第三章 web阶段
HTTP协议即超文本传输协议,是客户端与服务器通信的规则,基于TCP协议,具有无状态、面向连接的特点。现代Web开发多采用HTTP或HTTPS协议。相比HTTP明文传输,HTTPS通过SSL加密保障数据安全,端口为443,更安全但资源消耗更高。GET与POST是常见请求方式:GET参数在URL中传递,长度受限且安全性低,用于获取数据;POST参数在请求体中,安全性高,适合提交数据。当前主流项目多采用Restful风格,通过URL定位资源,通过请求方式(GET/POST/PUT/DELETE)定义操作类型。
生产环境缺陷管理
git-poison基于go-git实现分布式bug追溯,解决多分支开发中bug漏修、漏发问题。通过“投毒-解药-银针”机制,自动化卡点发布流程,降低协同成本,避免人为失误,已在大型团队落地一年,显著提升发布安全与效率。
HTTP协议中常见的状态码?
HTTP状态码分为1xx到5xx五类,常见如200(成功)、302(重定向)、401(未认证)、404(资源未找到)、500(服务器错误)等。转发是服务器内部跳转,客户端无感;重定向由浏览器发起新请求。Cookie通过Set-Cookie和Cookie头实现会话跟踪,但数据存于客户端,安全性较低。
1.认识OAuth2.0
OAuth2.0是一种开放授权协议,允许第三方应用在用户授权下安全访问资源,而无需获取用户账号密码。它有四种授权模式:授权码模式(最常用)、简化模式(适用于前端应用)、密码模式(需高度信任)和客户端模式(服务间调用)。广泛用于第三方登录和API资源访问。
2.OAuth2.0实战案例
本案例详解OAuth2.0四种授权模式实战:通过创建资源与授权模块,配置Spring Security与OAuth2,依次实现授权码、简化、密码及客户端模式的令牌申请与资源访问,完成全流程安全认证集成。
Java基础
重载指方法名相同但参数不同,发生在编译期;重写指父子类中同名同参方法,发生在运行期。String不可变,StringBuilder非线程安全,StringBuffer线程安全,适用于多线程场景。
Map
本文介绍Java开发中的6个实用技巧:避免HashMap初始化容量误区,推荐Guava工具;禁用Executors创建线程池以防OOM,建议手动定义参数;Arrays.asList返回不可变列表,禁止修改操作;遍历Map优先使用entrySet提升性能;SimpleDateFormat非线程安全,应避免static使用;并发更新记录时合理选用乐观锁或悲观锁机制。
Java基础
初始化Map宜用Guava指定预期大小,避免扩容;禁用Executors创建线程池,防止OOM,推荐手动定义或使用Guava;Arrays.asList返回不可变列表,禁止修改操作;遍历Map优先使用entrySet或forEach;SimpleDateFormat非线程安全,建议用Java 8时间类替代;并发修改记录需加锁,推荐乐观锁配合version机制。
5、线程与并发
synchronized基于Monitor实现,通过CAS设置owner实现加锁,支持锁升级(偏向→轻量级→重量级)。Java 6起优化性能,15后废弃偏向锁。相比volatile仅保证可见有序,synchronized还保证原子性;相较Lock,其为关键字,自动释放锁,但功能较简单。
了解SQL注入
SQL注入是利用Web应用输入验证缺陷,将恶意SQL代码插入数据库查询,从而绕过认证、窃取数据或执行系统命令的攻击方式。常见于用户输入未严格过滤的场景,如登录框。攻击者可通过构造特殊语句操控数据库逻辑,造成信息泄露、数据篡改等严重后果。OWASP将其列为头号Web安全威胁。防御需结合参数化查询、输入验证与错误信息管控。
