create-luote

Appearance

安全能力

作者: luote (luote) · 个人主页 luote996.cn

认证安全

  • JWT 无状态认证,支持 Token 续期
  • 登录失败次数限制与账号锁定
  • 图形验证码防暴力破解
  • 前端登录提交节流(2 秒间隔)

接口安全

  • Spring Security 路由鉴权
  • RBAC 角色权限(如 ADMIN 专属接口)
  • 401 / 403 统一 JSON 响应
  • Jackson 拒绝未知字段,防止 Mass Assignment

数据安全

  • 敏感字段脱敏(如手机号、邮箱)
  • 用户软删除
  • 分页参数上限限制

网络安全

  • CORS 白名单配置,支持逗号分隔多域名
  • Redis Key 格式校验

存储安全

  • MinIO 主存储 + OSS 保底
  • 文件上传类型与大小校验(业务层可扩展)

生产建议

  1. 修改默认 admin 密码
  2. 使用强随机 JWT_SECRET
  3. 启用 HTTPS
  4. 配置生产级 CORS 白名单
  5. 关闭 Swagger 或限制访问(生产 profile 按需配置)

MIT Licensed

Copyright © 2026 luote · luote996.cn · create.luote996.cn