本文主要解析一下ngx_http_core_module、ngx_http_limit_conn_module以及ngx_http_limit_req_module中的limit相关配置参数。

本文主要解析一下nginx ngx_http_gzip_module以及ngx_http_gzip_static_module中的gzip相关配置参数。

序 本文主要解析一下nginx ngx_http_proxy_module中的cache相关配置参数。 proxy_cache 名称 默认配置 作用域 官方说明 中文解读 模块 proxy_cache proxy_cache off; http, server, location Defines a shared memory zone used for caching. The same zone can be used in several places. Parameter value can contain...

本文主要解析一下nginx http模块配置参数。主要分socket相关参数，对clinet请求的buffer参数以及对response的buffer参数。

序 本文主要介绍的是一款jvm排查工具箱：jvm-tools。除了对基本jvm封装外，还提供了jmx访问以及火焰图的生成。 下载 sjk.jar - all commands without mxdump sjk-plus.jar - all commands 实例 cpu and memory usage {代码...} 一个命令搞定排查造成cpu高的线程 {代码...} histo {代码...} 查看对象统计 {代码...} gc {...

又到了写年终总结的时候了。每当这个时候思绪总是翻江倒海，因为太久没有反思和总结的缘故，一年才总结一次，确实是有点久，欠的账的太多，梳理起来有点费劲。这里依旧还是写跟点跟工作/技术相关的总结。

前面一篇文章讨论了ConsumerFetcherManager的MaxLag与ConsumerOffsetChecker的lag值的区别。但是关于MaxLag的值还没有讲的太透彻，这里再深入一下，如何让ConsumerFetcherManager的MaxLag有值。

使用jmx查询出来的MaxLag跟使用ConsumerOffsetChecker查出来的总是不一样，几乎是jmx查出来的是0，但是实际是存在lag的。这里探究一下这个MaxLag的计算。

序 本文主要讨论一下kafka consumer offset lag的监控 方案 利用官方的类库 ConsumerOffsetCheckerConsumerGroupCommand 利用官方的JMX ConsumerOffsetChecker 在0.8.2.2版本如下kafka_2.10-0.8.2.2-sources.jar!/kafka/tools/ConsumerOffsetChecker.scala {代码...} 缺点就是该类是给命令行调用的，每调用一次，就new一...

序 本文主要解析一下遇到的一个kafka consumer offset lag不断增大的异常。 查看consumer消费情况 {代码...} 发现消费者的offset与logSize差距太大，lag值都过10w了。 正常的情况 {代码...} 像这种lag差距比较少的，是正常的。 查看topic的partition {代码...} topic是4个分区，因此4个consumer来消费是正常的。问题可能...

对于垃圾收集算法来说，分代回收是高级算法之一。对象按照生成时间进行分代，刚刚生成不久的年轻对象划为新生代（Young gen-eration），而存活了较长时间的对象划为老生代（Old generation）。根据具体实现方式的不同，可能还会划分更多的代。比如有的把永久代也算做一个代。

序 本文主要研究一下几种自定义spring security的方式 主要方式 自定义UserDetailsService 自定义passwordEncoder 自定义filter 自定义AuthenticationProvider 自定义AccessDecisionManager 自定义securityMetadataSource 自定义access访问控制 自定义authenticationEntryPoint 自定义多个WebSecurityConfigurerAdapter ...

又称Path Traversal attack，即目录遍历攻击，旨在访问web服务器根目录外的文件/目录。通过是通过url或变量里头传递"../"来进行目录遍历。

admin登录只能访问/admin，访问不了/user；而user登录只能访问/user这通常不大符合我们的业务需求，一般admin拥有所有权限的，也就是它应该能访问/user。这个问题扩展开来就是角色权限的继承问题，role hierarchy

对于登录功能来说，为了防止暴力破解密码，一般会对登录失败次数进行限定，在一定时间窗口超过一定次数，则锁定账户，来确保系统安全。本文主要讲述一下spring security的账户锁定。

spring-security-web-4.2.3.RELEASE-sources.jar!/org/springframework/security/web/authentication/switchuser/SwitchUserFilter.java

可以看到SwitchUserFilter是spring security提供的filter里头order顺序在最后的一个。前面讲到了FilterSecurityInterceptor主要用来进行鉴权处理，而SwitchUserFilter是用来做账户切换的，把它放在FilterSecurityInterceptor之后，是要求对切换用户的功能进行鉴权，否则任何人都可以随意切换用户，那就安全故障了。

前面的文章讲了SecurityContextPersistenceFilter是如何将context从session读取并写入的。其中还讲到了AbstractAuthenticationProcessingFilter是如何将鉴权成功的authentication写入context的。那么spring security是如何处理没有authentication的请求呢。答案就在FilterSecurityInterceptor。

spring-security-web-4.2.3.RELEASE-sources.jar!/org/springframework/security/web/context/SecurityContextPersistenceFilter.java

servlet3.1规范中，HttpServletRequest.java明确规定了一个changeSessionId的方法tomcat-embed-core-8.5.23-sources.jar!/javax/servlet/http/HttpServletRequest.java

比如微信web版，在手机端微信登录的前提下，扫二维码确认，自动登录网页版。这里的app可以分为两大类，一个是自有的app，一个是第三方的app。

序 本文主要讲述一下如何使用aerogear-otp生成otp，以及相关源码分析 otp分类 全称是one time password，通常用来支持双因素认证。主要可以分两类 HMAC-Based One-time Password (HOTP) 在RFC 4226规范中 Time-based One-time Password (TOTP) 在RFC 6238规范中 这里主要讲TOTP 客户端 其常见的手机客户端有Google Authe...

spring-boot-autoconfigure-1.5.8.RELEASE-sources.jar!/org/springframework/boot/autoconfigure/web/ServerProperties.java

spring-security-oauth2-2.0.14.RELEASE-sources.jar!/org/springframework/security/oauth2/config/annotation/web/configuration/AuthorizationServerEndpointsConfiguration.java

这个主要见上一篇文章，讲了是怎么拦截处理/oauth/token的，其中有个点还需要强调一下，就是支持password授权模式的话，还需要额外支持用户登录认证。

本文主要解析一下spring security oauth2中AuthorizationServerConfigurerAdapter的allowFormAuthenticationForClients的原理

序 本文就来讲述一下spring security oauth2使用redis来存储token的配置及在redis中的存储结构 maven {代码...} 配置 {代码...} 这里配置了redis token store 当然配置文件需要指定redis地址 {代码...} redis中存储结构 keys * {代码...} 可以看到这里存了5个key auth_to_access:0ec8e677177b8eff1dc1c5f97a56836f {代码...

oauth2官方只有4种授权方式，不过spring security oauth2把refresh token也归为authorizedGrantTypes的一种，因此配置的时候只需要这样就把所有方式都支持了

序 本文主要小结一下oauth2的四种模式的特点和适用场景。 四种授权方式 OAuth 2.0定义了四种授权方式。 密码模式（resource owner password credentials） 授权码模式（authorization code） 简化模式（implicit） 客户端模式（client credentials） 密码模式（resource owner password credentials） 这种模式是最不推...

序 本文主要讲一下如何使用spring security oauth2作为一个client来使用 四种模式 OAuth 2.0定义了四种授权方式。 授权码模式（authorization code） 简化模式（implicit）(client为浏览器/前端应用) 密码模式（resource owner password credentials）(用户密码暴露给client端不安全) 客户端模式（client credentials）(...