Apache Shiro 是 Java 的一个安全框架。功能强大，使用简单的Java安全框架，它为开发人员提供一个直观而全面的认证，授权，加密及会话管理的解决方案。 Shiro 包含 10 个内容，如下图：

在很多项目中，数据库相关的配置文件内容都是以明文的形式展示的，这存在一定的安全隐患。 在开发和维护项目时，不仅要关注项目的性能，同时也要注重其安全性。 我们都知道项目启动时，Spring 容器会加载配置文件并读取文件中的内容，那么我们可以下边步骤操作：

RabbitMQ 是轻量级且易于部署的消息中间件。它支持多种消息传递协议，可以在多个操作系统环境中运行，为大多数流行的语言提供了广泛的开发工具。 安装 RabbitMQ 之前需要安装 Erlang。 vim /etc/yum.repos.d/rabbitmq-erlang.repo

笔者之前写过 《MySQL 性能优化技巧》 文章，但没有涉及到 MySQL 安全方面的知识。虽说这是 DBA 需要学习的内容与后端开发人员关系不大，但俗话说技多不压身，即便不深入学习，也需要对其相关内容有所了解。 测试环境 MySQL 5.7.20 以下便是笔者浅学后的内容总结。

点击劫持，顾名思义，用户点击某个按钮，却触发了不是用户真正意愿的事件。 用户在登陆 A 网站的系统后，被攻击者诱惑打开第三方网站，而第三方网站通过 iframe 引入了 A 网站的页面内容，用户在第三方网站中点击某个按钮（被装饰的按钮），实际上是点击了 A 网站的按钮。 演示图如下：

跨站请求伪造（Cross-site Request Forgery） 在用户登陆目标网站后，后端会返回用户登陆的凭证到前端（浏览器的 cookie）。攻击者诱使用户点击某个超链接，该超链接会发送恶意请求（会携带用户的 cookie），从而冒充用户完成业务请求（发帖、盗取用户资金等）。 笔者以网站的发帖功能为案例对 CSRF 攻击进行简单的讲解。

跨站脚本攻击（Cross Site Scripting） 通过在网站中的输入框写入 script 脚本或引入 script 文件，如果网站未过滤输入内容，将会解析该脚本。 如果脚本的功能是获取网站的 cookie，cookie 中又保留一些敏感信息，则后果有可能很严重。