由JDK bug引发的线上OOM

最近生产环境的一个应用忽然发生了OOM，还好是业务低峰期，没有导致什么严重问题，下面记录下本次排查的过程；

故障临时处理

在某天下午，正在愉快的写代码时，忽然看到业务反馈支付服务不能用的消息，因为最近没有发布，所以感觉不会是什么大事，十有八九是网络波动啥的，毕竟之前遇到过好多次，那剩下的就是找证据了，先看看日志，有没有报错（暂时还未接告警，所以要人肉看），结果不看不要紧，一看吓一跳，日志密密麻麻全都是OOM报错

feign-eureka-ribbon的协作原理

在我们的项目中使用了feign、eureka、ribbon这三个组件，最近想要在负载均衡上做些文章，需要了解这三个组件底层是如何协作的，这样才能找到突破口，所以给这三个组件的源码大概翻了一遍，最终整理出该笔记，希望对同样对这三个组件是如何协作感兴趣的读者一些帮助；

文中使用的spring cloud版本为Greenwich.SR6

PS: 本文为纯源码分析，所以配合源码阅读本文最佳；

阅读全文

使用lombok后，如果没有任何配置，则打包的源码与实际class文件是不符合的，此时打开源码IDEA会提示Library source does not match the bytecode for class，而解决该问题也很简单，只需要pom中增加如下配置即可，打包时指定maven参数-Prelease即可生成正确的源码包：

java服务器调试指南

在实际开发中，总会遇到程序启动不起来或者运行结果不符合期望的情况，如果是在本地，直接debug就行了，几乎人人都会，但是如果到了远程，大多数情况下我们可以看日志，通过日志排查定位到问题，但是如果你的日志不多，或者日志中看不出问题，此时情况就比较难以处理了，而实际上我们仍然可以通过debug的形式来解决，只不过由原来的本地在ide中通过GUI来debug变为通过命令行来debug；

关于证书,这里有你想知道的一切

在HTTPS开发中，你是否被各种证书搞得晕头转向？.pem证书?.der证书?X.509证书？本文带你理清这些证书叫法背后的含义；

k8s中部署traefik并开启https支持

k8s现在已经是容器编排领域的事实标准了，而在我们部署k8s集群时，ingress组件是必不可少的，在k8s领域，做的比较好的ingress组件就是traefik了，原生支持k8s，配置简单，上手极快，下面我们就来讲讲如何部署traefik并开启https支持；

MySQL驱动中关于时间的坑

背景：MySQL 8.0数据库；

最近在做一个小框架，因为本身比较精简，就没有引入太多依赖，直接用了JDBC来操作数据库，因为我的表中有一个datetime类型的字段，对应的Java代码中使用的是java.time.LocalDateTime，在处理这个日期字段的时候，就遇到了一个有趣的问题；

在我的数据库表建好后，在Java中使用JDBC原生API实现了一个repository，包含一些数据库的操作，因为代码中有java.time.LocalDateTime字段，在使用java.sql.PreparedStatement的时候不确认java.sql.PreparedStatement.setObject(int, java.lang.Object)方法接收java.time.LocalDateTime类型的入参后是否可以正确处理，就写了一小段测试用例来测试，核心代码如下：

preparedStatement.setObject(1, LocalDateTime.now());

一行简单的JDBC调用设置参数，参数类型是LocalDateTime，最终发现没有报错，如果一切OK，那么事情到这里就结束了，但是…….

2FA双因子认证之OTP算法

概述

2 Factor Authentication简称2FA，双因子认证是一种安全密码验证方式。区别于传统的密码验证，由于传统的密码验证是由一组静态信息组成，如：字符、图像、手势等，很容易被获取，相对不安全。2FA是基于时间、历史长度、实物（信用卡、SMS手机、令牌、指纹）等自然变量结合一定的加密算法组合出一组动态密码，一般每60秒刷新一次。不容易被获取和破解，相对安全。

TOTP/HOTP作为其中的一种（实际是两种，不过其中一个是变种，这里当作一种）算法，目前已经用于大多数网站，例如GitHub、阿里云等；

HMAC算法

算法简介

提供一种方法来检查通过不可靠介质传输或存储在不可靠介质中的信息的完整性是开放计算和通信领域的首要必要条件，例如在广域网上传输数据，就可以认为是通过不可靠介质传输数据，因为在广域网上我们的数据要经过N多个不可控节点，任意一个节点都可能修改我们的数据或者丢弃我们数据的一部分，当我们接到消息后需要使用某种方法检查信息的完整性；

基于密钥提供这种完整性检查的机制通常称为 message authentication codes(MAC) ；通常，MAC在共享密钥的两方之间使用，以验证在两方之间传输的数据，本文中，我们提出一种基于加密 hash 的MAC机制，我们称之为HMAC，而这就是本文要介绍的HMAC(Keyed-Hashing for Message Authentication)算法；

PS:单纯的MD5、SHA1、SHA256等摘要算法仅仅能在可靠渠道上用来消息是完整的，例如某个软件官方发布了他们的安装包的SHA256摘要值，这是一个可靠的渠道，然后我们基于这个从可靠渠道获取到的摘要可以来校验我们从不可靠渠道上获取到的该软件的安装包是否是完整的，而如果我们获取摘要的渠道也是不可靠的时候，普通摘要算法就无法使用了，因为摘要本身可能也会被破坏、篡改，而HMAC算法则能应对这种情况；该算法在TLS的握手流程中有使用；

HMAC算法可以与任何迭代的hash算法组合使用，例如MD5、SHA1，HMAC还使用一个密钥来计算和验证消息的认证值，采用这种构造的原因：

• 不加修改的使用已有的hash函数；
• 保持hash函数的原始性能而不引起显著的退化；
• 以简单的方式处理和使用密钥；
• 基于对底层hash函数的合理假设，对身份验证机制的强度进行易于理解的密码分析；
• 找到或者需要更快或者更安全的hash函数时可以快速替换；

​

 SHA1算法详解

SHA1算法作为摘要算法的一种，被使用于各种签名、摘要等场景，本章我们详细分析下SHA1算法细节；

术语定义

• word：32bit的String，可以表示为8个16进制的序列，例如A103FE23；
• integer：表示 0-2^32-1 之间的数字；
• block：表示512bit的String，一个block可以表示为16个word的序列（数组）；

消息填充规则

对于待摘要的消息M，先填充一个 bit 1，然后填充N个 bit 0，最后填充 64bit 的消息M的长度信息（单位bit），最终需要满足以下条件：

• (消息M的长度 + 1 + N + 64) % 512 = 0; PS：消息M的长度单位是bit；

​

 JDK17的一些新特性

本文旨在介绍一些JDK17的新特性，同时限于篇幅，本文仅列举其中一些差异，而不是全部差异；

PS: JDK17是Java的一个LTS版本（长期支持版本），可以放心迁移过来；

作者：JoeKerouac

ZIP(32位)文件格式详解

为什么要去了解ZIP文件格式

最近有个需求，需要加载jar包中的jar包中的class，此时有两种方式：

• 1、将jar解压缩，然后将解压缩后的路径添加到class path，这样就不存在嵌套jar的读取方式了，tomcat就是采用的这种方式；
• 2、不解压缩jar，直接定位到jar包中的jar包中的class，然后将其数据抽离出来，将其解析为class注册到系统中去（可以利用ClassLoader的defineClass方法实现），spring-boot就是采用的这种方式；

最终我们决定使用第二种方案（解压可能会导致我们的环境污染，多出来许多文件），即不解压缩jar包，而这就需要我们深入了解jar包的格式，由于jar包就是ZIP格式的，所以要实现该功能必须得了解ZIP格式，这样才能从中抽取我们需要的数据；

通过局域网中间人攻击学网络

第三篇 netfilter框架之内核篇

在第二篇中，我们讲到可以用ARP欺骗的形式将局域网内某个主机的流量转发到我们的机器上，那我们如何对该流量进行拦截修改呢？在Linux下，我们可以 使用netfilter框架来实现对ip数据拦截修改；

通过局域网中间人攻击学网络

序言

声明

• 该文章为系列连载文章，由于作者目前工作较忙（懒），目前预期一周更新一篇；
• 作者目前主要从事Java开发，所以后续涉及部分C代码的，可能会比较菜，不符合各种规范，请见谅；
• 本系列文章仅供学习使用，请勿用作非法途径；
• 想要深入交流或者吐槽作者的，可以加作者微信，作者微信：qiao1213812243；

通过局域网中间人攻击学网络

第二篇 ARP欺骗

原理

我们要进行中间人攻击，就要将自己的主机插入到被攻击主机与被攻击主机要访问的主机之间，拦截他们的流量，到自己的主机然后转发，如下图所示：