小册上新｜Java 应用安全性必知必会

作为一项基础设施类的技术体系，可以说任何一个业务系统或多或少都会有 安全性 相关的需求。例如，日常开发过程中，最常见的就是对用户身份的认证和对该身份所需要访问资源的授权。我们可以设想一下，如果一个应用程序在认证和授权机制上存在漏洞，就会导致用户信息等敏感数据发生泄露，给用户和公司都造成巨大的损失，这样的系统肯定是不会有人使用的。

而在 Java 领域中，各类单体、微服务等 Web 类系统和非 Web 类系统是目前最主流的应用表现形式。在这些应用中，除了基础的用户认证和权限控制之外，还需要考虑的安全性功能有很多，包括但不限于用户信息管理、敏感信息加解密、跨站点请求伪造保护、跨域支持、全局安全方法以及跨服务的安全调用等。

基于以上背景，我们策划了《Java 应用安全性必知必会》这本小册，会对上述 Java 应用开发过程中常见的各个核心的安全性功能展开详细的分析和讨论，并引入 Spring Security 框架来尝试解决这些问题。

Spring Security 可以和 Spring Boot 等框架无缝集成，也是 Spring Cloud 等微服务开发框架的底层基础框架之一，功能完备且强大。借助于 Spring Security，我们既可以实现对单体应用的安全性控制，也可以构建完整的微服务安全解决方案。

小册如何设置？

作为一门实战驱动的课程，本小册主要划分为 四大模块 。

• 模块一：核心概念和实践。主要介绍在 Java 单体应用以及微服务系统开发过程中涉及到的一系列安全功能，包括认证、授权、加密、CSRF、CORS、安全会话、OAuth2 协议、令牌和 JWT 等；了解了这些安全功能之后，再结合 Spring Security 框架提供其详细实现过程。通过该模块的学习，你可以在理解这些安全功能的基本概念和原理的同时，也掌握在日常开发过程中为 Java 应用程序添加这些安全性功能的实践方法。

• 模块二：基本原理和扩展。针对认证、授权、安全处理的性能、通用流程等角度进行切入，分析这些实现机制的底层原理，并结合 Spring Security 框架给出源码级的剖析过程。同时，还将从安全扩展性出发，对如何实现多样化的授权模型以及对令牌进行扩展等技术体系展开讨论。通过该模块的学习，可以让你深入掌握安全性功能和框架背后的设计思想和实现机制，从而更好地应对不同场景下的定制化开发需求。

• 模块三：应用场景和案例分析。基于日常开发过程，梳理一组常见的业务需求场景，包括基础的认证和授权场景、多因素认证场景以及微服务架构下的多服务授权场景。然后，还将基于前面介绍的各个安全功能完成对这些需求场景的分析和实现。通过该模块的学习，可以让你学以致用，掌握对现实中安全问题的抽象和设计方法，并通过具体的案例分析将所需要的技术体系付诸实践。

• 模块四：加餐。重点分析如何对各项安全性功能进行测试的系统方法，这部分工作非常重要，但在日常开发过程中却经常被忽视。

整体内容设计如下思维导图：

小册亮点有哪些？

安全性相关的概念比较复杂而专业，有些概念甚至略显晦涩难懂，因此，小册会尽量采用 图形化 的方式来为大家辅助讲解。

例如，在介绍 CSRF 保护时，会基于系统交互过程给出底层的数据传输和验证原理，如下图所示：

再比如说，在讨论如何实现跨域访问时，会结合 HTTP 协议的功能特性阐述预检操作的执行流程，如下图所示：

除了图文并茂的展现形式之外，整体来讲，本小册的“亮点”主要包括以下三个方面：

• 将安全系统构建所需的各个核心功能和主流的安全性开发框架 Spring Security 紧密结合起来，从概念到实战，由浅入深进行讲解；

• 对应用程序安全性所涉及的最核心的认证、权限、处理流程、扩展性等机制进行底层原理的分析；

• 针对日常开发中的常见应用场景给出对应的解决方案以及案例分析和实现。

你会学到什么？

通过这本小册的学习，你将：

• 全面掌握 Java 领域中认证、授权、加密、CSRF 保护、CORS、会话安全控制、方法级安全访问、OAuth2、JWT 等核心安全性功能，构建自己对 Java 应用安全性设计的知识体系和解决方案。

• 掌握 Spring Security 框架的主流使用方法，并深入理解该框架中最核心的用户认证、访问授权、处理流程等方面的设计原理，能够从源码级别剖析框架的底层实现机制。

• 完整的案例设计以及即插即用的案例代码，可用于指导日常开发过程的常见业务场景。

作者是谁？

天涯兰，世界 500 强企业技术总监， IT 畅销书作者，著有《系统架构设计》《分布式系统架构与开发》《DDD 工程实战》等多部书籍。

10 余年工作经验，在大型上市公司和互联网独角兽企业担任过架构师和技术总监，目前带领着百人团队开发医疗健康类智能化软硬件系统。在知识分享领域也有多年经历，主持过十余个面向研发人员的技术和管理类培训课程，阿里云 MVP 、腾讯云 TVP。

掘金小册《DDD 案例实战课》和《分布式服务面试精讲》作者。

适合谁学？

• Java 后端开发人员。这部分同学希望对应用程序的安全性功能有全面的学习和掌握，并尝试通过引入或者更好地使用 Spring Security 等主流的安全性框架来提高系统的安全性。本小册作为一套体系化的面向 Java 应用程序的安全性课程，原理和实战并重，能够给到这些同学全面而完整的技术体系和实践技巧。

• 对安全性实现技术有兴趣的开发人员。这部分同学希望通过一门完整的课程来学习安全性相关的技术体系。本小册就是一个很好的选择：针对安全领域通用的概念和方法都做了详细的介绍，并引入了 Spring Security 这款 Spring 家族主打的安全性开源框架。另外，本小册中所介绍的安全性功能基本涵盖了日常开发的基本需求，Spring Security 框架入门也比较简单，和 Spring 框架集成性很好，内部所包含的设计理念和实现过程也大多具备通用性。

最低价：上新特惠，限时 6 折中

系统没有 Bug 不是程序员的底线，确保安全性才是。尤其是随着国家对于用户敏感信息的保护力度越来越大，安全性技术也成为了开发人员所必须要掌握的一项基本开发技术。而本小册即可点亮你的这项技能！

不要犹豫，赶紧点击下方图片或者扫描海报二维码，一起加入学习吧！6 月 28 日～ 7 月 5 日，上新限时 6 折，原价 ¥39.9，算下来仅需 ¥23.94，现在购买最省钱！！！