security
关注
分享
扫一扫
shierqu
这个作者很懒,什么都没留下…
展开
-
使用Apache Shiro进行java认证说明
认证是尝试证明一个用户是谁的过程。为了进行认证,一个用户需要提供系统能够理解并信任的某种形式的身份证明。这个过程中我们需要了解的专业术语包括: Subject——指当前操作者,可以是人(用户)、第三方程序以及其他任何任何与我们应用程序交互的人或事物。 Principals——是Subject的标示属性,如用户名、社会安全码(如中国的身份证号) Cre原创 2015-01-30 23:07:29 · 1469 阅读 · 2 评论 -
spring security 下web应用安全的关键Filter:FilterSecurityInterceptor
尽管spring security提供了许多filter(参考《spring security 标准Filter及其在filter chain的顺序》)处理不同事情,但在web应用的安全防护上核心filter有如下图所示四个核心的filter,而FilterSecurityInterceptor负责处理HTTP资源的安全性。整个过程需要依赖AuthenticationManager、AccessD原创 2015-10-31 23:43:28 · 9843 阅读 · 1 评论 -
spring security 标准Filter及其在filter chain的顺序
参考(4.3.6)http://docs.spring.io/spring-security/site/docs/3.2.8.RELEASE/reference/htmlsingle/#ns-web-advancedAliasFilter ClassNamespace Element or AttributeCHANN转载 2015-10-31 23:39:51 · 8152 阅读 · 1 评论 -
spring security使用数据库获取资源、角色和权限保护web应用
在《使用数据库定义资源、角色和权限》中已经定义了该示例的实体关系,本文对其进行实现。web应用中有三种资源。/main/common.action:具有common角色的用户就可以访问/main/admin.action: 具有admin角色的用户就可以访问/main/share.action: 具有common和admin角色的用户可以访问,但两角色用户看到的内容原创 2015-10-31 23:44:44 · 7899 阅读 · 2 评论 -
spring Namespace和核心组件简介
spring security2.0起已经支持Namespace xml schema方式。其大体包含以下方面的内容。 1. Web/HTTP Security——最复杂部分。设置filter和其他应用于认证机制、保护URLS、导向登陆页面和错误页面等等的服务bean。 2. Business Object (Method) Security - options for s原创 2015-09-29 10:23:34 · 1480 阅读 · 1 评论 -
使用数据库定义资源、角色和权限
在《spring Namespace和核心组件简介》中我们发现url可以访问的角色是直接在applicationContext-security中配置的,而这使其适应性差了许多。 pattern="/secure/**" access="ROLE_USER" requires-channel="https"/> pattern="/**" access="ROLE_USER" requ原创 2015-09-29 10:26:38 · 2850 阅读 · 1 评论 -
spring security:访问控制列表来保护领域对象
之前提到的安全保护和权限控制都是只针对 URL 或是方法调用,只对一类对象起作用。而在有些情况下,不同领域对象实体所要求的权限控制是不同的。以第一类示例应用来说,系统中有报表这一类实体。由于报表的特殊性,只有具有角色 ROLE_PRESIDENT的用户才可以创建报表。对于每份报表,创建者可以设定其对于不同用户的权限。比如有的报表只允许特定的几个用户可以查看。对于这样的需求,就需要对每个领域对象的实转载 2015-08-31 23:16:18 · 3411 阅读 · 1 评论 -
spring security:保护方法调用
基本用户认证和授权本节从最基本的用户认证和授权开始对 Spring Security 进行介绍。一般来说,Web 应用都需要保存自己系统中的用户信息。这些信息一般保存在数据库中。用户可以注册自己的账号,或是由系统管理员统一进行分配。这些用户一般都有自己的角色,如普通用户和管理员之类的。某些页面只有特定角色的用户可以访问,比如只有管理员才可以访问 /admin 这样的网址。下面介绍如何使用转载 2015-08-31 23:14:38 · 2396 阅读 · 1 评论 -
利用jcifs进行NTLM协议认证,生成ws访问客户端
调用在windows server 2012 的IIS上部署的webservice服务需要进行NTLM协议认证,为了能正常利用cxf生成客户端,首要解决的是需要windows NT authentication,可以采用早前的开源库jcifs。public static void main(String[] args) { Config.registerSmbURLHandle原创 2015-04-30 22:43:01 · 1651 阅读 · 2 评论 -
使用Apache Shiro进行授权说明
授权或叫访问控制是对资源指定访问权限的功能。简单而言就是谁能够访问什么。在授权领域有三个关键元素——permissions, roles, and users——在shiro中我们经常会引用。Permissions(权限)是安全策略中最原子级别的概念,并且他们够不语句表达。权限代表在我们的系统中可以做什么。良好的权限形式描述了资源类型以及拥有它的操作者能够对这些资源做什么。比如是否可以原创 2015-01-30 23:16:46 · 1516 阅读 · 2 评论 -
odm teamserver与定制portal sso过程中遇到的Request Headers Referer属性安全性校验问题
从portal sso方式链接到IBM ODM teamserver,方便业务人员操作,更是团队开发的财富、汇金、汇诚等业务系统与odm、filenet等中间件一体化的重要体现。不过从portal调用ibm_security_check进行退出后,再次从portal sso链接teamserver时,400 bad request返回消息,而直接在浏览器地址栏中访问odm teamserver应用原创 2016-03-31 01:02:33 · 2201 阅读 · 6 评论