最近我要實作使用 OAuth 2 認證的 API ，我先是看了 Spec (RFC 6740 、 RFC 6750），然后研究了既有的 Rails solution ，但因為 API 是用 Grape 蓋的，又 Doorkeeper / Rack::OAuth2 / Grape 內建的 OAuth 2 認證全都無法直接拿來用，所以只好自己實現 API 認證這部份。

DDoS攻擊是什么？DDoS（Distributed Denialof Service）即分布式拒絕服務攻擊。攻擊主要目的是讓指定目標無法提供正常服務。是目前最強大、最難防御的攻擊之一。近年出現的DRDoS（分布式反射攻擊）讓DDoS攻擊水平迅速提升，互聯網安全被網絡暴力所威脅。

對稱算法使用一個密鑰。給定一個明文和一個密鑰，加密產生密文，其長度和明文大致相同。解密時，使用讀密鑰與加密密鑰相同。 openssl是一個功能豐富且自包含的開源安全工具箱。它提供的主要功能有：SSL協議實現(包括SSLv2、SSLv3和TLSv1)、大量軟算法(對稱/非對稱/摘要)、大數運算、非對稱算法密鑰生成、ASN.1編解碼庫、證書請求(PKCS10)編解碼、數字證書編解碼、CRL編解碼、OCSP協議、數字證書驗證、PKCS7標準實現和PKCS12個人數字證書格式實現等功能。 openssl采用C語言作為開發語言，這使得它具有優秀的跨平臺性能。openssl支持Linux、UNIX、windows、Mac等平臺。openssl目前最新的版本是0.9.8e.

隨著對稱密碼的發展,DES數據加密標準算法由于密鑰長度較小(56位),已經不適應當今分布式開放網絡對數據加密安全性的要求，因此1997年NIST公開征集新的數據加密標準,即AES[1]。經過三輪的篩選,比利時JoanDaeman和VincentRijmen提交的Rijndael算法被提議為AES的最終算法。此算法將成為美國新的數據加密標準而被廣泛應用在各個領域中。盡管人們對AES還有不同的看法,但總體來說,AES作為新一代的數據加密標準匯聚了強安全性、高性能、高效率、易用和靈活等優點。AES設計有三個密鑰長度:128,192,256位，相對而言，AES的128密鑰比DES的56密鑰強1021倍[2]。

1.背景對于權限控制，只要是做過一個比較正規的項目的人，相信都不會陌生。對于大多數人來說，都應該是從“匹配權限名稱”到“匹配權限的URL”的過程，我也不例外。當我第一次去做權限控制的時候，去網上查了下，對那基本的五張表也有了不錯的理解。但是直到在實現的過程中，我才發現基于URL的權限控制遠遠要比基于名稱的權限控制要好的多。這里為了方便后面的描述，我這里定義：基于名稱的權限控制，叫做onname；

精通PKI網絡安全證技術與編程實現一書中的例子代碼有錯原書申明加密字符

Shiro使用簡介核心組件Subject Security Manager Realms核心組件Subject：即“當前操作用戶”Security Manager：它是Shiro框架的核心，典型的Facade模式，Shiro通過Security Manager來管理內部組件實例，并通過它來提供安全管理的各種服務Realm充當了Shiro與應用安全數據間的“橋梁”或者“連接器”。也

簡單的介紹，簡單的配置，簡單的擴展一，shiro簡介Apache Shiro是一個強大而靈活的開源安全框架，它能夠干凈利落地處理身份認證，授權，企業會話管理和加密。以下是你可以用ApacheShiro所做的事情：?驗證用戶?對用戶執行訪問控制，如：?判斷用戶是否擁有角色admin。判斷用戶是否擁有訪問的權限?在任何環境下使用Session API。例如CS程序。?可以使用多個用戶數據源。例如一個是oracle用戶庫，另外一個是mysql用戶庫。?單點登錄（SSO）功能。?“RememberMe”服務，類似購物車的功能，shiro官方建議開啟。Shiro的4大部分——身份驗證，授權，會話管理和加密?Authentication：身份驗證，簡稱“登錄”。

技術污點分析等補丁比對技術靜態分析技術動態分析技術漏洞利用技術設計原則完美、和諧的標準：滿足各種網絡需求只要求目標存在漏洞穩定、可重復，不影響目標系統可擴展、可對抗簡單、通用、傻瓜化對抗防火墻數據通道技術

令牌：是一種能夠控制站點占有媒體的特殊幀，以區別數據幀及其他控制幀。令牌法（TokenPassing）又稱為許可證法，用于環型結構局域網的令牌法稱為令牌環訪問控制法（TokenRing），用于總線型結構局域網的令牌法稱為令牌總線訪問控制法（TokenBus）。令牌法的基本思想是：一個獨特稱為令牌的標志信息（一位或多位二進制數字組成的碼）從一個節點發送到另一個節點，只有獲得令牌的節點才有權發送信息包。

Spring Security，這是一種基于Spring AOP和Servlet過濾器[7]的安全框架。它提供全面的安全性解決方案，同時在Web請求級和方法調用級處理身份確認和授權。在Spring Framework基礎上，Spring Security充分利用了依賴注入（DI，Dependency Injection）和面向切面技術。 Spring Security原身是Spring Acegi，在Spring Acegi 2.0之后改名為Spring Security 2.0。我們現在講解的是Spring Security 3.0，相對于2.0而言改動比較大，配置也更加簡單了。

openssl大數運算函數簡介

Web開發常見安全問題歷史Web安全框架一、SQL注入SQLInjection1、在組合SQL語句時要使用SQL變量綁定功能2、如果數據庫不提供變量綁定，那么需要對構成SQL的所有變量進行轉義3、不要將錯誤信息原封不動地顯示在瀏覽器中。4、為訪問數據庫的用戶設置適當的權限。

權限管理及其實現思路需求：oa系統包含眾多模塊，要求能夠通過權限管理，控制不同用戶對模塊的訪問權限，而且需要控制到（增刪改查）CRUD操作的級別。要求能通過角色對用戶進行統一授權，在某些特殊情況下，能夠單獨對用戶進行授權。分析概念模型
設計：在用戶與角色的關系中，以用戶為主來進行設計符合客戶的使用習慣，即“將多個角色授予某個用戶（讓用戶擁有多個角色）”，比“將多個用戶添加到某個角色上”更加讓人容易理解。

BackTrack是一套專業的計算機安全檢測的Linux操作系統，簡稱BT。BackTrack 是一個基于Ubuntu GNU/Linux的發行版本，主要用做數字取證和入侵測試。它的名字引用自回溯法（backtracking）。BackTrack 給用戶提供了大量功能強大但簡單易用的安全工具軟件。

在很多情況下，我們的軟件為防止盜用，都增加了license的校驗功能，通過license文件進行授權，從而讓使用者不能隨意使用其未購買的功能。然而，道高一尺，魔高一丈，一些用戶的高手往往會找到很多控制許可的程序點，通過反編譯等手段（這里針對Java語言），對控制許可的Java類進行破解，從而使license文件失效。這里就介紹一種反破解的技術，對一些關鍵的Class進行簽名，然后在程序的另一個地方對這些class簽名進行驗證，如果這些class中有被改寫的跡象，那么簽名驗證肯定會失敗，簽名失敗后程序就不會正常運行，這樣就可以進行反破解操作。

Cookies是一小段提請存儲在您的計算機硬盤上的文本。當獲得您的同意后，瀏覽器將會把此段文本存儲到一個小文件中。如果您將瀏覽器設定為在接收Cookies之前給予提示，您在訪問okhtm.com網站時將會注意到希望在您的計算機上放置Cookies的請求，其目的是通知我們您何時訪問了我們的網站。

本文檔是為了讓大家對各種web安全威脅的產生原因、常見攻擊手段有更深入的了解，并且作為各種web安全威脅的修補方案標準，以便大家能夠快速的定位漏洞代碼和解除安全隱患。

很讓人高興的是一批又一批的拆解高手從看雪學院誕生，國內的cracker達到了空前的數量，這在以前是很難想象的。同時也隨之帶來了些這樣和那樣的問題。今天借這個機會想和大家簡單聊聊幾個關于cracker的話題。 先聊聊所謂的CRACK精神吧，這種精神不象HACK精神，并沒有在網絡上形成一種統一的說法，籠統的說，其實這是一種自由的精神，CRACKER最關心的是程序的保護方式和加密思想及其可能存在的漏洞。正如TIANWEI所說：“其實我這個網頁也是說明一個道理，這個時代，沒有什么不是自由的！信息化的變革敲打著每家每戶的門窗……”所以說，crack不等于盜版，至于個別的個人行為我們無權說三道四，但也不希望個別的行為使人們對CRACK曲解。

實驗項目三:數字簽名及身份識別實驗目的⑴了解數字簽名系統。⑵加深對數字簽名及其法律法規的理解。實驗環境服務器、PC機、交換機組成的網絡實驗內容（1）登陸網絡,查詢數字簽名的相關算法。（2）登陸網絡，查詢DSS和DSA的簽名原理，記錄下來。檢索我國的數字簽名標準，并與DSS作對比。（3）登陸網絡,查詢中國數字簽名法律法規的相關內容,如法律原文、相關執行方案等。