微軟的CryptoAPI是Win32平臺下為應用程序開發者提供的數據加密和安全的編碼接口。CryptoAPI函數集包含了基本的ASN.1的編碼、解碼，散列，數據加密和解密，數字證書管理等重要的密碼學應用功能。數據的加密、解密支持對稱和非對稱兩類算法。CryptoAPI是所有微軟的Win32的應用程序以及第三方廠商應有程序使用的數據加密接口，諸如Internet Explorer、OutLook、Adobe等應用都是基于CryptoAPI開發的。

許多網絡程序，如telnet、rsh、rlogin或rexec，用明文（plain　text）傳送口令和秘密的信息，所以就可利用任何連接到網絡上的計算機監聽這些程序和服務器之間的通信并獲取口令和秘密信息。現在，telnet程序對于日常的管理工作是必不可少的，但是它又是不安全的，那么用什么來替代它呢？OpenSSH就是那些過時的、不安全的遠程登錄程序，如：telnet、rlogin、rsh、rdist或rcp的替代品。　

如果你正想學習權限方面的知識，或者正打算把Shiro作為權限組件集成到自己的web application中，或許正在為Shiro如何實現CAPTCHA（驗證碼）功能而傷透腦筋。那么，本文正是為你準備的。本文簡單介紹權限方面的基礎知識并以實際例子，帶你進入Shiro的世界。

Apache Shiro是一個強大易用的Java安全框架，提供了認證、授權、加密和會話管理等功

apache shiro 管理用戶權限與數據庫交互

權限往往是一個極其復雜的問題，但也可簡單表述為這樣的邏輯表達式：判斷“Who對What(Which)進行How的操作”的邏輯表達式是否為真。針對不同的應用，需要根據項目的實際情況和具體架構，在維護性、靈活性、完整性等N多個方案之間比較權衡

OpenSSL有兩種運行模式：交互模式和批處理模式。直接輸入openssl回車進入交互模式，輸入帶命令選項的openssl進入批處理模式 。

SSL是一種在客戶端和服務器端之間建立安全通道的協議。SSL一經提出，就在Internet上得到廣泛的應用。SSL最常用來保護Web的安全。為了保護存有敏感信息Web的服務器的安全，消除用戶在Internet上數據傳輸的安全顧慮。

訪問控制，是指按用戶及其所歸屬的某項定義組來限制用戶對某些信息項的訪問，或限制對某些控制功能的使用。訪問控制通常用于系統管理員控制用戶對服務器、目錄、文件等的訪問。

1.根證書的申請準備根證書準備一些空目錄和文件，作用如下：certs/保存頒發的所有證書的副本index.txt跟蹤已頒發的證書，初始為空openssl.cnfopenssl和根證書的配置文件private/CA證書的私鑰serial最后一次頒發的證書的序列號，初始值01，也可以是00等其它值openssl.cnf

web應用漏洞學習利器-WebGoat使用教程WebGoat是由著名的OWASP負責維護的一個漏洞百出的J2EEWeb應用程序，這些漏洞并非程序中的bug，而是故意設計用來講授Web應用程序安全課程的。這個應用程序提供了一個逼真的教學環境，為用戶完成課程提供了有關的線索。

根據公司項目的開發要求和集合spring security3.0功能，公司將通過數據庫進行對用戶身份驗證和授權，系統將建立5個基礎表進行對權利的管理。

Spring Security3配置說明：最近在學習Spring Security3，感覺功能很強大。但是網上資料不多，學習起來還是有點問題，本著我為人人，人人為我的精神，今天也貢獻點資源，可能不深入，文檔不夠好，請大家多多原諒。

在認識SpringSecurity之前，所有的權限驗證邏輯都混雜在業務邏輯中，用戶的每個操作以前可能都需要對用戶是否有進行該項操作的權限進行判斷，來達到認證授權的目的。類似這樣的權限驗證邏輯代碼被分散在系統的許多地方，難以維護。AOP（Aspect Oriented Programming）和SpringSecurity為我們的應用程序很好的解決了此類問題，正如系統日志，事務管理等這些系統級的服務一樣，我們應該將它作為系統一個單獨的“切面”進行管理，以達到業務邏輯與系統級的服務真正分離的目的。

D.D.O.S（Distributed Denial of service）分布式拒絕服務攻擊使用了分布式客戶服務器功能，加密技術及其它類的功能，它能被用于控制任意數量的遠程機器，以產生隨機匿名的拒絕服務攻擊和遠程訪問。

本文檔只是對新手使用相關工具的一個入門指導，更詳細的信息請見工具本身的使用手冊或幫助。

Spring Security 安全框架的使用例子是留言板應用，打包為board.rar實例：消息留言板應用開發以spring MVC 為web框架、spring Security為安全框架的應用首先創建目錄結構。

一種是全部利用配置文件，將用戶、權限、資源(url)硬編碼在xml文件中。 二種是用戶和權限用數據庫存儲，而資源(url)和權限的對應采用硬編碼配置。 三種是細分角色和權限，并將用戶、角色、權限和資源均采用數據庫存儲，并且自定義過濾器，代替原有的FilterSecurityInterceptor過濾器，并分別實現AccessDecisionManager、 InvocationSecurityMetadataSourceService和UserDetailsService，并在配置文件中進行相應配置。

Shiro架構介紹一、什么是Shiro?ApacheShiro是一個強大易用的Java安全框架，提供了認證、授權、加密和會話管理等功能：?認證-用戶身份識別，常被稱為用戶“登錄”；授權-訪問控制；密碼加密-保護或隱藏數據防止被偷窺；會話管理-每用戶相關的時間敏感的狀態。對于任何一個應用程序，Shiro都可以提供全面的安全管理服務。

信息安全的核心技術是應用密碼技術。密碼技術的應用遠不止局限于提供機密性服務,密碼技術也提供數據完整性服務。密碼學上的散列函數(Hash Functions)就是能提供數據完整性保障的一個重要工具。Hash函數常用來構造數據的短“指紋”：消息的發送者使用所有的消息產生一個附件也就是短“指紋”，并將該短“指紋”與消息一起傳輸給接收者。即使數據存儲在不安全的地方，接收者重新計算數據的指紋，并驗證指紋是否改變，就能夠檢測數據的完整性。這是因為一旦數據在中途被破壞，或改變，短指紋就不再正確。