Think in java

shanghai,china quarkfinance @zhanghaichang
  1. 你的 Java web 配置安全吗?

    在web安全领域,黑客常常利用web应用的漏洞,将攻击脚本(webshell)上传至服务器,便可以获得一个与web应用具有相同权限的控制权限。但是很多公司直接给web应用ROOT权限,致使黑客在渗透突破的第一步就获取到了最高权限,这是一种非常不安全的做法,当然权限管理不是本文主题,这里就不做过多的讨论了。 1.糟糕透顶的明文配置 黑客在攻破一个web服务器后决不会就此罢手,会开展进行一步的渗透攻击,黑客的最终目的是获得数据,因此web应用连接数据库等一些数据服务的配置信息,就会成为黑客第一时间要收集的信息。然而,很多多公司的web配置文件全部采用明文的方式进行配置,使得数据库连接地址,账号密码等一览无余,具体配置如下: 遇到这样的系统,黑客一旦获取web权限,便可以不费吹灰之力得到mysql数据库的权限,我相信很多网站都是这样去进行数据库连接信息配置的,是极其不安全的。那应该怎么办?如果我们能将关键的配置信息进行加密处理,就能大大增加黑客直接获取到数据库连接信息的难度。本文基于Spring Boot项目来介绍一个第三方的用于配置文件加密保护的项。

    2017/10/08

  2. Spring 事件

    今天来简单地聊聊事件驱动,其实写这篇文章挺令我挺苦恼的,因为事件驱动这个名词,我没有找到很好的定性解释,担心自己的表述有误,而说到事件驱动可能立刻联想到如此众多的概念:观察者模式,发布订阅模式,消息队列MQ,消息驱动,事件,EventSourcing…为了不产生歧义,笔者把自己所了解的这些模棱两可的概念都列了出来,再开始今天的分享。

    2017/10/07

  3. 浏览器背后的秘密

    这个题目看似很简单,当你去深入分析的时候,就会发现内部其实很复杂。 简单主要体现在用户使用层面。HTTP的请求、响应和解析相对用户来说是透明的;比如,当我们在浏览器或者curl输入一个地址,直接敲回车,就能够返回给我们想要的结果。但是,背后计算机做了那些事情?对于用户来说没必要清楚,但对于做开发的我们来说,必需要搞清楚才行哦,便于我们分析bug。

    2017/10/05

  4. web.xml 配置文件context,listener,filter,servlet加载顺序

    web.xml加载过程(步骤): 1.启动WEB项目的时候,容器(如:Tomcat)会去读它的配置文件web.xml.读两个节点:和// 2.紧接着,容器创建一个ServletContext(上下文),这个WEB项目所有部分都将共享这个上下文. 3.容器将转化为键值对,并交给ServletContext. 4.容器创建中的类实例,即创建监听. 5.在监听中会有contextInitialized(ServletContextEvent args)初始化方法,在这个方法中获得: ServletContext = ServletContextEvent.getServletContext(); context-param的值 = ServletContext.getInitParameter(“context-param的键”); 6.得到这个context-param的值之后,你就可以做一些操作了.注意,这个时候你的WEB项目还没有完全启动完成.这个动作 会比所有的Servlet都要早. 换句话说,这个时候,你对中的键值做的操作,将在你的WEB项目完全启动之前被执行. 7.举例.你可能想在项目启动之前就打开数据库. 那么这里就可以在中设置数据库的连接方式,在监听类中初始化数据库的连接. 8.这个监听是自己写的一个类,除了初始化方法,它还有销毁方法.用于关闭应用前释放资源.比如说数据库连接的关闭.

    2017/10/04

  5. tomcat-Session管理的基础知识

    Catalina通过一个称为Session 管理器的组件来管理建立的Session对象,该组件由org.apache.catalina.Manager接口来表示。(干货——catalina通过Session管理器组件来管理Session对象) Session管理器:需要与一个Context容器相关联,且必须与一个Context容器关联;(干货——intro to Session Manager) Session管理器:负责创建,更新,销毁Session对象,当有请求到来时,要会返回一个有效的Session对象; default case:Session管理器会将其所管理的 Session对象存放在内存中。但在tomcat中,Session管理器也可以将Session 对象进行持久化,存储到文件存储器或通过jdbc写入到database; for complete source code, please visit  https://github.com/pacosonTang/HowTomcatWorks/tree/master/chapter9;

    2017/10/03

  6. session的销毁监听

    Session创建事件发生在每次一个新的session创建的时候,类似地Session失效事件发生在每次一个Session失效的时候。

    2017/10/02

  7. 消息队列及常见消息队列介绍

    消息队列是分布式系统中重要的组件,在很多生产环境如商品抢购等需要控制并发量的场景下都需要用到。最近组内需要做流水server的选型升级,这里对消息队列及常见的消息队列进行了一次调研,整理了相关资料,分享给大家。 一、消息队列(MQ)概述 消息队列(Message Queue),是分布式系统中重要的组件,其通用的使用场景可以简单地描述为: 当不需要立即获得结果,但是并发量又需要进行控制的时候,差不多就是需要使用消息队列的时候。 消息队列主要解决了应用耦合、异步处理、流量削锋等问题。 当前使用较多的消息队列有RabbitMQ、RocketMQ、ActiveMQ、Kafka、ZeroMQ、MetaMq等,而部分数据库如Redis、Mysql以及phxsql也可实现消息队列的功能。 二、消息队列使用场景 消息队列在实际应用中包括如下四个场景: 应用耦合:多应用间通过消息队列对同一消息进行处理,避免调用接口失败导致整个过程失败; 异步处理:多应用对消息队列中同一消息进行处理,应用间并发处理消息,相比串行处理,减少处理时间; 限流削峰:广泛应用于秒杀或抢购活动中,避免流量过大导致应用系统挂掉的情况; 消息驱动的系统:系统分为消息队列、消息生产者、消息消费者,生产者负责产生消息,消费者(可能有多个)负责对消息进行处理; 下面详细介绍上述四个场景以及消息队列如何在上述四个场景中使用: 2.1 异步处理 具体场景:用户为了使用某个应用,进行注册,系统需要发送注册邮件并验证短信。对这两个操作的处理方式有两种:串行及并行。 (1)串行方式:新注册信息生成后,先发送注册邮件,再发送验证短信; 在这种方式下,需要最终发送验证短信后再返回给客户端。 (2)并行处理:新注册信息写入后,由发短信和发邮件并行处理; 在这种方式下,发短信和发邮件 需处理完成后再返回给客户端。 假设以上三个子系统处理的时间均为50ms,且不考虑网络延迟,则总的处理时间: 串行:50+50+50=150ms 并行:50+50 = 100ms 若使用消息队列: 并在写入消息队列后立即返回成功给客户端,则总的响应时间依赖于写入消息队列的时间,而写入消息队列的时间本身是可以很快的,基本可以忽略不计,因此总的处理时间相比串行提高了2倍,相比并行提高了一倍; 2.2 应用耦合 具体场景:用户使用QQ相册上传一张图片,人脸识别系统会对该图片进行人脸识别,一般的做法是,服务器接收到图片后,图片上传系统立即调用人脸识别系统,调用完成后再返回成功,如下图所示: 该方法有如下缺点: 人脸识别系统被调失败,导致图片上传失败; 延迟高,需要人脸识别系统处理完成后,再返回给客户端,即使用户并不需要立即知道结果; 图片上传系统与人脸识别系统之间互相调用,需要做耦合; 若使用消息队列: 客户端上传图片后,图片上传系统将图片信息如uin、批次写入消息队列,直接返回成功;而人脸识别系统则定时从消息队列中取数据,完成对新增图片的识别。 此时图片上传系统并不需要关心人脸识别系统是否对这些图片信息的处理、以及何时对这些图片信息进行处理。事实上,由于用户并不需要立即知道人脸识别结果,人脸识别系统可以选择不同的调度策略,按照闲时、忙时、正常时间,对队列中的图片信息进行处理。 2.3 限流削峰 具体场景:购物网站开展秒杀活动,一般由于瞬时访问量过大,服务器接收过大,会导致流量暴增,相关系统无法处理请求甚至崩溃。而加入消息队列后,系统可以从消息队列中取数据,相当于消息队列做了一次缓冲。 该方法有如下优点: 请求先入消息队列,而不是由业务处理系统直接处理,做了一次缓冲,极大地减少了业务处理系统的压力; 队列长度可以做限制,事实上,秒杀时,后入队列的用户无法秒杀到商品,这些请求可以直接被抛弃,返回活动已结束或商品已售完信息;

    2017/10/01

  8. Spring session集群共享

    现在集群中使用的Session共享机制有两种,分别是session复制和session粘性。 Session复制 该种方式下,负载均衡器会根据各个node的状态,把每个request进行分发,使用这样的测试,必须在多个node之间复制用户的session,实时保持整个集群中用户的状态同步。其中jboss的实现原理是使用拦截器,根据用户的同步策略拦截request,做完同步处理后再交给server产生响应。

    2017/09/30

  9. 深入学习Redis应用

    http://blog.csdn.net/zcl111/article/details/51700925 Redis的基础

    2017/09/29

  10. 浏览器缓存机制

    HTTP缓存

    2017/09/28

IT知识图谱

14 12

springboot 学习demo

5 3

Devops

4 0

Nacos 微服务学习

2 0

Vue start

1 0

java面试题

1 1

Technology stack

1 0

learning demo

1 0