随笔分类 - 安全
摘要:通过OpenSSL生成公私钥文件(如果没有OpenSSL工具建议下载Cmder工具自带OpenSSL指令) 1、生成RSA密钥的方法 genrsa -out private-rsa.key 2048 2、获取客户端公钥文件 openssl req -new -x509 -key private-rs
阅读全文
摘要:项目版本: Maven配置: 写在前面的话: springboot中集成shiro相对简单,只需要两个类:一个是shiroConfig类,一个是CustonRealm类。 ShiroConfig类: 顾名思义就是对shiro的一些配置,相对于之前的xml配置。包括:过滤的文件和权限,密码加密的算法,
阅读全文
摘要:阅读目录 问题描述 问题分析 问题解决 为什么 你的网站是否在尾部出现了让人恼火的广告? 这次我算是遇到了这些流氓的广告。那么就让我们一步步攻克这些恼火的广告吧。 问题描述 某一天下午开始,我们制作的网站就开始被各种广告注入,类似上图这种。 还有在网页右下角出现的广告 发现问题的有:1、手机端网页最
阅读全文
摘要:TCP握手协议 在TCP/IP协议中,TCP协议提供可靠的连接服务,采用三次握手建立一个连接. 第一次握手:建立连接时,客户端发送syn包(syn=j)到服务器,并进入SYN_SEND状态,等待服务器确认; SYN:同步序列编号(Synchronize Sequence Numbers) 第二次握手
阅读全文
摘要:LDAP概念和原理介绍 相信对于许多的朋友来说,可能听说过LDAP,但是实际中对LDAP的了解和具体的原理可能还比较模糊,今天就从“什么是LDAP”、“LDAP的主要产品”、“LDAP的基本模型”、“LDAP的使用案例”四个方面来做一个介绍。 我们在开始介绍之前先来看几个问题: 1. 我们日常的办公
阅读全文
摘要:#,Authentication,认证,也就是验证用户的身份,就是确定你是不是你,比如通过用户名、密码的方式验证,或者某些第三方认证,比如微信认证。 #,Authorization,授权,也叫访问控制,也就是看你是否有权限做什么事情,比如是否有权限看某个文件,或者是否有权限做后台管理; #,Ciph
阅读全文
摘要:原理跨站脚本(Cross site script,简称xss)是一种“HTML注入”,由于攻击的脚本多数时候是跨域的,所以称之为“跨域脚本”。 我们常常听到“注入”(Injection),如SQL注入,那么到底“注入”是什么?注入本质上就是把输入的数据变成可执行的程序语句。SQL注入是如此,XSS也
阅读全文
摘要:摘要: 在Web应用中,使用JWT替代session并不是个好主意 适合JWT的使用场景 抱歉,当了回标题党。我并不否认JWT的价值,只是它经常被误用。 什么是JWT 根据维基百科的定义,JSON WEB Token(JWT,读作 [/dʒɒt/]),是一种基于JSON的、用于在网络上声明某种主张的
阅读全文
摘要:OAuth(开放授权)是一个关于授权的开放标准,允许用户让第三方应用访问该用户在某一网站上存储的私密的资源(如照片,视频,联系人列表),而无需将用户名和密码提供给第三方应用。目前的版本是2.0版,本文将对OAuth2.0的一些基本概念和运行流程做一个简要介绍。主要参考RFC-6749。 应用场景 这
阅读全文
摘要:RSA概述 首先看这个加密算法的命名.很有意思,它其实是三个人的名字.早在1977年由麻省理工学院的三位数学家Rivest、Shamir 和 Adleman一起提出了这个加密算法,并且用他们三个人姓氏开头字母命名. RSA加密算法是一种非对称加密算法,其玩法打破了以往所有加密算法的规则.在RSA出现
阅读全文