【系统安全性】一、背景、原理与解决思路

一、背景、原理与解决思路

1、为什么要提高安全性(针对Web系统)

网络上对Web应用程序存在多种Web攻击手段,为了使系统稳定运行,必须有所防范

常见的Web攻击:XSS攻击、注入攻击、CSRF攻击、文件上传漏洞、DDos攻击、其它

2、应对方式

2个切入点:网络的架构、应用程序的设计

网络架构

内外网分离、硬件+软件、防火墙、网闸

实例

应用程序

信息加密、信息过滤、认证、授权、协议

信息加密:

  单向散列加密:hash、MD5,不同长度加密成固定长度,只能加密,不能解密,所以是单向的

  对称加密:使用密钥加密解密,加密解密使用同一个密钥

  非对称加密:使用密钥加密解密,加密解密使用不同的密钥

认证(Authentication):证明身份

  摘要认证、签名认证

授权(Authorization):你的身份有什么权利

  授权模型:资源、权限、角色、用户

协议:

  HTTPS(HTTP over Secure Socket Layer)就是通信过程加密的HTTP

  OAuths:解决分布式环境开放和消费第三方接口的授权问题

3、安全性框架

有一些成熟的第三方安全性框架,我们可以直接使用,如

Spring Security、Apache Shiro

4、系统安全性实现思路

了解原理(加密算法和机制、认证和授权),框架应用(Apache Shiro)

 

posted @ 2018-03-30 08:49  LiveYourLife  阅读(278)  评论(0编辑  收藏  举报