基础
编程语言
数据库
接口
服务和托管
运维和部署
具体有: 数据库。 jmysql、mongodb、postgresql、oracle、Redis等 Elasticsearch kafka/RabbitMQ/RocketMQ/Pulsar
语言
javascript、python、java、php、c#、go、rust等
APIS&WebServices
APIS类型:rest/graphql/soap/grpc
认证及安全:jwt/oauth2/API Keys
双重身份验证是一种验证用户身份的方法,它要求用户提供两项证明,例如在线帐户的密码(第一个因素)和身份验证应用程序的一次性密码(第二个因素)。
身份验证因素包括:
知识因素是理论上只有用户才知道的信息。密码是最常见的知识因素。个人识别码 (PIN) 和安全问题的答案也很常见。
在大多数 2FA 实施方案中,知识因素是第一个身份验证因素。
Page Visibility API
Web Share API
Broadcast Channel API 通常用于在不同的标签页和窗口之间保持页面状态同步
Internationalization API
使用 fetch 手动解析 SSE 流
更灵活,适用于需要自定义请求方式,自定义请求头
export const createFetchSSE = (url) => {
const decoder = new TextDecoder()
const controller = new AbortController()
fetch(url, {
method: 'GET',
signal: controller.signal,
// headers: {},
}).then((res) => {
// 创建一个 ReadableStreamDefaultReader 去读取字节流数据
const reader = res.body.getReader()
const processHandle = ({ done, value }) => {
if (done) {
controller.abort()
return
}
// value 为 Uint8Array 二进制数组
const decodeValue = decoder.decode(value)
const data = parseMessage(decodeValue)
if (data.type === 'close') {
controller.abort()
return
}
// 读取下一个流数据
return reader.read().then(processHandle)
}
reader.read().then(processHandle)
})
}
function parseMessage(rawMessage) {
const lines = rawMessage.split('\n')
const message = {
id: '',
event: 'message',
data: '',
parsedData: null,
}
lines.forEach((line) => {
const colonIndex = line.indexOf(':')
if (colonIndex === -1) return
const field = line.slice(0, colonIndex).trim()
const value = line.slice(colonIndex + 1).trim()
switch (field) {
case 'data':
// data 字段可以有多行,用 \n 连接
message.data += (message.data ? '\n' : '') + value
break
case 'event':
message.event = value
break
case 'id':
message.id = value
break
}
})
// 尝试解析 JSON 数据
if (message.data) {
try {
message.parsedData = JSON.parse(message.data)
} catch (error) {
message.parsedData = message.data
}
}
return message
}
前端如何使用 Access Token 和 Refresh Token
这个双令牌机制的核心是为了在 安全 和 用户体验 之间找到一个完美的平衡点:
Access Token (访问令牌):
Refresh Token (刷新令牌):
Access Token。它本身不能用来访问 API。Access Token 过期后,无需重新输入用户名和密码就能“无感”地刷新会话,保持登录状态,极大地提升了用户体验。docker-compose.yml 示例
version: '3'
services:
mysql:
image: mysql:latest
environment:
MYSQL_ROOT_PASSWORD: 123456
ports:
- "3306:3306"
volumes:
- /opt/mysql:/var/lib/mysql
redis:
image: redis:latest
ports:
- "6379:6379"
volumes:
- /opt/redis:/data
kafka:
image: wurstmeister/kafka:latest
depends_on:
- zookeeper
ports:
- "9092:9092"
environment:
KAFKA_ADVERTISED_LISTENERS: INSIDE://kafka:9093,OUTSIDE://localhost:9092
KAFKA_LISTENER_SECURITY_PROTOCOL_MAP: INSIDE:PLAINTEXT,OUTSIDE:PLAINTEXT
KAFKA_LISTENERS: INSIDE://0.0.0.0:9093,OUTSIDE://0.0.0.0:9092
KAFKA_INTER_BROKER_LISTENER_NAME: INSIDE
KAFKA_ZOOKEEPER_CONNECT: zookeeper:2181
volumes:
- /var/run/docker.sock:/var/run/docker.sock
zookeeper:
image: wurstmeister/zookeeper:latest
ports:
- "2181:2181"
elasticsearch:
image: docker.elastic.co/elasticsearch/elasticsearch:7.15.0
environment:
- discovery.type=single-node
ports:
- "9200:9200"
nacos:
image: nacos/nacos-server
environment:
- MODE=standalone
ports:
- "8848:8848"
system-biz:
image: system-biz:1.0.1
depends_on:
- mysql
- redis
- nacos
- elasticsearch
- seaweedfs_master
- kafka
environment:
- TZ=Asia/Shanghai
- NACOS=-Dspring.cloud.nacos.config.server-addr=nacos:8848 -Dspring.cloud.nacos.discovery.server-addr=nacos:8848 -Dspring.cloud.nacos.config.password=nacos -Dspring.cloud.nacos.config.username=nacos -Dspring.cloud.nacos.discovery.username=nacos -Dspring.cloud.nacos.discovery.password=nacos
- JAVA_OPTS=-Dserver.port=8080 -Xms1G -Xmx1G -Dspring.profiles.active=dev -Duser.timezone=Asia/Shanghai
- AGENT=-javaagent:skywalking-agent/skywalking-agent.jar -Dskywalking.agent.service_name=system-biz
ports:
- "10025:8080"
volumes:
- /opt/docker/system-biz:/app/logs
sudo curl -L https://github.com/docker/compose/releases/download/v2.21.0/docker-compose-`uname -s`-`uname -m` -o usr/local/bin/docker-compose
pip3 install podman-compose
服务端返回文件并设置请求头 'Content-Disposition', 'attachment; filename="foo.png"'
客户端通过 a 标签直接链接到服务端接口地址即可
<a href="/api/foo">下载</a>
const http = require('http')
const fs = require('fs')
http.createServer((req, res) => {
// 设置下载文件名
res.setHeader('Content-Disposition', 'attachment; filename="l.png"')
// 设置响应头,告诉客户端这是一个文件下载
// application/octet-stream 表示这是一个二进制流文件。浏览器遇到这种类型时,会将其视为二进制文件并触发下载行为
// res.setHeader('Content-Type', 'application/octet-stream')
// res.setHeader('Content-Type', 'image/png')
// 方式一:读取文件直接返回
fs.readFile('./logo.png', (err, data) => {
if (err) {
res.end('error')
} else {
res.end(data)
}
})
// // 方式二:文件流式传输
// const fileStream = fs.createReadStream('./logo.png')
// // 将文件流管道到响应对象,实现自动传输
// fileStream.pipe(res)
}).listen(4000, () => {
console.log('running...')
})
target="_blank" 会在新窗口/标签页中打开链接。默认情况下,新窗口可以通过 window.opener 获取到原窗口的引用并进行操作(如重定向、注入脚本、窃取数据等)。为避免此类安全风险,应为外链添加 rel="noopener"。
window.opener 操控原页面(tabnabbing 攻击)。import child_process from 'child_process'
function getNow () {
const d = new Date()
const year = d.getFullYear()
const month = d.getMonth() + 1
const date = d.getDate()
const hour = d.getHours()
const minute = d.getMinutes()
const second = d.getSeconds()
return `${year}/${month}/${date} ${hour}:${minute}:${second}`
}
try {
const [, , commitTitle] = process.argv
const commands = [
'git config user.name',
'git config user.email',
'git add .',
`git commit -m "${commitTitle || 'mac2021 commit: ' + getNow()}"`,
'git pull',
'git push'
]
child_process.execSync(commands.join(' && '), {
stdio: 'inherit'
})
} catch (error) {
console.log('error: ', error)
}
消息“远程:用户名或令牌无效。Git 操作不支持密码验证。” 表示您正在尝试使用用户名和密码对 Git 操作(例如git push、git pull或git clone)进行身份验证,但远程 Git 托管服务(例如 GitHub、Bitbucket)不再支持通过 HTTPS 对 Git 操作进行基于密码的身份验证。 这些服务要求使用个人访问令牌 (PAT) 或 SSH 密钥。 要解决此问题,您需要使用个人访问令牌或配置 SSH 密钥进行身份验证。 使用个人访问令牌(PAT): 生成个人访问令牌: 登录您的 Git 托管服务(例如,GitHub、Bitbucket)。 导航到您的帐户设置或开发者设置。 找到“个人访问令牌”或“应用程序密码”部分。 生成一个新令牌,提供一个描述性名称并选择 Git 操作所需的范围/权限(例如,repoGitHub 的范围)。 至关重要的是,立即复制生成的令牌, 因为它只会显示一次。 使用 PAT 进行身份验证: 当在 Git 操作期间提示输入密码时(例如git push),请输入您的 Git 用户名,然后粘贴个人访问令牌作为密码。 存储 PAT(可选,但建议使用): 为了避免重复输入令牌,可以配置 Git 的凭证助手: 代码
# 安装单个
go get -u github.com/gin-gonic/gin
# 安装项目下中所有未被下载的依赖包
go mod download
json.Marshal(v interface{}) ([]byte, error)json.Unmarshal(data []byte, v interface{}) error在 Go 语言中,map 是引用类型(类似切片、通道),直接赋值只会复制引用(即两个变量指向同一个底层数据结构),修改其中一个会影响另一个。因此,若需要真正复制一个 map(即创建独立的副本,修改副本不影响原 map),需要手动遍历原 map 并将键值对逐一复制到新 map 中。
直接赋值会导致两个 map 共享底层数据,修改任一都会相互影响:
package main
import "fmt"
func main() {
original := map[string]int{"a": 1, "b": 2}
copyMap := original // 仅复制引用,不是真正的复制
copyMap["a"] = 100 // 修改副本
fmt.Println(original["a"]) // 输出 100(原 map 也被修改了)
}
在 Go 语言中,map 的值类型不能直接使用 string | int 这种联合类型(union type),因为 Go 是一门强类型语言,且在 Go 1.18 引入泛型之前,并不支持联合类型;即便有了泛型,map 的值类型也必须是一个确定的类型(或通过泛型参数约束的类型集合)。
Go 语法中没有 string | int 这样的联合类型表示方式(不同于 TypeScript 等语言)。变量、函数返回值、集合元素的类型必须是单一确定的类型(如 string、int、自定义结构体等),或通过泛型参数定义的 “类型集合”。
uname -a # 显示操作系统名称、主机名、内核版本、硬件架构等信息
lsb_release -a # 提供Linux 发行版的详细信息,包括名称、版本号和代号
netstat -ano|findstr "9000"
在最佳代理实践中, 代理主要有两种:
sshuttle 这个工具非常稳定, 各种恶劣的环境都可以保证命令行工具正常运行, 但是它有两个缺点:
mysql-pool
const mysql = require('mysql')
// Create connection pool (recommended approach)
const pool = mysql.createPool({
connectionLimit: 10, // Limit the number of connections
host: 'localhost',
user: 'root',
password: 'In123456.',
database: 'r3',
acquireTimeout: 60000,
timeout: 60000,
reconnect: true
})
// Test the pool connection
function testConnection() {
return new Promise((resolve, reject) => {
pool.getConnection((err, connection) => {
if (err) {
console.log('Error getting connection from pool:', err.stack)
reject(err)
} else {
console.log('Connected to MySQL pool as id ' + connection.threadId)
connection.release() // Always release the connection back to pool
resolve()
}
})
})
}
// Execute query using connection pool
function exec(sql, data = []) {
return new Promise((resolve, reject) => {
pool.query(sql, data, (error, results) => {
if (error) {
console.log('Exec error:', error)
return reject(error)
}
resolve(results)
})
})
}
// Get a connection from pool (for transactions)
function getConnection() {
return new Promise((resolve, reject) => {
pool.getConnection((err, connection) => {
if (err) {
reject(err)
} else {
resolve(connection)
}
})
})
}
// Close the pool (call this when shutting down the app)
function closePool() {
return new Promise((resolve) => {
pool.end(() => {
console.log('MySQL pool closed')
resolve()
})
})
}
module.exports = {
pool,
testConnection,
exec,
getConnection,
closePool
}
npm config set registry https://registry.npmjs.org
npm config set registry https://registry.npmmirror.com
import path from 'path'
import { fileURLToPath } from 'url'
import { dirname } from 'path'
import ExcelJS from 'exceljs'
import Mock from 'mockjs'
// 准备模板文件(template.xlsx),表头示例
// 姓名({{name}})年龄({{age}})邮箱({{email}})加入时间({{joinDate}})
function generateRandomPhoneNumber() {
// 随机生成第二个数字(号段)
const phoneSegments = ['3', '5', '7', '8']; // 可选的第二位数字段
const randomSegment = phoneSegments[Math.floor(Math.random() * phoneSegments.length)];
// 生成后9位数字
let remainingNumber = '';
for (let i = 0; i < 9; i++) {
remainingNumber += Math.floor(Math.random() * 10);
}
// 拼接成完整的手机号码
return '1' + randomSegment + remainingNumber;
}
const __dirname = dirname(fileURLToPath(import.meta.url))
// 配置路径
const templatePath = path.resolve(__dirname, 'batch-import.xlsx');
const outputPath = path.resolve(__dirname, 'batch-output100.xlsx');
// 模拟批量数据
// https://github.com/nuysoft/Mock/wiki/Getting-Started
const mockData = []
for (let i = 0; i < 100; i++) {
mockData.push({
name: Mock.Random.cname(),
age: Mock.Random.integer(18, 28),
mobile: generateRandomPhoneNumber(),
email: Mock.Random.string('number', 10, 10 ) + '@qq.com',
joinDate: Mock.Random.date('yyyy-MM-dd'),
remark: 'test' + (i + 1)
})
}
async function main() {
try {
// 1. 读取模板
const workbook = new ExcelJS.Workbook();
await workbook.xlsx.readFile(templatePath);
const worksheet = workbook.getWorksheet(1);
// 2. 设置表头
const headerRow = worksheet.getRow(1);
// 替换表头(默认生成的会有变量占位符)
headerRow.values = ['姓名', '年龄', '手机', '邮箱', '加入时间', '备注'];
// // 设置表头样式
// headerRow.font = { name: '微软雅黑', size: 12, bold: true };
// headerRow.fill = {
// type: 'pattern',
// pattern: 'solid',
// fgColor: { argb: 'FFE0E0E0' },
// };
// 3. 填充数据(行级填充)
const startRow = 2; // 假设第一行是表头,从第二行开始填充
mockData.forEach((item, index) => {
const row = worksheet.getRow(startRow + index);
row.values = [
item.name,
item.age,
item.mobile,
item.email,
item.joinDate,
item.remark,
];
});
// // 追加(如果有空行不会替换)
// mockData.forEach(item => {
// worksheet.addRow([item.name, item.age, item.email, item.joinDate]);
// });
// 4. 保存文件
await workbook.xlsx.writeFile(outputPath);
console.log(`成功生成文件:${outputPath}`);
} catch (error) {
console.error('生成失败:', error.message);
}
}
main();
我来分析一下日志文件,并给出优化建议。
基于对日志的分析,我发现了以下安全隐患和异常情况:
恶意 PHP 文件扫描攻击(大量)
攻击者尝试访问大量 WordPress 相关的 PHP 文件
如:/wp-admin/, /wp-content/, /wp-includes/ 等
来源 IP: 4.194.58.148, 4.197.60.90
路由器漏洞扫描
/cgi-bin/luci/;stok=/locale - TP-Link 路由器漏洞
来源 IP: 87.120.191.100, 91.224.92.109
Git 配置文件探测
/.git/config - 尝试获取源码
已被规则拦截(403)
文件上传漏洞扫描
/upload.php, /uploadfile.php 等SQL 注入尝试
你想了解Nginx中deny all;和return 403的核心区别,以及它们是否会被记录到access.log中,我来为你详细拆解:
deny all;:属于ngx_http_access_module(访问控制模块),本质是访问权限控制指令,作用是基于客户端IP(或IP段)直接拒绝访问,是Nginx层面的"访问黑名单"机制,专门用于IP级别的访问限制。return 403;:属于ngx_http_rewrite_module(重写模块),本质是响应返回指令,作用是主动向客户端返回指定的HTTP状态码(此处为403 Forbidden),不依赖IP,是通用的响应控制手段。从 error.log 中可以看到以下几类异常:
WordPress 相关扫描:大量针对 WordPress 文件的扫描(wp-login.php, wp-admin/, wp-content/ 等)
PHP 后门扫描:尝试访问各种 PHP 后门文件(alfa.php, admin.php, shell.php 等)
路径遍历攻击:尝试访问 .git/config, .env 等敏感文件
CGI 漏洞扫描:/cgi-bin/luci/;stok=/locale
文件上传漏洞扫描:upload.php, uploadfile.php 等
你想了解Nginx中limit_conn和limit_req的核心区别及实际使用方法,我会从本质差异、工作原理、使用场景和配置示例等方面为你详细解析:
limit_conn和limit_req均是Nginx的流量限制模块,但管控的对象和维度完全不同,这是二者的核心差异:
| 特性 | limit_conn | limit_req |
|---|---|---|
| 核心定位 | 限制并发连接数(同一客户端的同时连接数量) | 限制请求速率(单位时间内的请求次数,基于漏桶/令牌桶算法) |
| 管控对象 | 客户端(通常按IP、用户标识分组)的连接数 | 客户端的请求数(单个连接内可包含多个请求,如HTTP长连接中的多次请求) |
| 解决问题 | 防止单个客户端同时建立大量连接耗尽服务器资源(如并发连接攻击) | 防止单个客户端在短时间内发送大量请求(如CC攻击、高频接口调用) |
| 依赖模块 | ngx_http_limit_conn_module |
ngx_http_limit_req_module |
| 算法基础 | 基于连接计数(简单统计当前活跃连接数) | 基于漏桶算法(默认)/令牌桶算法(burst+nodelay实现) |
iSH 是免费开源的软件,能满足 iOS 下基本终端使用需求,如 git 拉取项目、通过 ssh 管理服务器等。
无法通过 rsa 创建秘钥,支持部分模式,如 ed255191 :
ssh-keygen -t ed255191
在class时代,由于组件节点是通过class实例化而得,因此可以在类实例上存放内容,这些内容随着实例化产生,随着componentWillUnmount销毁。但是在hook的范围下,函数组件并没有this和对应的实例,因此useRef作为这一能力的弥补,扮演着跨多次渲染存放内容的角色。
mongodb
SQL : Execution Order 在写 SQL 时,我们习惯从 SELECT 开始,但数据库在解析和执行时,其实遵循一套固定的逻辑顺序。理解这个执行流程,对调优、避免语法误解都非常重要。 🔹 标准 SQL 的执行顺序如下: 1️⃣ FROM / JOIN • 确定数据源,完成表的连接 • 这里决定了后续操作的基础数据集 2️⃣ WHERE • 对行进行过滤 • 注意此阶段还不能使用聚合函数和别名 3️⃣ GROUP BY • 将数据按指定字段分组 • 每组成为一个聚合的基本单元 4️⃣ HAVING • 对分组结果进行过滤 • 常与聚合函数配合使用,如 HAVING COUNT(*) > 1 5️⃣ SELECT • 选择需要输出的列 • 计算表达式,执行聚合函数 • 在此阶段别名才会生效 6️⃣ ORDER BY • 对结果集排序 • 可以使用 SELECT 中定义的别名 ⚠️ 常见误区: • WHERE 不能用聚合函数,因为聚合在 GROUP BY 之后才发生 • HAVING 主要作用于分组,而不是单行 • ORDER BY 才是最终展示顺序,和存储顺序无关
有时候sql的优化不一定非得依靠数据库去解决,毕竟传统的数据库是用来管理数据的,性能是有限的,如果能从程序上优化的话是最好的选择。
关于这条sql的优化方法有很多种,下面是简单的几种
select * from table where id in (1-100); select * from table where id in (101-200); 以此类推... ...
-- 1. 创建临时表 create temporary table tmp_ids (id BIGINT PRIMARY KEY);
多对多关系的中间表通常用于连接两个主表(如 role和 resource),并记录两者之间的关联关系。
中间表的字段设计需注意:
主键:无需添加无需自增主键 id(避免冗余存储,且浪费空间(每条记录多存一个 INT)),而使用复合主键((userId, roleId)),确保唯一性;
外键:外键字段应非空,且需为 userId 和 roleId 分别添加外键约束,关联到 userId.id 和 role.id;
索引:
CREATE INDEX idx_role_id ON user_role(roleId);)
时间字段的类型选择
软删除字段的查询过滤
可选字段:若需记录额外信息(如创建人),可添加 createByName、createById 等字段,但需避免过度设计。
ALTER TABLE user_role ADD createByName varchar(100) AFTER createdAtpostgresql
redis
您好,这是一个很好的问题,涉及到 gin 框架中数据校验的细节。
validate:"required" 和 binding:"required" 都用于确保字段在请求中存在且不为空,但它们来自不同的校验库,并且在 gin 中的使用场景略有不同。
binding:"required":这是 gin 框架内置的校验功能。当您使用 c.ShouldBindJSON()、c.ShouldBindXML() 或其他 ShouldBind 系列方法时,gin 会自动检查这些 binding 标签。它简单、直接,足以满足大多数非空校验的需求。
validate:"required":这通常与一个第三方的、功能更强大的校验库(如 go-playground/validator)配合使用。gin 可以与这类库集成,以支持更复杂的校验规则,例如:
validate:"min=6,max=20" (字符串长度)validate:"email" (邮箱格式)validate:"url" (URL格式)validate:"oneof=male female" (枚举值)idStr := c.Param("id")
id, err := strconv.ParseUint(idStr, 10, 64)
这是一个关于 gin 框架数据绑定的核心问题。c.ShouldBindJSON() 和 c.ShouldBind() 的主要区别在于特异性和灵活性。
c.ShouldBindJSON()这个方法专门用于将请求体中的 JSON 数据绑定到您指定的 struct 上。
Content-Type 头部必须是 application/json。如果不是,绑定会立即失败。本文档提供了使用Docker部署多个项目的详细说明,包括qyhever博客、r3-admin-front前端和r3-admin-server后端服务。
http://localhost/http://localhost/blog/http://localhost/r3-admin/