站长工具

【实践篇】教你玩转JWT认证---从一个优惠券聊起

作者:jingdongkeji

引言

最近面试过程中,无意中跟候选人聊到了JWT相关的东西,也就联想到我自己关于JWT落地过的那些项目。

关于JWT,可以说是分布式系统下的一个利器,我在我的很多项目实践中,认证系统的第一选择都是JWT。它的优势会让你欲罢不能,就像你领优惠券一样。

大家回忆一下一个场景,如果你和你的女朋友想吃某江家的烤鱼了,你会怎么做呢?

传统的时代,我想场景是这样的:我们走进一家某江家餐厅,会被服务员引导一个桌子,然后我们开始点餐,服务原会记录我们点餐信息,然后在送到后厨去。这个过程中,那个餐桌就相当于session,而我们的点餐信息回记录到这个session之中,然后送到后厨。这个是一个典型的基于session的认证过程。但我们也发现了它的弊端,就是基于session的这种认证,对服务器强依赖,而且信息都是存储在服务器之上,灵活性和扩展性大大降低。

而互联网时代,大众点评、美团、饿了么给了我们另一个选择,我们可能第一时间会在这些平台上搜索江边城外的优惠券,这个优惠券中可能会描述着两人实惠套餐明细。这张优惠券就是我们的 JWT,我们可以在任何一家有参与优惠活动的餐厅使用这张优惠券,而不必被限制在同一家餐厅。同时这张优惠券中直接记录了我们的点餐明细,等我们到了餐厅,只需要将优惠券二维码告知服务员,服务员就会给我们端上我们想要的食物。

好了,以上只是一个小例子,其实只是想说明一下JWT相较于传统的基于session的认证框架的优势。

JWT 的优势在于它可以跨域、跨服务器使用,而 Session 则只能在本域名下使用。而且,JWT 不需要在服务端保存用户的信息,只需要在客户端保存即可,这减轻了服务端的负担。 这一点在分布式架构下优势还是很明显的。

什么是JWT

说了这么多,如何定义JWT呢?

JWT(JSON Web Token)是一种用于在网络应用中进行身份验证的开放标准(RFC7519)。它可以安全地在用户和服务器之间传输信息,因为它使用数字签名来验证数据的完整性和真实性。

JWT包含三个部分:头部、载荷和签名。头部包含算法和类型信息,载荷包含用户的信息,签名用于验证数据的完整性和真实性。

额外说一下poload,也就是负荷部分,这块是jwt的核心模块,它内部包括一些声明(claims)。声明由三个类型组成:

Registered Claims:这是预定义的声明名称,主要包括以下几种:

  • iss:Token 发行者
  • sub:Token 主题
  • aud:Token的受众
  • exp:Token 过期时间
  • iat:Token发行时间
  • jti:Token唯一标识符

Public Claims:公共声明是自己定义的声明名称,以避免冲突。

Private Claims:私有声明与公共声明类似,不同之处在于它是用于在双方之间共享信息的。

当用户登录时,服务器将生成一个JWT,并将其作为响应返回给客户端。客户端将在后续的请求中发送此JWT。服务器将使用相同的密钥验证JWT的签名,并从载荷中获取用户信息。如果签名验证通过并且用户信息有效,则服务器将允许请求继续进行。

JWT优点

JWT优点如果我们系统的总结一下, 如下:

  1. 跨语言和平台:JWT是基于JSON标准的,因此可以在不同的编程语言和平台之间进行交换和使用。无状态:由于JWT包含所有必要的信息,服务器不需要在每个请求中存储任何会话数据,因此可以轻松地进行负载均衡。
  2. 安全性:JWT使用数字签名来验证数据的完整性和真实性,因此可以防止数据被篡改或伪造。
  3. 可扩展性:JWT可以包含任何用户信息,因此可以轻松地扩展到其他应用程序中。
  4. 一个基于JWT认证的方案

我将举一个我实际业务落地的一个例子。

我的业务场景中一般都会有一个业务网关,该网关的核心功能就是鉴权和上线文转换。用户请求会将JWT字符串存与header之中,然后到网关后进行JWT解析,解析后的上下文信息,会转变成明文K-V的方式在此存于header之中,供系统内部各个微服务之间互相调用时提供明文上下文信息。具体时序图如下:

基于Spring security的JWT实践

JWT原理很简单,当然,你可以完全自己实现JWT的全流程,但是,实际中,我们一般不需要这么干,因为有很多成熟和好用的轮子提供给我们,而且封装性和安全性也远比自己匆忙的封装一个简单的JWT来的高。

如果是基于学习JWT,我是建议大家自己手写一个demo的,但是如果重实践的角度触发,我们完全可以使用Spring Security提供的JWT组件,来高效快速的实现一个稳定性和安全性都非常高的JWT认证框架。

以下是我基于我的业务实际情况,根据保密性要求,简化了的JWT实践代码。也算是抛砖引玉,希望可以给大家在业务场景中运用JWT做一个参考

maven依赖

首先,我们需要添加以下依赖到pom.xml文件中:

<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt</artifactId>
<version>0.9.1</version>
</dependency>

JWT工具类封装

然后,我们可以创建一个JwtTokenUtil类来生成和验证JWT令牌:

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.stereotype.Component;
import java.util.Date;
import java.util.HashMap;
import java.util.Map;
import java.util.function.Function;

@Component
public class JwtTokenUtil {
    private static final long JWT_TOKEN_VALIDITY = 5 * 60 * 60;
    @Value("${jwt.secret}")
    private String secret;

    public String generateToken(UserDetails userDetails) {
        Map<String, Object> claims = newHashMap <>();
        return createToken(claims, userDetails.getUsername());
    }
    private String createToken(Map<String, Object> claims, String subject) {
        Date now = new Date();
        Date expiration = new Date(now.getTime() + JWT_TOKEN_VALIDITY * 1000);
        return Jwts.builder()
                .setClaims(claims)
                .setSubject(subject)
                .setIssuedAt(now)
                .setExpiration(expiration)
                .signWith(SignatureAlgorithm.HS256, secret)
                .compact();
    }
    public boolean validateToken(String token, UserDetails userDetails) {
        final String username = extractUsername(token);
        return (username.equals(userDetails.getUsername()) && !isTokenExpired(token));
    }
    private boolean isTokenExpired(String token) {
        return extractExpiration(token).before(new Date());
    }
    public String extractUsername(String token) {
        return extractClaim(token, Claims::getSubject);
    }
    public Date extractExpiration(String token) {
        return extractClaim(token, Claims::getExpiration);
    }
    private <T> T extractClaim(String token, Function<Claims, T> claimsResolver) {
        final Claims claims = extractAllClaims(token);
        return claimsResolver.apply(claims);
    }
    private Claims extractAllClaims(String token) {
        return Jwts.parser().setSigningKey(secret).parseClaimsJws(token).getBody();
    }
}

在这个实现中,我们使用了jjwt库来创建和解析JWT令牌。我们定义了以下方法:

  • generateToken:生成JWT令牌。
  • createToken:创建JWT令牌。
  • validateToken:验证JWT令牌是否有效。
  • isTokenExpired:检查JWT令牌是否过期。
  • extractUsername:从JWT令牌中提取用户名。
  • extractExpiration:从JWT令牌中提取过期时间。
  • extractClaim:从JWT令牌中提取指定的声明。
  • extractAllClaims:从JWT令牌中提取所有声明。

UserDetailsService类定义

接下来,我们可以创建一个自定义的UserDetailsService,用于验证用户登录信息:

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Service;

@Service
public class JwtUserDetailsService implements UserDetailsService {
    @Autowired
    private UserRepository userRepository;
    @Override
    public UserDetails loadUserByUsername(String username)
            throws UsernameNotFoundException {
        UserEntity user = userRepository.findByUsername(username);
        if (user == null) {
            throw new UsernameNotFoundException("User not found with username: " + username);
        }
        return new User(user.getUsername(), user.getPassword(),
                new ArrayList<>());
    }
}

在这个实现中,我们使用了UserRepository来检索用户信息。我们实现了UserDetailsService接口,并覆盖了loadUserByUsername方法,以便验证用户登录信息。

JwtAuthenticationFilter定义

接下来,我们可以创建一个JwtAuthenticationFilter类,用于拦截登录请求并生成JWT令牌:

import com.fasterxml.jackson.databind.ObjectMapper;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;

import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.Collections;
import java.util.Date;

public class JwtAuthenticationFilter extends UsernamePasswordAuthenticationFilter {
    private final AuthenticationManager authenticationManager;
    private final JwtTokenUtil jwtTokenUtil;

    public JwtAuthenticationFilter(AuthenticationManager authenticationManager, JwtTokenUtil jwtTokenUtil) {
        this.authenticationManager = authenticationManager;
        this.jwtTokenUtil = jwtTokenUtil;
    }

    @Override
    public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException {
        try {
            LoginRequest loginRequest = new ObjectMapper().readValue(request.getInputStr eam(), LoginRequest.class);
            return authenticationManager.authenticate(
                    new UsernamePasswordAuthenticationToken(loginRequest.getUsername(), loginRequest.getPassword(), Collections.emptyList())
            );
        } catch (IOException e) {
            throw new RuntimeException(e);
        }
    }

    @Override
    protected void successfulAuthentication(HttpServletRequest request, HttpServletResponse response, FilterChain chain, Authentication authResult)throwsIOException,ServletException {
        UserDetails userDetails = (UserDetails) authResult.getPrincipal();
        String token = jwtTokenUtil.generateToken(userDetails);
        response.addHeader("Authorization", "Bearer " + token);
    }

    private static class LoginRequest {
        private String username;
        private String password;

        public String getUsername() {
            return username;
        }

        public void setUsername(String username) {
            this.username = username;
        }

        public String getPassword() {
            return password;
        }

        public void setPassword(String password) {
            this.password = password;
        }
    }
}

在这个实现中,我们继承了
UsernamePasswordAuthenticationFilter类,并覆盖了attemptAuthentication和successfulAuthentication方法,以便在登录成功时生成JWT令牌并将其添加到HTTP响应头中。

Spring Security配置类

最后,我们可以创建一个Spring Security配置类,以便配置验证和授权规则:

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.config.http.SessionCreationPolicy;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Autowired
    private JwtUserDetailsService jwtUserDetailsService;
    @Autowired
    private JwtAuthenticationEntryPoint jwtAuthenticationEntryPoint;
    @Autowired
    private JwtTokenUtil jwtTokenUtil;

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.csrf().disable()
                .authorizeRequests().antMatchers("/authenticate").permitAll()
                .anyRequest().authenticated().and()
                .exceptionHandling().authenticationEntryPoint(jwtAuthenticationEntryPoint).and()
                .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS);
        http.addFilterBefore(newJwtAuthenticationFilter(authenticationManager(), jwtTokenUtil), UsernamePasswordAuthenticationFilter.class);
    }
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(jwtUserDetailsService).passwordEncoder(passwordEncoder());
    }
    @Override
    @Bean
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }
    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }
}

在这个实现中,我们使用JwtUserDetailsService来验证用户登录信息,并使用
JwtAuthenticationEntryPoint来处理验证错误。

我们还配置了JwtAuthenticationFilter来生成JWT令牌,并将其添加到HTTP响应头中。我们还定义了一个PasswordEncoderbean,用于加密用户密码。

调试接口验证

现在,我们可以向/authenticate端点发送POST请求,以验证用户登录信息并生成JWT令牌。例如:

bash
curl -X POST \
  http://localhost:8080/authenticate \
  -H 'Content-Type: application/json'\
  -d '{
    "username": "user",
    "password": "password"
}'

如果登录信息验证成功,将返回一个带有JWT令牌的HTTP响应头。我们可以使用这个令牌来访问需要授权的端点。例如:

bash
curl -X GET \
  http://localhost:8080/hello \
  -H 'Authorization: Bearer eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJ1c2VyIiwiaWF0IjoxNjI0MDM2NzA4LCJleHAiOjE2MjQwMzc1MDh9.9fZS7jPp0NzB0JyOo4y4jO4x3s3KjV7yW1nLzV7cO_c'

在这个示例中,我们向/hello端点发送GET请求,并在HTTP头中添加JWT令牌。如果令牌有效并且用户有权访问该端点,则返回一个成功的HTTP响应。

总结

JWT是一种简单、安全和可扩展的身份验证机制,适用于各种应用程序和场景。它可以减少服务器的负担,提高应用程序的安全性,并且可以轻松地扩展到其他应用程序中。

但是JWT也有一定的缺点,比如他的payload模块并没有明确说明一定要加密传输,所以当你没有额外做一些安全性措施的情况下,jwt一旦被别人截获,很容易泄漏用户信息。所以,如果要增加JWT的在实际项目中的安全性,安全加固措施必不可少,包括加密方式,秘钥的保存,JWT的过期策略等等。

当然实际中的认证鉴权框架不止有JWT,JWT只是解决了用户上下文传输的问题。实际项目中经常是JWT结合其他认证系统一同使用,比如OAuth2.0。这里篇幅有限,就不展开。以后有机会再单独写一篇关于OAuth2.0认证架构的文章。

作者:京东物流 赵勇萍

内容来源:京东云开发者社区

本文转载于网络 如有侵权请联系删除

相关文章

  • K8s源码分析(18)-资源API的注册

    上篇文章里,我们主要介绍了kubernetes中资源API的数据结构对象实例APIGroupInfo的创建,包括对于核心组资源和非核心组资源该结构的创建过程,本篇文章我们主要介绍资源API的注册过程。端到端看资源API的注册过程可以如下图解:1.对于核心资源组来说,我们会创建在上篇文章中介绍的LegacyRESTStorageProvider结构体对象2.利用LegacyRESTStorageProvider对象来注册安装核心资源组的API3.在注册安装核心资源组API的过程中,创建核心资源组API的数据结构APIGroupInfo4.对于非核心资源组,会创建上篇文章中我们介绍的RESTStorageProvider对象5.利用非核心组的RESTStorageProvider对象来注册安装非核心组资源API6.在注册安装非核心资源组API过程中,创建非核心资源组API数据结构APIGroupInfo7.对于核心资源组与非核心资源组,均注册安装里面的资源API8.在上述的过程中,会创建以前文章我们介绍的结构体APIGroupVersion,并注册资源API9.利用上面过程中创建的APIG

  • GDP、经济与社会数据下载网站整理

      继续今日的GIS数据获取整理,本次为GDP等经济、社会综合数据。可以感觉到,这一领域的相关数据种类是非常繁多的;尽管文章中具体列出的网址并不是很多,但是其中最后两个网站是各种社会、经济数据的综合门户,里面都有着上百种对应的具体数据集,还是可以基本满足我们的日常需要的~8GDP、经济与社会数据8.1GDP数据8.1.1G-Econ•网址[1]:https://sedac.ciesin.columbia.edu/data/set/spatialecon-gecon-v4  G-Econ是美国国家航空航天局下属对地观测系统数据与信息中心(EarthObservingSystemDataandInformationSystem,EOSDIS)的分布式活动存档中心(DistributedActiveArchiveCenters(DAACs)之一——社会经济数据与应用中心(SocioeconomicDataandApplicationsCenter)下的全球网格化地理经济数据。其包含全球1990年,1995年,2000年,2005年市场汇率与购买力平价对应的GDP数据,空间分辨率为1°。8.1

  • 社交概念与SDN模型有什么相似之处?

    社交原则似乎与网络工程,设计和软件定义网络有着奇怪的联系,或许就像很多人说的一个看似无关的原则通常可以应用于其他场景。社会辅助性原则对网络控制平面的使用和SDN模型的设计有一定的指导意义。辅助原则主要是社会和法律概念,《牛津英语词典》将其定义为“中央机构应具有辅助职能的原则,只应控制地方上无法操控的事务。”但这个概念可以应用于其他情况。例如,在谈论SDN模型和网络设计时,最好去掉它的政治和文化色彩,以更一般的方式阐述这一原则,如下:辅助原则是决策应尽可能与决策所需信息的位置接近。网络的运营和理想状态在这方面,我们可以就如何将这一原则应用于网络工程和SDN模型提出一些看法。一个网络永远不会只有一个状态;至少有两个状态。第一个状态是系统存在的现实。这是网络的运行状态,包括其连接,配置,链路利用率级别,队列深度以及其他物理和逻辑状态。第二个状态是理想状态。这是策略目标或期望状态,这是网络旨在实现的一组目的。这种真实来源的最直接表达是理想化的设计,或者网络最初的工作方式。我们需要进一步研究理想状态,以确定辅助原则如何适用。理想状态通常源于面对需要解决的业务问题而做出的一系列设计决策。例如,一个

  • 经典黑色--网站管理界面

    http://www.cnblogs.com/jikey/p/3631292.html   这是一款用于http://jing-ui.com网站后台管理界面,也可以用于管理系统或其它通用后台界面。有时候我也在思考,一般的用户或者大部分用户他们是否需要像ext,easyui这样成型的界面解决方案,或许他们只是需要一款简洁,方便的一个界面模板,而这款的宗旨是,页面基本没有过多的交互效果,简洁粗暴的同时带来的是界面加载速度的提升或操作便捷性的增加。2个css文件不超过20k,图标采用的是字体图标,图标素材都来自于icomoon网站,没有任何图片。页面整体采用扁平化处理,布局更趋向于暴露内容的本质,页面块之间的留白更多,字体更大,配色更单一,在form表单处参照了bootstrap的流行风格,也加入了一些css3的动画效果,当然只有高级浏览器才支持。按钮是参照bootstrap的兼容写法,没有采用图片。这款主要是追求的页面的速度与原始技术的表达。同时其它方面也加入了我这几年对页面设计及前端的一些理解与感悟。   另外为了满足交互效果有要求的用户,下次准备提供一版有js交互的,敬请期待。1.Lo

  • YY一下,扎克伯格做了一个什么样的AI家居助手?

    据说,扎克伯格每年都要给自己定个目标,而他也即将完成今年的目标——打造一个AI家居助手。当初,在定下这个目标时,小扎为我们简单描述了一下,他表示:“2016年,我为自己设立的挑战是建造一个简单的AI系统,不仅管理我的家,也能帮助我工作。你可以把它想象成《钢铁侠》里的贾维斯。 我要开始探索现存的先进技术。首先,我会让它听懂我的声音,以控制家里的音乐、灯光、温度等等。然后,我会教它识别我朋友的脸,当客人按下门铃时,系统会自动开门让他们进来。接下来,我会教它通知我Max房间里任何异常状况。在工作方面,它将会帮助我在VR里将数据可视化。”从小扎的描述中,我们大致了解到,在这款AI家居助手的研制中,可能添加了语音识别、人脸识别以及VR等技术。虽然这款AI助手最早要到下个月面世,但也不能阻止我们的脑洞大开。接下来,不如跟着镁客君一起,根据现有信息,尽情YY一下这款令小扎太太抓狂的AI家居助手。有了语音识别的AI——完美的“仆人”关于AI家居助手加载语音识别功能后的应用,这里应该不用再多加赘述了吧,毕竟如果一个AI助手连这项基本功能都没有,那它也就没什么脸面存在于市面上了。对于各位“懒癌晚期”而言,

  • 技术突破!西门子3D打印的燃气涡轮叶片,性能极高

    德国西门子公司利用3D打印技术制造出燃气涡轮叶片,并于近日首次进行了满负荷运行测试。试验结果显示,3D打印涡轮叶片完全符合燃气轮机工作要求,这是增材制造技术生产大型部件的新突破。3D打印制造的燃气涡轮叶片将安装在西门子制造的13兆瓦SGT-400型工业燃气轮机上,新的涡轮叶片采用粉末状的耐高温多晶镍高温合金生产,具有耐高温、高压和强离心力性能。燃气轮机叶片要能承受高温、高压和强离心力,其满负荷工作时速度达到1600千米/小时,比波音737飞机的飞行速度要快一倍。其承载的负重达11吨,相当于一辆满载的伦敦双层巴士。叶片在汽轮机工作时的最高温度达1250摄氏度。迄今制造燃气轮机叶片都采用铸造或锻造工艺,这两种方法都费时费力,而且价格较贵。增材制造燃气轮机叶片则采用激光束对金属粉末进行逐层加热和融化,一层一层生成金属固体,直至整个叶片模型成形。西门子工程师采用增材制造技术生产一种新的燃气轮机叶片,从设计到生产的整个周期可以从两年缩短至两个月,大大提高了生产效率。西门子动力和燃气轮机部门首席执行官麦克斯奈表示:“这是能源生产领域引入增材制造技术的一次巨大成功,增材制造是西门子数字化战略的重要支

  • 分分钟搭建Oracle环境 (r9笔记第23天)

    在Oracle运维中,有一个很基础的工作就是安装数据库软件,而这个工作一般少则需要花费个把小时,多则半天。 如果我们有大批量的服务器安装任务,那么这种时候你肯定会希望从这种重复性劳动中解放出来,人工操作还是会有或多或少的差错,而且耗时。 所以我简单写了下面的脚本,可以很流畅的安装好Oracle软件,很多基础工作都统一配置好了。 比如目前我的脚本结构如下: -rw-r--r--1rootroot4422615040Jun714:3411204.tar -rw-r--r--1rootroot608Jun715:191_ora_yum.sh -rw-r--r--1rootroot695Jun714:342_os_init.sh -rw-r--r--1rootroot185Jun715:243_fd_init.sh -rw-r--r--1rootroot58Jun715:064_ora_profile.sh -rw-r--r--1rootroot142Jun715:365_init_orahome.lst -rw-r--r--1rootroot216Jun716:076_install_db.

  • pingcastle – Active Directory域控安全检测工具

    pingcastle简介:PingCastle旨在使用基于风险评估和成熟度框架的方法快速评估ActiveDirectory安全级别。它的目标不是完美的评估,而是效率的妥协。 ActiveDirectory正迅速成为任何大型公司的关键故障点,因为它既复杂又昂贵。 可使用pingcastle对ActiveDirectory安全性进行评估.委派漏洞检查示例在委派创建用户或计算机的权利时,可能会犯错误,从而为攻击者打开了道路。PingCastle可以快速扫描权限以发现此类漏洞。注意事项:pingcastle工具会被杀毒软件报毒,该工具安全,使用与否自行裁决.检测报告示例:可自行到如下链接进行查看报告样式: pingcastle.com/PingCastleFiles/ad_hc_test.mysmartlogon.com.html官网地址:pingcastle下载地址:GitHub:https://github.com/vletoux/pingcastle/releases/download/2.11.0.0/PingCastle_2.11.0.0.zip云中转网盘:yunzhongzhuan

  • sql server 中删除表中数据truncate和delete的区别(转载自.net学习网)

    我们都知道truncate table可以用来删除整个表的内容,它与delete后面不跟where条件的效果是一样。但除此之外,我们还清楚它们之间有其它的区别吗?本章我们将一起讨论truncate与delete区别。我们先看一下truncate table的说明:删除表中的所有行,而不记录单个行删除操作。TRUNCATE TABLE在功能上与没有WHERE子句的DELETE语句相同;但是,TRUNCATE TABLE速度更快,使用的系统资源和事务日志资源更少。truncate table的语法: truncate table 要删除数据的表名 区别:1,truncate删除数据后,表中标识列重置为定义的种子值,也就是标识列重新开始计数,而使 用delete删除数据,则会保留标识计数器,新的自增量会从删除前的最大值开始计数。2,使用truncate删除数据将不触发触发器,而delete会触发delete触发器。3,truncate所占用的事务日志空间会很少,因为truncate不会计录删除过程,而delet

  • .NET Core 3.0 可回收程序集加载上下文

    一、前世今生 .NET诞生以来,程序集的动态加载和卸载都是一个Hack的技术,之前的NetFx都是使用AppDomain的方式去加载程序集,然而AppDomain并没有提供直接卸载一个程序集的API,而是要卸载整个AppDomain才能卸载包含在其中的所有程序集。然而卸载整个CurrentAppDomain会使程序不能工作。可能有人另辟西经,创建别一个AppDomain来加载/卸载程序集,但是由于程序集之间是不能跨域访问的,也导致只能通过RemoteProxy的方式去访问,这样在类型创建和使用上带来了一定的难度也是类型的继承变得相当复杂。 .NETCore中一直没有AppDomain的支持。但是在.NETCore3.0中,我最期待的一个特性就是对可收集程序集的支持(CollectibleAssemblyLoadContext)。众所周知.NETCore中一直使用AssemblyLoadContext的API,来进行程序集的动态加载,但是并没有提供Unload的方法,此次升级更新了这方面的能力。 二、AssemblyLoadContext 其实这次AssemblyLoadContext的

  • JDBC 连接 MySQL 时碰到的小坑

    最近从MSSQLServer换到了MySQL,已经是8.11版本了,安装的时候似乎还用了新的身份认证方式之类的,连接过程中也是磕磕绊绊,碰到很多奇奇怪怪的问题,在此记录下来。   驱动加载: 以前使用JDBC时,都是导入相应的JDBC驱动jar包,然后使用 Class.forName(driverName); 复制 加载驱动,再进行数据库连接,在使用MySQL8.11版本及其对应的Connector时,如果使用上述代码加载com.mysql.jdbc.Driver的话,控制台会输出一行信息: Loadingclass`com.mysql.jdbc.Driver'.Thisisdeprecated.Thenewdriverclassis`com.mysql.cj.jdbc.Driver'.ThedriverisautomaticallyregisteredviatheSPIandmanualloadingofthedriverclassisgenerallyunnecessary.复制 大概意思是加载的这个类已被弃用,新驱动类是com.mysql.cj.jdbc.Dr

  • How to: Specify the Default Name for User-Defined Reports 如何:指定用户定义的报表的默认名称

    Thisexampledemonstrateshowtochangethedefaultnameofuser-definedreportsinWinFormsandASP.NETapplications.Mobileapplicationsdonotallowusertocreateanewreportinruntime,sotheapproachdescribedinthistopiccannotbeimplementedintheMobileplatform. 此示例演示如何更改WinForms和ASP.NET应用程序中的用户定义报表的默认名称。移动应用程序不允许用户在运行时创建新报表,因此本主题中描述的方法无法在移动平台中实现。   Inthistopic,itisassumedthatyouhaveanXAFapplicationthatusestheReportsV2Module,andyouhavecreatedoneormorereports(seeReportsV2ModuleOverview). 在本主题中,假定您有一个使用报表V2模块的XAF应用程序,并且

  • C语言的转义字符

     原文地址:http://blog.163.com/sunshine_linting/blog/static/44893323201181325818165/   在字符集中,有一类字符具有这样的特性:当从键盘上输入这个字符时,显示器上就可以显示这个字符,即输入什么就显示什么。这类字符称为可显示字符,如a、b、c、$、+和空格符等都是可显示字符。 另一类字符却没有这种特性。它们或者在键盘上找不到对应的一个键(当然可以用特殊方式输入),或者当按键以后不能显示键面上的字符。其实,这类字符是为控制作用而设计的,故称为控制字符。 在C语言中,构成字符常量的控制字符必须用转义字符表示。转义字符是一种以“\”开头的字符。例如退格符用'\b'表示,换行符用'\n'表示。转义字符中的'\'表示它后面的字符已失去它原来的含义,转变成另外的特定含义。反斜杠与其后面的字符一起构成一个特定的字符。 转义字符是C语言中表示字符的一种特殊形式。转义字符以反斜'\'开头,后面跟一个字符或一个八进制或十六进制数表示。转义字符具有特定的含义,不同于字符原有的意义,故称转义字符。 通常使用转义字符表示

  • 停止博客更新!反思

    为什么写博客?   其实我一开始写博客的初衷是把自己在学习中遇到的问题和思考过程记录下来的,但现在我觉得自己是为了写博客而博客,从学习计算机的这四个月时间,我终于慢慢摸索了很多方向跟学习路线,我已经明白自己接下来该做什么了。   前面的博客很多都在转载别人的文章,或者搬运书上的内容,现在我已经过了那个槛了,我就是说我一直在反思,最近老是感觉不太对,现在我明白了,既然已经入门了,师傅领进门,修行看个人,我应该沉浸心下来看书、看视频、编程,而不是在网上在搜罗各种资料,资料已经够多了,你要的是系统性的思维。   深入理解计算机系统里面的绪论说的好,计算机方面,你要培养你的问题抽象能力、系统抽象能力、数据抽象能力,我觉得真的说得太对了,我现在这三方面的能力都还比较差,但我大致知道该怎么做了,接下来就是往下做,搜刮资料跟搬运已经过去,接下来,看书,编程,看视频,记录,思考。   也许,一年后我会再开始记录我的真正的博客,希望遇见之人将来能对你们也有所帮助。   将来我会更倾向于在chinaunix社区,那里我觉得有我更需要的东西!   我非常希望我明年能真正为大家写出更有深度跟含金量的博文。  

  • strcmp与strncmp的区别

    ==================strcmp与strncmp都是用来比较字符串的,区别在于能否比较指定长度字符串。 strcmpC/C++函数,比较两个字符串设这两个字符串为str1,str2,若str1==str2,则返回零;若str1>str2,则返回正数;若str1<str2,则返回负数。 即:两个字符串自左向右逐个字符相比(按ASCII值大小相比较),直到出现不同的字符或遇’\0’为止。 如:strcmp(“abcd”,”abcd”)的返回值是0;strcmp(“abcd”,”dcba”)的返回值是-1;strcmp(“dcba”,”abcd”)的返回值是1; 还有一种情况:strcmp(“A”,”C”)的返回值是-2;strcmp(“C”,”A”)的返回值是2;这个确切的数值是依赖不同的c的实现 特别注意:strcmp(constchars1,constchars2)这里面只能比较字符串,即可用于比较两个字符串常量,或比较数组和字符串常量,不能比较数字等其他形式的参数。 strncmpstrncmp函数是指定比较size个字符。也就是说,如果字符串s1与s2的

  • 10.4训练赛

    10.4训练赛-VirtualJudge(csgrandeur.cn)    

  • HTML精确定位:scrollLeft,scrollWidth,clientWidth,offsetWidth

    最近在做一个简单的js效果,就是页面有个小车跟随滚动条的滚动而移动。但是发现问题的是, 取滚动条距离文档上方的偏移量。scrollTop,和小车的offset().Top,的量有偏差。 仔细研究下,HTML的精确定位,scrollLeft,scrollWidth,clientWidth,offsetWidth1.先解释几个概念: scrollHeight:获取对象的滚动高度。 scrollLeft:设置或获取位于对象左边界和窗口中目前可见内容的最左端之间的距离 scrollTop:设置或获取位于对象最顶端和窗口中可见内容的最顶端之间的距离 scrollWidth:获取对象的滚动宽度 offsetHeight:获取对象相对于版面或由父坐标offsetParent属性指定的父坐标的高度 offsetLeft:获取对象相对于版面或由offsetParent属性指定的父坐标的计算左侧位置 offsetTop:获取对象相对于版面或由offsetTop属性指定的父坐标的计算顶端位置 event.clientX相对文档的水平座标 event.clientY相对文档的垂直座标 event.offse

  • 好文

    https://blog.csdn.net/qq_31930499/article/details/80374310  

  • c++ 函数

    \(a^b\)pow(a,b) \(ln(a)\)log(a) \(log_{10}a\)log10(a) \(log_{b}a\)log(a)/log(b)

  • 批处理程序在文件,文件夹管理中的应用

    下面是按照批处理脚本的教程写的几个关于文件,文件夹管理的脚本,都是运行通过的。每个脚本下面是运行过程中解决问题后觉得要注意的地方。 转载请注明出处:博客园--邦邦酱好   1.批量更改文件名 @echooff echo开始更改文件名 setaltername=test set/asum=0 for%%min(*.txt)do( ifnot"%%m"=="test.bat"( echo%%m ren%%m%altername%%%m set/asum=sum+1) ) echo一共有%sum%个文件被改名 setsum= setaltername=复制 注意:do和if语句的条件要和其后的“(”之间空一格而且必须在同一行,否则容易出现语法错误。   2.创建编号从0-99的100个文件 @echooff echo开始创建0-99共100个文件 echo. echo. for%%nin(0,1,99)do( echo文件%%n>>文件%%n.txt ) echo创建完毕复制 3.自动循环运行某个程序 @echooff echo“正在测试是否可pi

  • Django:之ORM、CMS和二维码生成

    DjangoORM Django的数据库接口非常好用,我们甚至不需要知道SQL语句如何书写,就可以轻松地查询,创建一些内容,所以有时候想,在其它的地方使用Django的ORM呢?它有这么丰富的QuerySetAPI. settings.py importos BASE_DIR=os.path.dirname(os.path.dirname(__file__)) SECRET_KEY='at8j8i9%=+m@topzgjzvhs#64^0&qlr6m5yc(_&me%!@jp-7y+' INSTALLED_APPS=( 'test', ) #Database DATABASES={ 'default':{ 'ENGINE':'django.db.backends.sqlite3', 'NAME':os.path.join(BASE_DIR,'db.sqlite3'), } } 复制 在这个文件中写上SQLite,MySQL或PostgreSQL的信息,这样就可以运用这个数据库了。 新建确保每个app下有一个models.py和__init__.py文件,就可以享受

相关推荐

推荐阅读