# Java Security

## 默认检查点

- 鉴权、角色判断、输入校验、反序列化、日志脱敏。
- 配置中的 secret 和环境差异不能写死在示例或测试里。
- 文件上传、下载和外部调用要说明限制与失败处理。

## 常见问题

- 把内部接口视为天然可信。
- 只在前端做校验，后端直接相信请求体。
- 错误堆栈把敏感字段或 SQL 暴露给调用方。