概述 与前端对接的API接口,如果被第三方抓包并进行恶意篡改参数,可能会导致数据泄露,甚至会被篡改数据,我主要围绕时间戳,token,签名三个部分来保证API接口的安全性 1.用户成功登陆站点后,服务器会返回一个token,用户的任何操作都必须带了这个参数,可以将这个参数直接放到header里。…
WebSocket 和HTTP虽然是不同协议,但是两者“握手”方式兼容。通过HTTP升级机制,使用HTTP的Upgrade和Connection协议头的方式可以将连接从HTTP升级为WebSocket。 Websocket 使用 ws 或 wss 的统一资源标志符,类似于 HTTPS,其中 wss 表示在 TLS 之上的 Websocket。如:…
1 背景 数据库安全一直是美团信息安全团队和数据库团队非常注重的领域,但由于历史原因,对数据库的访问只具备采样审计能力,导致对于一些攻击事件无法快速地发现、定损和优化。安全团队根据历史经验,发现攻击访问数据库基本上都存在着某些特征,经常会使用一些特定SQL,我们希望通过对MySQL访问流量进行全量分析,识别出惯用SQL,在数据库安全性上做到有的放矢。 2…
1 可靠性治理的痛点 对于亿级流量的线上系统来说,可靠性是至关重要的。从字面上理解,可靠性要求故障少、可信赖。与安全性一样,它们都是信息系统的固有属性之一,也是保障产品质量的关键因素。…
1 软件系统风险与变更 变更是软件系统进化的推动力,同时也是孕育风险的温床。如果一个系统没有了相应的迭代和变更,那这个系统就会逐渐失去了活性和价值。不过,随着系统进行了变更迭代,软件风险也会慢慢衍生,而规避变更引发的软件风险在质量保障领域是一个较大的挑战。通过对下面典型软件系统架构图分析,我们可提炼出3大类变更维度: 基础设施变更…
为了验证开放 API 请求的合法性,必须要对 API 请求方进行 认证 ,一般有两种认证模式,即 HTTP Basic 和 AK/SK 。 在 HTTP Basic 认证模式中,API 请求方在调用开放 API 时需要在请求头中传递 用户名/密码 的 BASE64 编码值,BASE64 编码是可逆的,这定然存在密码泄露的风险。 而 AK/SK…
sort buffer和join buffer两者没什么关系,只是最近重读了极客时间的MySQL实战,又加深了对MySQL的认知,这里记录一下sort buffer和join buffer两个知识点,以便加深印象。 sort buffer sort…
MySQL隔离级别 **读未提交(Read Uncommitted)**:某个事务读到了其他还未提交的事务对数据所作的修改,也就是某个事务只要修改了数据,其他事务就可以看到所作的修改。 这种隔离级别下会发生脏读、不可重复读、幻读。 **读提交(Read Committed)**:某个事务提交之后,才可以被其他事务看到。…
buffer pool buffer pool缓冲池,用来缓存数据页,避免每次都从磁盘上加载数据,由于buffer pool是基于内存的,所以查询速度非常快。 undo log undo log回滚日志,记录了SQL执行之前的旧值,用来做数据回滚。 redo log redo…
