在为数据库存储散列密码时，我总是使用适当的每项salt字符串。对于我的需要，在DB中将盐存储在散列密码旁边总是很好。

然而，有些人建议将盐与数据库分开存储。他们的论点是，如果数据库被破坏，攻击者仍然可以构建一个彩虹表，将特定的盐字符串考虑在内，以便一次破解一个帐户。如果这个帐户有管理权限，那么他甚至不需要破解任何其他帐户。

从安全的角度来看，把盐存放在不同的地方值得吗?考虑一个web应用程序，其服务器代码和DB位于同一台机器上。如果salt存储在该机器上的平面文件中，那么如果数据库受到威胁，那么盐类文件也会受到威胁。

对此有什么建议的解决方案吗?

我想我误解了@多对一关系上下文中级联的含义。

案例:

public class User {

   @OneToMany(fetch = FetchType.EAGER)
   protected Set<Address> userAddresses;

}

public class Address {

   @ManyToOne(fetch = FetchType.LAZY, cascade = CascadeType.ALL)
   protected User addressOwner;

}

cascade = CascadeType.ALL是什么意思?例如，如果我从数据库中删除了某个地址，我添加了cascade = CascadeType这一事实如何。所有影响我的数据(我猜是用户)?

我知道基于cookie的身份验证。SSL和HttpOnly标志可以应用于保护基于cookie的身份验证不受MITM和XSS的影响。然而，为了保护它不受CSRF的影响，还需要采取更多的特殊措施。它们只是有点复杂。(参考)

最近，我发现JSON Web Token (JWT)作为一种身份验证解决方案非常热门。我了解编码、解码和验证JWT的知识。然而，我不明白为什么有些网站/教程告诉我们，如果使用JWT，就不需要CSRF保护。我已经阅读了很多，并试图总结以下问题。我只是希望有人能提供一个关于JWT的更大的图景，并澄清我对JWT的误解。

If the JWT is stored in a cookie, I think it is the same as cookie-based authentication except that the server does not need to have sessions to verify the cookie/token. There is still a risk of CSRF if no special measure is implemented. Isn't JWT stored in a cookie? If the JWT is stored in localStorage/sessionStorage, then there is no cookie involved so don't need to protect against CSRF. The question is how to send the JWT to the server. I found here that it is suggested to use jQuery to send the JWT by HTTP header of ajax requests. So, only the ajax requests can do the authentication? Also, I found one more blog that points to use "Authorization header" and "Bearer" to send the JWT. I don't understand the method the blog talks about. Could someone please explain more about "Authorization header" and "Bearer"? Does this make the JWT transmitted by HTTP header of ALL requests? If yes, what about CSRF?

我是Hibernate的新手，我不确定是否使用Hibernate SessionFactory或JPA EntityManagerFactory来创建Hibernate会话。

这两者有什么不同?使用这些工具的优缺点是什么?

我的web应用程序使用会话存储关于用户的信息，一旦他们登录，并维护这些信息，因为他们在应用程序内从页面到页面。在这个特定的应用程序中，我存储的人的user_id, first_name和last_name。

我想在登录时提供一个“让我登录”选项，在用户的机器上放置一个cookie，为期两周，当他们返回应用程序时，将以相同的细节重新启动他们的会话。

做这件事的最佳方法是什么?我不想在cookie中存储他们的user_id，因为这似乎会让一个用户很容易尝试和伪造另一个用户的身份。

这个问题几乎说明了一切。使用JPARepository我如何更新一个实体?

JPARepository只有一个save方法，它并没有告诉我它是创建还是更新。例如，我插入一个简单的对象到数据库User，它有三个字段:姓，名和年龄:

 @Entity
 public class User {

  private String firstname;
  private String lastname;
  //Setters and getters for age omitted, but they are the same as with firstname and lastname.
  private int age;

  @Column
  public String getFirstname() {
    return firstname;
  }
  public void setFirstname(String firstname) {
    this.firstname = firstname;
  }

  @Column
  public String getLastname() {
    return lastname;
  }
  public void setLastname(String lastname) {
    this.lastname = lastname;
  }

  private long userId;

  @Id
  @GeneratedValue(strategy=GenerationType.AUTO)
  public long getUserId(){
    return this.userId;
  }

  public void setUserId(long userId){
    this.userId = userId;
  }
}

然后我简单地调用save()，这在这一点上实际上是插入到数据库:

 User user1 = new User();
 user1.setFirstname("john"); user1.setLastname("dew");
 user1.setAge(16);

 userService.saveUser(user1);// This call is actually using the JPARepository: userRepository.save(user);

到目前为止一切顺利。现在我要更新这个用户，比如改变他的年龄。为此，我可以使用QueryDSL或NamedQuery之类的查询。但是，考虑到我只想使用spring-data-jpa和JPARepository，我如何告诉它我想做更新而不是插入呢?

具体来说，我如何告诉spring-data-jpa具有相同用户名和名字的用户实际上是EQUAL，并且现有实体应该被更新?重写等号并不能解决这个问题。

我正在用Node.js和mongoose写一个web应用程序。如何对我从.find()调用得到的结果进行分页?我想要一个功能可比的“限制50,100”在SQL。

当比较HTTP GET和HTTP POST时，从安全角度看有什么不同?其中一个选择是否天生就比另一个更安全?如果有，为什么?

我意识到POST没有公开URL上的信息，但其中有任何真正的价值吗?或者它只是通过隐匿性来实现安全?当安全性是一个问题时，我是否有理由更喜欢POST ?

编辑: 通过HTTPS, POST数据被编码，但url会被第三方嗅探吗?此外，我正在处理JSP;当使用JSP或类似的框架时，是否可以公平地说，最佳实践是避免将敏感数据完全放在POST或GET中，而是使用服务器端代码来处理敏感信息?

与支持TLS 1.2的服务器通信的默认安全协议是什么?.NET默认情况下会选择服务器端支持的最高安全协议吗?或者我必须显式地添加这行代码:

System.Net.ServicePointManager.SecurityProtocol = 
SecurityProtocolType.Tls | SecurityProtocolType.Tls11 | SecurityProtocolType.Tls12;

除了代码更改之外，是否有方法更改此默认值?

最后，.NET 4.0是否只支持TLS 1.0?例如，我必须将客户端项目升级到4.5以支持TLS 1.2。

我的动机是在客户端删除对SSLv3的支持，即使服务器支持它(我已经有一个powershell脚本在机器注册表中禁用它)，并支持服务器支持的最高TLS协议。

更新: 查看。net 4.0中的ServicePointManager类，我没有看到TLS 1.0和1.1的枚举值。在这两个。net 4.0/4.5中，默认为SecurityProtocolType.Tls|SecurityProtocolType.Ssl3。希望在注册表中禁用SSLv3不会破坏这个默认值。

然而，我决定将所有应用程序升级到。net 4.5，并显式地添加SecurityProtocolType。Tls |安全协议类型。Tls11 | SecurityProtocolType.Tls12;总之，所有应用程序的引导代码。

这将使对各种api和服务的出站请求不降级到SSLv3，并且应该选择最高级别的TLS。

这种方法听起来合理还是过份?我有很多应用程序要更新，我想在未来证明它们，因为我听说在不久的将来，一些提供商可能会弃用TLS 1.0。

作为一个向api发出出站请求的客户端，在注册表中禁用SSL3会对.NET框架产生影响吗?我看到默认情况下，TLS 1.1和1.2没有启用，我们必须通过注册表启用它吗?是http://support.microsoft.com/kb/245030。

经过一番研究，我相信注册表设置不会有任何影响，因为它们适用于IIS(服务器子密钥)和浏览器(客户端子密钥)。

对不起，这篇文章变成了多个问题，然后是“可能”的答案。

在Windows Server 2008下使用ASP。NET 4.0安装了一大堆相关的用户帐户，我不知道哪个是哪个，它们有什么不同，哪个才是我的应用程序运行的。下面是一个列表:

IIS_IUSRS IUSR DefaultAppPool ASP。净v4.0 NETWORK_SERVICE 本地服务。

什么是什么?