Ohhnews

分类导航

DZone Java

Java应用中OAuth 2.0 On-Behalf-Of(OBO)流程:代表用户安全调用下游API

摘要 现代企业应用常需在多服务间传递用户身份。OAuth 2.0 On-Behalf-Of(OBO)流程允许中间层服务使用用户令牌换取下游专用令牌,从而实现用户级授权。本文以Spring Boot为例,演示OBO流实现步骤:添加MSAL4J依赖、获取下游令牌、调用API。同时强调安全最佳实践:验证令牌、最小权限、不记录令牌、保护密钥、缓存令牌。适用于医疗、微服务等场景,是构建零信任架构的基础技能。
#oauth 2.0#obo流程#java#spring boot#安全授权
$ more
Baeldung

Java周刊第653期:双比萨文化回归与技术更新

主要更新 回归双比萨文化:亚马逊团队规模模型强调自主与快速反馈。 JVM安全与Jackson漏洞:AI辅助安全研究揭示新威胁。 Endive 1.0:Wasm on JVM正式发布。 Spring Boot 4.1:支持MongoDB驱动的Spring Batch。 版本升级:IntelliJ IDEA、Quarkus、GraalVM、Jetty、Elasticsearch、Zuul、Grails、Micronaut、Apache Camel等多个框架发布维护版。 本周精选:Baeldung夏季促销。
#java#spring#jvm#安全#ai
$ more
InfoQ Java

Hardwood 1.0发布:零强制依赖,高速处理Apache Parquet文件

Hardwood项目由Gunnar Morling发起,专注于在Java中高速处理Parquet文件。版本1.0采用多线程架构并实现零强制外部依赖,相比Apache Parquet官方实现更简单高效。目前仅支持读取操作,写入支持预计在后续版本中增加。作者Olimpiu Pop。
#hardwood#apache parquet#java#高性能#数据处理
$ more
Jetbrains Blog

对话Golden Kodee奖得主

KotlinConf 2026首次颁发Golden Kodee社区奖,表彰五位杰出贡献者:Matheus Leandro Ferreira(教育)、Jaewoong Eum(线上影响力)、Nicole Terc(创造力)、Eeva-Jonna Panula(积极社会影响)和Yinlong Liu(线下活动)。获奖者分享了他们的项目与感悟:有人多年深耕教学与内容创作,有人通过开源项目和博客影响全球开发者,也有人专注无障碍与包容性。他们最初被Kotlin的简洁性、空安全和跨平台能力吸引,如今在Ktor、Compose Multiplatform、KMP、Hot Reload等领域持续创新。对于想参与社区的开发者,他们建议:公开学习、从小事贡献、主动社交、勇敢开始。
#kotlin#golden kodee奖#社区贡献#多平台开发#技术教育
$ more
foojay

这个依赖更新看起来完全像是账户劫持

文章分析了 javax.activation 从 1.1-rev-1 升级到 1.1.1 时失去 GPG 签名的案例,指出该模式与真实账户劫持高度相似,但最终确认为良性。作者强调传统 CVE 扫描的局限(滞后性),并介绍了自研开源工具 Marshal。该工具通过七项行为规则(如签名丢失、新维护者、依赖膨胀等)对每次依赖更新进行 0-100 分评分,旨在 CVE 尚未产生时提前发现风险。引擎设计避免单一信号触发最高告警,并包含信誉层和严格的白名单机制。目前支持 Maven 和 Gradle,提供 CLI、GitHub Action 和多种输出格式,可集成到 CI 流程。文章呼吁社区关注 JVM 生态的依赖行为监控。
#marshal#依赖更新#供应链安全#gpg签名#行为分析
$ more
foojay

BoxLang 1.14.0发布:JSONPath集成到DataNavigator,实现全方位数据导航

BoxLang 1.14.0 正式发布,其 DataNavigator 工具新增原生 JSONPath 路径表达式支持。新版本引入了 query()、getOrDefault()、getByKey() 等新方法,使得对深层嵌套数据(如 JSON API 响应、配置文件、模块元数据)的导航和查询更加简洁高效。文章通过多个真实场景展示了如何使用 JSONPath 表达式进行点号路径、递归下降、通配符、切片和条件过滤等操作,并给出了基于不同需求选择合适方法的指南。该版本还包含动态集合、范围、内部类、查询转换器等多项更新,详细文档及发布说明已上线。
#boxlang#datanavigator#jsonpath#数据处理#版本更新
$ more
Jetbrains Blog

Toolbox App 3.6 发布:智能存储清理、Windows 安装诊断等新功能

版本亮点 Toolbox App 3.6 带来了智能存储清理功能,用户可通过设置查看可安全清理的下载缓存、旧版本及临时文件等,并可直接清理。同时,Windows 安装诊断得到增强,能更准确地指出阻止安装的进程、只读文件或文件夹问题,便于用户排查。此外,CodeCanvas 服务已停止运行并从应用内移除。
#toolbox app#存储清理#windows安装诊断#版本更新#jetbrains
$ more
Jetbrains Blog

IntelliJ IDEA 2026.1.4 版本更新发布

主要修复 IntelliJ IDEA 2026.1.4 版本发布,带来多项有用修复: 修复Git分支更新显示问题 修复Docker Compose中pull_policy导致PHP解释器创建失败的问题 修复在WSL上使用Gradle 9.5.0时同步成功却显示为失败的错误 修复Dev Container连接时报Unknown Docker endpoint schema的错误 用户可以通过IDE内部、Toolbox App、snap(Ubuntu用户)或官网下载更新。
#intellij idea#版本更新#bug修复#git#docker
$ more
DZone Java

Apache Flink 死信队列模式:处理毒消息而不中断流

本文深入探讨 Apache Flink 中的死信队列(DLQ)设计模式,解决有毒消息导致管道循环重启的典型问题。核心模式包括:使用侧输出(Side Output)隔离失败记录、基于指数退避的重试机制、按错误类型分级路由至不同 DLQ 流、选择 Kafka 或 S3 作为持久化 Sink、添加 DLQ 比率监控与告警、以及通过专用重放作业实现安全恢复。文章强调 DLQ 的三大目标:隔离坏记录、保留故障上下文、支持重播,并给出生产环境检查清单。最终目的是确保一条坏消息不会无声消失,也不会无声中断流处理。
#apache flink#死信队列#毒消息#流处理#错误处理
$ more
foojay

使用MongoDB构建AI系统:实现规划模式

概述 人工智能已从研究课题快速演变为影响软件开发全流程的技术。开发者借助AI实现代码生成、代码审查、文档编写及工作流加速。本文探讨如何借助MongoDB数据库实现AI系统中的规划模式,为构建更智能的应用程序提供参考。
#mongodb#人工智能#规划模式#ai系统开发#软件工程
$ more