云原生之家

Java平台提供的认证与授权服务(Java Authentication and Authorization Service (JAAS))，能够控制代码对敏感或关键资源的访问，例如文件系统，网络服务，系统属性访问等，加强代码的安全性。主要包含认证与授权两部分，认证的目的在于可靠安全地确定当前是谁在执行代码，代码可以是一个应用，applet，bean，servlet；授权的目的在于确定了当前执行代

公钥与私钥机制属于非对称加密的范畴，非对称是相对于对称加密而言的，对称加密用于加密与解密的密钥是同一把，而非对称加密则用于加密与解密的密钥不相同，一个公开，称为公钥；一个保密，称为私钥，公钥与私钥必须成对出现，只有是配对的公钥与私钥才能用于加解密。公钥通过非安全通道发放，私钥则由发放者保留，公钥加密的数据，只能使用其配对的私钥对其解密；反之，私钥加密的数据，只可使用公钥对其解密。 对称

数字签名能够验证数据完整性、认证数据来源，并起到抗否认的作用，这3点与OSI参考模型中的数据完整性服务、认证(鉴别)服务和抗否认性服务相对应。消息摘要算法是验证数据完整性的最佳算法，因此，该算法成为数字签名中的必要组成部分。 基于数据完整性验证，我们希望数据的发送方可以对自己所发送的数据做相应的签名处理，同时给出对应的凭证(签名)，并且数据的接收方可以验证该签名是否与数据发送方发送的数

消息摘要又称数据指纹，主要用于数据的完整性校验，例如当你在apache下载一个jar包的时候，在下载列表中除了会提供下载链接，还会提供MD5摘要值，当你在下载完成后再对下载的文件计算摘要值，如果摘要值一致，则说明下载过程中没有发生数据丢失或更改，确保数据完整。消息摘要的算法主要包含MD(Message Digest)、SHA(Secure Hash Algorithm)和MAC(Messa

在前面说到，消息摘要用于验证数据完整性，对称与非对称加密用于保证数据保密性，数据签名用于数据的抗否认性，于是集这些安全手段于一身的终极武器--数字证书出现了。数字证书具备了加密/解密的必要信息，包含签名算法，可用于网络数据加密/解密交互，标识网络用户(计算机)身份。数据证书为发布公钥提供了一种简便途径，成为加密算法以及公钥的载体。 数字证书有多种文件编码格式，主要包含CER编码、DER

在Java中，秘密密钥的抽象接口为javax.crypto.SecretKey，其算法类型为对称加密算法，对称加密算法的主要特点就是加密与解密用的是同一把密钥，对称加密算法主要有：DES,DESede,AES,Blowfish,RC2,RC4等。下面看一个使用例子：package com.xtayfjpk.security;import java.io.ByteArrayOutputSt

在前面所讲到的一些安全技术手段如：消息摘要、加解密算法、数字签名和数据证书等，一般都不会由开发者直接地去使用，而是经过了一定的封装，甚至形成了某些安全协议，再暴露出一定的接口来供开发者使用。因为直接使用这些安全手段，对开发者的学习成本太高，需要深入了解底层实现才行，而直接使用封装后暴露出来的接口就容易多了。 在这些封装与协议的背后，很多都使用到了SSL/TSL协议，其中最常见的HTTP