游客zwdyld4opcutk_个人页

2025年12月

• 12.30 15:12:01
  发表了文章 2025-12-30 15:12:01

  浏览器的正常请求和回应

  预检通过后，浏览器每次CORS请求自动携带Origin头，服务器响应则必含Access-Control-Allow-Origin字段，表明允许的源，实现跨域资源共享，确保通信安全。
• 12.30 15:11:20
  发表了文章 2025-12-30 15:11:20

  预检请求的回应

  服务器收到预检请求后，校验Origin、请求方法和头字段，若允许跨域，则返回包含Access-Control-Allow-Origin等CORS头的响应。该字段指定合法源，也可设为*表示允许任意源。同时通过Allow-Methods、Allow-Headers告知支持的方法和头字段，Max-Age指定预检缓存时长，避免重复请求。
• 12.30 15:09:59
  发表了文章 2025-12-30 15:09:59

  预检请求

  非简单CORS请求会先发送OPTIONS预检请求，检查服务器是否允许跨域。预检包含Origin、Access-Control-Request-Method和Access-Control-Request-Headers字段，确认后才发送正式请求，否则报错。（238字）
• 12.30 15:09:14
  发表了文章 2025-12-30 15:09:14

  withCredentials 属性

  跨域请求中若需发送Cookie，服务器须设置Access-Control-Allow-Credentials: true，并明确指定Access-Control-Allow-Origin为具体域名，不能为星号。前端需在XMLHttpRequest中显式设置withCredentials = true，否则浏览器不会携带Cookie。注意，Cookie遵循同源策略，仅服务器域名下的Cookie可被上传，前端无法通过document.cookie读取跨域Cookie。
• 12.30 15:08:30
  发表了文章 2025-12-30 15:08:30

  什么是跨域

  CORS需浏览器与服务器共同支持，所有现代浏览器均兼容（IE≥10）。通信由浏览器自动完成，开发者无需特殊处理。关键在于服务器需实现CORS接口。请求分为简单和非简单两类，区别在于请求方法和头信息的限制，浏览器会自动处理跨域细节。
• 12.30 15:06:35
  发表了文章 2025-12-30 15:06:35

  黑名单和白名单

  应用内防御SQL注入主要有黑名单和白名单两种输入验证方法。黑名单过滤已知恶意字符，易实现但防护有限；白名单仅允许预定义的合法字符，安全性更高。应根据输入类型定制规则，并结合警报机制及时响应异常输入，确保安全与可用性平衡。
• 12.30 15:05:17
  发表了文章 2025-12-30 15:05:17

  盲注和二阶 SQL 注入

  SQL盲注利用延迟等间接方式探测数据库操作，即使无直接数据回显。攻击者通过sleep()或耗时子查询引发响应延迟，判断语句执行情况，进而窃取或篡改数据。二阶SQL注入则利用存储后二次使用的恶意数据，隐蔽性强，需结合参数化查询与严格输入验证防范。
• 12.30 15:04:43
  发表了文章 2025-12-30 15:04:43

  用于绕过身份验证的 SQL 注入示例

  SQL注入可绕过登录验证，攻击者通过提交恶意构造的用户名（如admin'）--）和空密码，利用注释符使数据库忽略密码校验，从而非法登录。该技术依赖应用缺乏输入验证，凸显严格过滤与参数化查询的重要性。（238字）
• 12.30 15:04:00
  发表了文章 2025-12-30 15:04:00

  成功的 SQL 注入攻击的后果

  SQL注入可导致多种安全威胁：绕过身份验证、窃取敏感信息、篡改或删除数据、破坏网页内容，甚至执行远程系统命令。利用如xp_cmdshell等存储过程，攻击者还能控制数据库服务器操作系统，造成严重危害。
• 12.30 15:02:44
  发表了文章 2025-12-30 15:02:44

  了解SQL注入

  SQL是用于管理数据库的标准语言，广泛应用于各类Web应用后端。由于用户输入常被用于动态构建SQL语句，若未妥善处理，攻击者可利用SQL注入插入恶意代码，导致身份绕过、数据泄露或传播恶意内容，危害严重。
• 12.30 15:01:39
  发表了文章 2025-12-30 15:01:39

  OAuth2.0四种授权模式

  OAuth2四种授权模式简介：授权码模式最安全，适用于第三方登录；简化模式无授权码，token直接返回，适合无后端场景；密码模式需用户共享账号信息，仅限高度信任服务；客户端模式为服务间调用，无需用户参与。
• 12.30 15:00:33
  发表了文章 2025-12-30 15:00:33

  OAuth2.0使用场景

  A网站需打印用户存于B网站的照片时，传统方式需共享账号密码，而OAuth2只需获取临时通行令牌，按需授权资源访问权限，更安全灵活。注意：OAuth2侧重服务间资源授权，不同于单点登录。Spring Security集成OAuth2可实现资源共享与单点登录。
• 12.30 14:59:55
  发表了文章 2025-12-30 14:59:55

  什么是OAuth2.0

  OAuth（开放授权）是一种安全、简易的标准，允许第三方应用在不获取用户账号密码的情况下，获得用户资源授权。OAuth2.0是其升级版，安全性与灵活性更强，但不兼容OAuth1.0，已完全取代旧版本。
• 12.30 14:59:00
  发表了文章 2025-12-30 14:59:00

  认证流程分析

  `UsernamePasswordAuthenticationFilter` 是 Spring Security 处理表单登录的核心过滤器，拦截 `/login` 的 POST 请求，提取用户名密码并封装为 `UsernamePasswordAuthenticationToken`，交由 `AuthenticationManager` 认证。认证成功后将结果存入 `SecurityContext`，支持“记住我”及后续处理，失败则清空上下文并调用失败处理器。
• 12.30 14:57:24
  发表了文章 2025-12-30 14:57:24

  SecurityFilterChain

  `SecurityFilterChain` 是Spring Security中定义安全过滤器链的接口，其唯一实现类 `DefaultSecurityFilterChain` 封装了请求匹配器和过滤器列表，用于判定请求是否匹配并提供对应的过滤器链，是Web安全配置的核心组件。
• 12.30 14:56:20
  发表了文章 2025-12-30 14:56:20

  FilterChainProxy

  `FilterChainProxy` 是 Spring Security 的核心过滤器链代理，通过 `SecurityFilterChain` 管理多个安全过滤器。请求到来时，先经防火墙封装，再匹配适用的过滤器链，最终由虚拟链依次执行。十五个安全过滤器由此协同工作，保障应用安全。
• 12.30 14:54:49
  发表了文章 2025-12-30 14:54:49

  DelegatingFilterProxy

  在web.xml中配置的DelegatingFilterProxy，实际是Spring Security的入口。其核心是通过`doFilter`方法，首次调用时根据`targetBeanName`（即`springSecurityFilterChain`）从Spring容器中获取真正的过滤器`FilterChainProxy`，并缓存到`delegate`属性。随后执行该代理过滤器，实现安全控制链。
• 12.30 14:53:38
  发表了文章 2025-12-30 14:53:38

  常用过滤器介绍

  Spring Security通过过滤器链实现安全控制：从上下文管理、认证授权到异常处理，涵盖CSRF防护、会话控制、匿名访问等功能，各过滤器分工明确，共同保障Web应用安全。
• 12.30 14:52:46
  发表了文章 2025-12-30 14:52:46

  SpringSecurity核心架构

  Spring Security基于过滤器链实现安全控制，核心为FilterChainProxy，通过DelegatingFilterProxy集成到容器。多SecurityFilterChain按请求路径匹配，ExceptionTranslationFilter处理认证与授权异常，实现细粒度访问控制。（238字）
• 12.30 14:51:52
  发表了文章 2025-12-30 14:51:52

  SpringSecurity核心功能

  SpringSecurity支持表单、OAuth2、SAML等多样认证方式，可扩展自定义逻辑；提供URL、方法级鉴权，支持SPEL与RBAC模型；兼具CSRF防护等安全防御，功能全面，是Java生态成熟的权限解决方案。（238字）
• 12.30 14:50:44
  发表了文章 2025-12-30 14:50:44

  实现权限管理的技术

  权限管理技术选型需综合考量。常见方案包括Apache Shiro（轻量易用，但安全性弱）、Spring Security（功能强、安全性高，但配置复杂）及自定义ACL（灵活低成本，但维护难）。根据项目实际选择最合适的方案。
• 12.30 14:49:53
  发表了文章 2025-12-30 14:49:53

  什么是权限管理

  权限管理包含认证与授权两大核心：认证验证用户身份（如登录），授权则根据角色分配菜单权限。二者结合，确保系统安全，防止越权操作与数据泄露，实现精细化访问控制。
• 12.30 14:48:24
  发表了文章 2025-12-30 14:48:24

  @Inherited

  @Inherited用于注解，使子类继承父类中标记该注解的元数据，仅适用于类继承，不适用于接口继承或类实现接口。
• 12.30 14:46:36
  发表了文章 2025-12-30 14:46:36

  Spring Boot是什么

  Spring Boot 于2013年启动，旨在简化Spring应用开发。它通过自动配置和内嵌服务器，减少XML配置，实现开箱即用，提升开发效率，是Spring生态中不可或缺的快速开发利器。
• 12.30 14:45:45
  发表了文章 2025-12-30 14:45:45

  @Configuration

  被@Configuration标注的类会被Spring容器识别为配置类，等同于XML配置文件。通过@Bean可注册Bean实例，配合AnnotationConfigApplicationContext可启动IOC容器并加载所有Bean，包括配置类自身。
• 12.30 14:44:17
  发表了文章 2025-12-30 14:44:17

  分页

  本文介绍了五种分页实现方式：MyBatis自带RowBounds内存分页、PageHelper插件分页、原生SQL分页、数组分页（查全量后subList）及拦截器分页。前两者属逻辑分页，数据全加载至内存，小数据量高效但大数量易溢出；后三者为物理分页，通过SQL或拦截器实现真实分页，适用于大数据量场景。推荐优先使用物理分页以提升性能与稳定性。（238字）
• 12.30 14:43:26
  发表了文章 2025-12-30 14:43:26

  映射关系

  MyBatis中通过resultMap实现一对一、一对多、多对一及多对多映射。一对一用于属性与字段映射；一对多通过`<collection>`关联主表与子表集合；多对一使用`<association>`关联对象；多对多借助中间类实现双向集合映射，灵活处理复杂关系数据。
• 12.30 14:42:31
  发表了文章 2025-12-30 14:42:31

  索引的类型

  MongoDB支持单字段索引（升序/降序）和复合索引（多字段有序组合），提升查询效率。还提供地理空间索引（支持平面与球面查询）、文本索引（支持字符串内容搜索，存储词干）和哈希索引（用于散列分片，仅支持等值匹配）。
• 12.30 14:41:33
  发表了文章 2025-12-30 14:41:33

  MongoDB索引知识

  MongoDB索引基于B树结构，可高效支持查询，避免全集合扫描。通过在特定字段建立索引，能显著减少查询所需检查的文档数，提升相等匹配、范围查询和排序操作性能，尤其在处理大量数据时至关重要。官网：https://docs.mongodb.com/manual/indexes/
• 12.30 14:40:51
  发表了文章 2025-12-30 14:40:51

  文档的分页查询

  MongoDB支持统计、分页与排序查询。使用count()统计记录数，limit()限制返回数量，skip()跳过指定条数实现分页，sort()按字段升序（1）或降序（-1）排序，三者执行顺序为：先sort→skip→limit，与书写顺序无关。
• 12.30 14:39:34
  发表了文章 2025-12-30 14:39:34

  删除文档

  删除文档使用语法：db.集合名称.remove(条件)。如db.comment.remove({})将清空集合数据，慎用；删除指定记录如_id为"1"的文档，可执行db.comment.remove({_id:"1"})。操作不可逆，请谨慎执行。
• 12.30 14:38:42
  发表了文章 2025-12-30 14:38:42

  文档的更新

  MongoDB使用`update()`方法修改文档，支持覆盖更新与局部更新。通过`$set`修改指定字段，避免数据丢失；配合`multi: true`实现批量更新；使用`$inc`对数值字段进行增减操作，灵活高效地完成数据修改。
• 12.30 14:37:48
  发表了文章 2025-12-30 14:37:48

  文档的基本查询

  本文介绍了MongoDB中查询文档的基本操作。通过`find()`和`findOne()`方法可实现全集合查询及条件查询，如按`userid`筛选；支持投影查询，指定返回字段，控制是否显示`_id`，灵活获取所需数据。
• 12.30 14:35:55
  发表了文章 2025-12-30 14:35:55

  文档的插入

  MongoDB支持单个或批量插入文档。使用`insert()`或`insertMany()`向集合添加数据，未指定`_id`时自动生成，支持多种数据类型，注意整型需用`NumberInt`，日期用`new Date()`，键名遵循UTF-8规范且不可重复。
• 12.30 14:34:55
  发表了文章 2025-12-30 14:34:55

  文档基本CRUD

  文档数据结构与JSON类似，所有存储在集合中的数据均采用BSON格式，支持更多数据类型，便于高效存储与传输。
• 12.30 14:34:11
  发表了文章 2025-12-30 14:34:11

  集合的删除

  集合删除语法为：db.collection.drop() 或 db.集合.drop()。删除成功返回true，否则返回false。例如删除mycollection集合：db.mycollection.drop()。
• 12.30 14:32:55
  发表了文章 2025-12-30 14:32:55

  集合的显式创建

  MongoDB中使用`db.createCollection(name)`创建集合，name为集合名称，不可为空或含特殊字符如\0、$等，且不能以"system."开头。创建后可用`show collections`或`show tables`查看。命名需规范，避免保留字符。
• 12.30 14:31:27
  发表了文章 2025-12-30 14:31:27

  选择和创建数据库

  MongoDB中使用`use 数据库名`选择或创建数据库，若不存在则自动创建；通过`show dbs`查看所有数据库，`db`查看当前库。集合需插入数据后才真正创建，默认库为test。数据库名须符合UTF-8、非空、不含特殊字符、全小写、不超过64字节。admin为根权限库，local存储本地数据，config用于分片集群配置。
• 12.30 14:30:08
  发表了文章 2025-12-30 14:30:08

  MongoDB的特点

  MongoDB具备高性能、高可用与高扩展性，支持嵌入式数据模型、多种索引及存储引擎，提供自动故障转移、分片集群与丰富查询功能，适用于海量数据存储与多样化应用场景。
• 12.30 14:29:16
  发表了文章 2025-12-30 14:29:16

  数据模型

  MongoDB以文档为最小存储单位，采用BSON（二进制JSON）格式存储数据。BSON支持内嵌对象和数组，具备轻量、可遍历、高效等特点，除JSON基本类型外，还扩展了Date、ObjectId、二进制数据等特殊类型，灵活支持结构化与非结构化数据，但空间利用率相对较低。
• 12.30 14:27:09
  发表了文章 2025-12-30 14:27:09

  MongoDB简介

  MongoDB是一款开源、高性能、无模式的文档型数据库，采用类似JSON的BSON格式存储数据，结构灵活，支持复杂数据类型。文档以键值对形式组织，兼具灵活性与扩展性，是最接近关系型数据库的NoSQL产品，适用于快速开发与大规模扩展场景。
• 12.30 14:26:31
  发表了文章 2025-12-30 14:26:31

  MongoDB什么时候用

  若应用无需事务与复杂关联查询，且需高并发、海量存储、快速扩展、高可用及多样查询支持，符合一两点即可考虑MongoDB，两项以上则为理想之选。
• 12.30 14:25:44
  发表了文章 2025-12-30 14:25:44

  MongoDB应用场景

  MongoDB适用于社交、游戏、物流、物联网及直播等场景，因其支持海量数据存储、高频读写操作。用户信息、动态、日志等低事务性、高并发数据可高效存取，尤其适合用嵌套结构与地理位置索引优化查询，是大规模非结构化数据存储的理想选择。（238字）