security
关注
分享
扫一扫
xiejx618
这个作者很懒,什么都没留下…
展开
-
05LDAP目录服务
LDAP(Lightweight Directory Access Protocol):类似于组织机构图和地址薄.LDAP越来越多的用来作为集中管理组织用户信息的方式,可以将成千的用户分成逻辑上的组并允许在不同的分布式系统间共享统一的用户信息.为了安全目的,LDAP 经常被用来帮助集中的用户名和密码认证——用户的凭证存储在LDAP目录中,而对于用户来说,认证请求基于目录进行。这对于管理员来说可转载 2014-04-14 00:36:14 · 1085 阅读 · 0 评论 -
关于springSecurity
保存请求与移除请求//save requestorg.springframework.security.web.access.ExceptionTranslationFilter#doFilter{handleSpringSecurityException(request, response, chain, ase);}org.springframework.security.web.acc原创 2016-04-13 22:49:44 · 2338 阅读 · 0 评论 -
基于java config的springSecurity(二)--自定义认证
可参考的资料:http://blog.youkuaiyun.com/xiejx618/article/details/42523337http://blog.youkuaiyun.com/xiejx618/article/details/22902343本文在前文的基础上将基于内存的AuthenticationProvider改为自定义的AuthenticationProvider1.修改原创 2015-01-11 11:22:27 · 22174 阅读 · 3 评论 -
基于java config的springSecurity(一)--基本搭建
本文主要介绍基于java config的集成配置.spring data jpa等等相关的资料在前面博文有介绍.1.pom.xml.<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schema原创 2015-01-08 12:55:33 · 24821 阅读 · 0 评论 -
ssl开启客户端认证配置
参考: 1.http://tomcat.apache.org/tomcat-8.0-doc/ssl-howto.html 2.http://www.eclipse.org/jetty/documentation/current/configuring-ssl.html 3.http://www.eclipse.org/jetty/documentation/9.3.0.v20150612/je原创 2016-06-14 13:48:43 · 8458 阅读 · 0 评论 -
数字签名是什么
原文地址:http://www.youdzone.com/signature.html 译文分析地址:http://www.ruanyifeng.com/blog/2011/08/what_is_a_digital_signature.html Bob has been given two keys. One of Bob’s keys is called a Public Key, the转载 2016-06-14 22:10:05 · 565 阅读 · 0 评论 -
springSecurity双模认证
这里的双模意思是同时支持基于客户端证书和表单登录的认证.大概思路,如果用户提供了客户端证书,优先认证客户端证书,如果认证失败就跳转到基于表单的认证.1.tomcat或jetty开启客户端认证配置可以看前面的文章.可能要调节客户端认证参数,如tomcat应将clientAuth设为want, 2.配置:package com.berchina.uums.config;import org.sprin原创 2016-06-16 14:46:38 · 1237 阅读 · 0 评论 -
springSecurity集成cas
cas是Central Authentication Service的简写.提供中央认证服务,实现企业级单点登录.详细参考:https://www.apereo.org/projects/cas .下面是入门测试一.客户端核心配置.package org.exam.config;import org.jasig.cas.client.validation.Cas20ProxyTicketValid原创 2016-06-18 02:04:52 · 2526 阅读 · 0 评论 -
springSecurity查看在线用户和下线用户
参考:文章<springSecurity五session并发控制>原创 2016-07-07 00:35:21 · 6483 阅读 · 2 评论 -
五篇基于java config的spring security
ROB WINCH短短几天在spring blog发表了五篇基于java config的spring security一.http://spring.io/blog/2013/07/02/spring-security-java-config-preview-introduction/二.http://spring.io/blog/2013/07/03/spring-security-转载 2014-03-30 14:06:26 · 1678 阅读 · 0 评论 -
基于java config的springSecurity(三)--加入RememberMe,启用CSRF和增强密码
参考http://docs.spring.io/spring-security/site/docs/3.2.5.RELEASE/reference/htmlsingle/的Remember-Me Authentication和Cross Site Request Forgery (CSRF)一.加入remember me1.修改配置@Overrideprotected v原创 2015-01-12 00:43:50 · 13578 阅读 · 2 评论 -
基于java config的springSecurity(六)--集成spring session
参考资料:http://docs.spring.io/spring-session/docs/current-SNAPSHOT/reference/html5/guides/security.html集成很简单,就不贴代码了.参考资料的How does it work?做了比较详细的说明.当然要注意,确保注册springSessionRepositoryFilter要比springSecu原创 2015-01-23 19:29:00 · 8595 阅读 · 2 评论 -
基于java config的springSecurity(五)--session并发控制
参考spring-security-reference.pdf的Session Management.特别是Concurrency Control小节.管理session可以做到:a.跟踪活跃的session,显示在线用户,基于将用户下线.b.控制并发,即一个用户最多可以使用多少个session登录,比如设为1,结果就为,同一个时间里,第二处登录要么不能登录,要么使前一个登录失效.原创 2015-01-20 00:15:18 · 19357 阅读 · 4 评论 -
基于java config的springSecurity(四)--启用全局方法安全
参考资料:http://docs.spring.io/spring-security/site/docs/3.2.5.RELEASE/reference/htmlsingle前面实现了认证,一般都满足不了应用的需求.使用@EnableGlobalMethodSecurity来实现授权,实现用户对某个操作是否有权限的控制.1.使用@EnableGlobalMethodSecurity注解原创 2015-01-15 12:43:28 · 24883 阅读 · 0 评论 -
反向代理分离资源服务器分析
参考:https://github.com/spring-guides/tut-spring-security-and-angular-js/blob/master/proxy/README.adoc 和前文相似,使用SpringSession实现HttpSession共享,UI服务器同时是反向代理服务器,根据需求将请求转发到资源服务器,这里同时将请求头转发,资源服务器从请求头得到Token,进行转载 2016-04-01 21:35:49 · 4264 阅读 · 0 评论 -
02http元素自定义配置
在上一篇的基础上进行修改.一.配置自定义登录.1.在http元素内加入<form-login login-page="/login/form" login-processing-url="/login" username-parameter="username" password-parameter="p转载 2014-04-02 23:51:53 · 1528 阅读 · 0 评论 -
00认证(Authentication)和授权(Authorization)
接下来段时间打算学习下Robert Winch写的spring security 3.1这本书,记下笔记顺便放到blog.主要的使用环境:jdk7+maven3.1.1+jetty9.1.3+idea13.0.1+spring mvc3.1.0+spring security3.1.0开发安全应用,认证(Authentication)和授权(Authorization)是两个重要的安全转载 2014-04-02 13:23:53 · 1425 阅读 · 0 评论 -
01Hello Spring Security例子--spring最小配置
一.Hello Spring Security例子(在chapter02.00-calendar项目的基础上进行修改).1.在pom.xml添加依赖: org.springframework.security spring-security-config 3.1.0.RELEASE runtime转载 2014-04-02 22:20:38 · 1320 阅读 · 0 评论 -
03自定义认证
本文在书源代码chapter03.00-calendar基础上修改.一.新注册用户自动登录.1.将新注册用户归入spring security管理.在前面的章节的例子,如果我们新建一个用户,但spring security是不知道的,也就是新建立的用户是不受spring security管理的.使用以下代码可将建立的用户交给spring security管理.List author转载 2014-04-04 00:06:41 · 4591 阅读 · 2 评论 -
06记住我服务
spring security通过浏览器的用户cookie实现记住我的功能.spring security提供两种记住我的策略.1.基于Token,它依赖加密签名;2.基于持久化,需要数据存储(数据库)添加依赖转载 2014-04-15 00:35:37 · 1443 阅读 · 0 评论 -
04基于JDBC的认证
前面章节的数据并不是完全来自于数据库,比如spring security用户初始只是在mw转载 2014-04-08 00:00:23 · 3691 阅读 · 0 评论 -
基于java config的springSecurity--单元测试
参考:1.http://spring.io/blog/2014/05/07/preview-spring-security-test-method-security2.http://spring.io/blog/2014/05/23/preview-spring-security-test-web-security3.http://spring.io/blog/2014/05/23/p原创 2015-09-29 00:14:45 · 5729 阅读 · 1 评论 -
springSecurity分离资源服务器分析
参考:https://github.com/spring-guides/tut-spring-security-and-angular-js/tree/master/vanilla 使用SpringSession实现HttpSession共享,从客户端传过来的Token到资源服务器进行Token解码这种思路简单,实现却不简单的做法在生产上应该不会去应用.主要原理看下图: 1.浏览器向UI服务转载 2016-04-01 21:34:04 · 3265 阅读 · 0 评论 -
关于JWT
原地址:http://jwt.io/introduction/What is JSON Web Token?JSON Web Token (JWT) is an open standard (RFC 7519) that defines a compact and self-contained way for securely transmitting information between par转载 2016-04-01 21:41:55 · 2716 阅读 · 0 评论 -
使用JWT的OAuth2的SSO分析
参考:https://github.com/spring-guides/tut-spring-security-and-angular-js/blob/master/oauth2/README.adoc http://jwt.io/introduction/ 本文在<使用OAuth2的SSO分析>文章的基础上扩展 1.浏览器向UI服务器点击触发要求安全认证 2.跳转到授权服务器获取授权许转载 2016-04-01 21:42:53 · 24006 阅读 · 4 评论 -
使用OAuth2的SSO分析
参考:https://github.com/spring-guides/tut-spring-security-and-angular-js/blob/master/oauth2-vanilla/README.adoc 1.浏览器向UI服务器点击触发要求安全认证 2.跳转到授权服务器获取授权许可码 3.从授权服务器带授权许可码跳回来 4.UI服务器向授权服务器获取AccessToken转载 2016-04-01 21:37:26 · 63183 阅读 · 14 评论 -
一个网关与多UI应用
参考:https://github.com/spring-guides/tut-spring-security-and-angular-js/tree/master/double 先看目标架构图: 1.包含一个网关Gateway,两个UI应用(分别为UI和Admin),一个资源Resource应用,一个Redis(浏览器忽略) 2.无论是网关本身,还是两个UI应用,还是资源应用,都要通过网关去转载 2016-04-03 09:13:43 · 1463 阅读 · 1 评论 -
spring Security oAuth2例子分析
参考: 1.https://tools.ietf.org/html/rfc67492.http://projects.spring.io/spring-security-oauth/docs/oauth2.html基于spring-security-oauth2,从https://github.com/spring-projects/spring-security原创 2016-01-23 18:24:08 · 28886 阅读 · 10 评论