日拱一卒无有尽，功不唐捐终入海

背景：公司项目扫描到 WebFlux中使用"**"作为模式会导致Spring Security和Spring WebFlux之间 CVE-2023-34034漏洞CVE-2023-34034：WebFlux使用未加前缀的双通配符模式绕过安全性Spring Security最近发布的新版本修复了一个名为CVE-2023-34034的访问控制漏洞。该漏洞被评为高危漏洞，可能对使用Spring Security进行身份验证和访问控制的Spring WebFlux应用程序造成严重影响。

背景：最近花时间把项目用到的国际化组件Starter 重构了一下，使用更简单。基本上支持从本地配置读取和数据库配置读取，支持web端和小程序等移动端的国际化需求。Spring Boot 国际化组件代码在本地打包后给需要国际化的工程引入1.配置项2.初始化国际化配置表如果本地配置的话使用原生配置方式.缺点是需要手动更新，并且每个服务都需要配置。建议使用数据库表配置或者在返回的统一结果对象上,以下是个示例，你需要加在你的项目的统一响应中5.扩展请看入口2. 核心源码实现一个拦截器I18

上个章节我们学习了RocketMQ的学习环境安装，讲了两种安装方式 1. docker使用官方镜像安装，2.使用源码方式安装。安装教程如下如果已经安装了RocketMQ 学习环境可以略过此章节《【实践篇(一)】RocketMQ入门之学习环境搭建》本章节，我们学习Spring Boot 集成Apache RocketMQ。并验证 在SpringBoot应用中展示如何使用Apache RocketMQ的生产者（Producer）进行消息发送。

背景 dynamic-datasource 是苞米豆(baomidou) 团队中@小锅盖开源的一款很优秀的多数据源管理组件，特别方便也很强大，在spring boot中简直就是开箱即用。但是也有很多小问题，主要是在多数据源切换失效这块。我们公司也是重依赖.也修复了一些问题。特此整理总结一下。首先我们拉出来一些issue 大家看下。支持子线程继承主线程的数据源code加上@DS 用的是postgrel数据库，数据源切换失败《多层数据源嵌套切换，开启事务的情况下无效》

缓存是一种保存数据副本的技术，可以快速访问之前保存的数据。Spring Cache是Spring Framework中的一部分，为Java应用提供了通用的缓存抽象，使得我们可以使用各种不同的缓存实现。: 指定使用的缓存类型，默认为simple。simple: 使用基于内存的简单缓存，默认选项。none: 禁用缓存。concurrent: 使用作为缓存提供程序。ehcache: 使用Ehcache作为缓存提供程序。redis: 使用Redis作为缓存提供程序。caffeine。

背景：公司项目扫描到 Spring-Kafka上使用通配符模式匹配进行的安全绕过漏洞 CVE-2023-20873Spring Kafka 是 Spring 框架提供的一个库，它提供了使用 Apache Kafka 的便捷方式。Apache Kafka 是一个开源的流处理平台，主要用于构建实时数据流管道和应用。Spring Kafka 通过提供一种抽象和封装的方法，使开发者能够更容易地在 Spring 框架中使用 Apache Kafka。

背景：公司项目扫描到 Spring Cloud Foundry上使用通配符模式匹配进行的安全绕过漏洞 CVE-2023-20873CVE-2023-20873：在Cloud Foundry上使用通配符模式匹配进行的安全绕过高风险 | 2023年5月18日 | CVE-2023-20873。

背景：项目被扫到Spring Boot 的漏洞，严格的说应该是Spring Security 组件的漏洞，安全部门要求快速修复，查阅了一些资料，整理以下。CVE-2021-22096是一个针对Spring Security的安全漏洞。Spring Security是一个在Java应用程序中提供安全服务的框架，它提供了一整套的安全性功能，包括认证和授权等。

背景：Spring Boot存在路径遍历漏洞。官方 issue也有对此的记录，感兴趣可以看下CVE-2021-22118 是一个在 Spring Boot 中发现的漏洞。该漏洞关系到 Spring Boot 的开发者工具（Devtools）中的远程更新（Remote Update）功能。在某些情况下，攻击者可能会利用这个功能进行目录遍历攻击，从而访问到系统中的敏感文件。远程更新功能被开启（spring.devtools.restart.enabled = true）。

背景： Spring Boot Actuator的Env端点存在本地文件包含(LFI)漏洞CVE-2020-5421。被扫描到需要解决。Spring Boot Actuator是Spring Boot的一个子项目，主要用于监控和管理Spring Boot应用程序。在开发或测试环境中，开发者通常会开启所有Actuator的端点，包括/env端点，以便于对应用程序进行诊断和调试。但在生产环境中，这种配置可能会导致安全问题。就是一个影响的安全漏洞。这个漏洞主要涉及到环境（Env）端点。

背景： 一直零散的使用着Spring Boot 的各种组件和特性，从未系统性的学习和总结，本次借着这个机会搞一波。共同学习，一起进步。哈哈CVE-2020-5408 是一个在Spring Framework中的跨站请求伪造（Cross-Site Request Forgery, CSRF）漏洞。该漏洞主要是由于Spring Framework在处理跨站资源共享（Cross-Origin Resource Sharing, CORS）时的错误配置。

Springboot+mybatis-plus+dynamic-datasource+Druid 多数据源事务，dynamic-datasource分布式事务

背景： 一直零散的使用着Spring Boot 的各种组件和特性，从未系统性的学习和总结，本次借着这个机会搞一波。共同学习，一起进步。哈哈Atomikos是一个易用、可靠、开放源码的事务管理器，它可以用于管理分布式事务，尤其在微服务架构中非常实用。它支持JTA（Java Transaction API）规范，能够与各种JTA兼容的资源管理器（如数据库和消息队列）配合使用。

Spring Boot Starter Batch 是基于 Spring Batch 构建的批处理应用程序的开发套件，它为开发者提供了一种简化和便捷的方式来处理大规模数据处理任务。批处理应用程序通常涉及大量数据的读取、处理和写入，而 Spring Batch 提供了强大的功能和组件来管理和执行这些任务。

背景： 一直零散的使用着Spring Boot 的各种组件和特性，从未系统性的学习和总结，本次借着这个机会搞一波。共同学习，一起进步。哈哈Spring Boot Actuator 是一个强大的监控和管理框架，它提供了一系列的监控端点，可以用于获取应用程序的状态、度量指标、健康检查、配置信息等。Actuator 的监控端点可以通过 HTTP 请求访问，并返回有关应用程序运行时信息的响应。使用 Actuator 可以方便地了解应用程序的运行状况，监控关键指标，并根据需要采取相应的措施。