 用户信任危机：用户需向 A 暴露 B 的账号密码，无法确认 A 是否会窃取、滥用这些核心凭证。 平台信任危机：B 无法保证 A 仅将账号密码用于即时访问，可能被 A 存储、批量收集，导致用户信息泄露风险。 权限无边界：账号密码是最高权限凭证，一旦泄露，攻击者或恶意 A 可对用户在 B 的资源执行任意操作（如删改相片、篡改信息）。 凭证无法管控：账号密码一旦提供给 A，用户无法单方面收回权限，只能通过修改密码，操作繁琐且影响自身使用。 这种情况就是，直接提供凭证的方案的不可解决的安全与信任漏洞 image-20251115134720814 OAuth2.0...

安全与便利的天平往往难以把握——过于宽松的配置可能导致敏感数据泄露，过于严格的策略又会影响正常业务交互 什么是跨域？为什么会有跨域？ 同源策略 其实这是一个很简单的东西，但是配置不好确实很容易让人头疼 CORS 的出现是为了解决浏览器的同源策略限制，我们先从同源策略说起 浏览器这样定义的同源：两个 URL 的协议、域名（主机名）、端口三者完全相同，才被视为 同源。 所以说，在开发前后端分离的项目的时候，由于前端项目和后端项目运行在不同的端口上，天然跨域产生了，配置不好的话经常会出现这种导致的500的问题，浏览器发起请求时，请求会发送出去，服务器也会处理并返回，但是浏览器会在门口把响应拦截下来并报错，不让前端 JS 代码拿到数据。 同源策略其实是浏览器的一种安全机制，防止恶意网站通过 JavaScript 获取另一个网站的敏感数据（比如 cookie、localStorage、API 返回的用户信息）。如果没有同源策略，黑客可以轻易伪造用户请求，窃取数据。 浏览器默认遵循同源策略。它规定：A 网站的 JavaScript (如...

认识CSRF攻击 什么是 CSRF 在之前，我们配置 SecurityConfig 的时候，一直有一个配置就是 .csrf()，回忆一下之前使用 Spring Security 默认页登录的时候，该配置 Spring Security 默认开启，主要做用于 CSRF 防护 CSRF（Cross-Site Request Forgery ，也就是跨站请求伪造），也可称为一键式攻击（one-click-attack）或 Session Riding（会话劫持），通常缩写为 CSRF 或者 XSRF。 CSRF 攻击是一种挟持用户在当前已登录的浏览器上发送恶意请求的攻击方法。 相对于 xss 利用用户对指定网站的信任，CSRD 则是利用网站对用户网页浏览器的信任。简单总结：XSS 是 “偷” 你的信息，CSRF 是 “借” 你的身份去做事。 它是一种常见的网络攻击手段，攻击者诱导用户在已登录目标网站的状态下，去访问一个恶意网站或点击恶意链接，从而在用户不知情的情况下，以用户的身份向目标网站发送伪造的请求，执行攻击者预设的操作。 什么意思，那些...

Token持久化 Token 持久化实际上用到的最多的场景就是登录时候的记住我 这是 Spring Security 最经典、最常用的 Token 持久化场景。它允许用户在关闭浏览器后（会话失效），下次访问时无需重新登录，依然允许用户自动登录。 它的核心机制有两种形式，现在基本上用的最多的就是持久化令牌方案，因为它更安全，它通过在数据库中存储一个随机生成的“系列号（Series）”和“令牌（Token）”来验证身份。 工作原理： 用户登录时勾选“记住我”。 服务器生成一对随机数：Series（固定，代表该设备登录会话）和 Token（动态，每次自动登录都会更新）。 这两者与用户名、过期时间一起存入数据库，并以 Cookie 形式发给浏览器。 下次访问时，Spring Security 检查 Cookie，检查 Cookie 中的 Token 用于请求自动登录，如果 Series 匹配但 Token 不匹配，说明 Token 可能被盗用（重放攻击），系统会立即失效该用户的所有持久化令牌，则用户需要重新认证。 img Spring...

继续接着上 授权管理实例 RBAC 在之前的设计中，我们严格按照了 RBAC 模型设计了三层关系 用户 User：多对多关联角色，也就是用户可以被赋予一个或多个角色 12345678910@Entity@Table(name = "users")...@ManyToMany(fetch = FetchType.LAZY)@JoinTable( name = "user_roles", joinColumns = @JoinColumn(name = "user_id"), inverseJoinColumns = @JoinColumn(name = "role_id"))private Set<Role> roles = new HashSet<>(); 角色 Role：承上启下，连接用户和权限 12345678910111213@Entity@Table(name =...

两种路由模式 Vue Router 使用两种主要的方式来监听 URL 的变化：一种是基于浏览器的 history API，另一种是基于 hash 变化。这两种方式分别对应 history 模式和 hash 模式。 不管是 hash 模式还是 history 模式，核心目的都是在不刷新整个页面的前提下，实现前端路由的切换（单页应用 SPA 的核心需求），只是监听 URL 变化的方式和 URL 表现形式不同。 history 模式 在 history 模式下，Vue Router 利用 HTML5 的 history API 来实现路由的切换。（pushState、replaceState 和 popstate 事件） 这些 API 允许开发者在不刷新页面的情况下，修改浏览器的历史记录栈，并且 URL 中不再包含 # 符号 Vue Router 会监听浏览器的 popstate 事件（当用户点击浏览器的前进 / 后退按钮时触发），同时通过 pushState/replaceState 方法修改...