yin_bp
- 浏览: 667659 次
- 性别:
- 来自: 长沙
-
最新评论
-
qianhao123:
...
采用gradle构建和发布bboss方法介绍 -
qianhao123:
[img][/img]
采用gradle构建和发布bboss方法介绍 -
yin_bp:
欢迎大家参与working
高性能elasticsearch ORM开发库使用介绍 -
qq641879434:
万分感谢
bboss 持久层sql xml配置文件编写和加载方法介绍 -
yin_bp:
qq641879434 写道怎么设置配置文件 可以查看执行的S ...
bboss 持久层sql xml配置文件编写和加载方法介绍
文章列表
bboss 提供了四种令牌和凭证存储机制:
内存 不能在集群环境使用,只适用于单机部署应用
数据库 可在集群环境使用,同时适用于单机部署应用
mongodb 可在集群环境使用,同时适用于单机部署应用
redis 可在集群环境使用,同时适用于单机部署应用
下面分别介绍四种机制的配置和使用方法,我们只需修改/resources/tokenconf.xml配置文件中的tokenStoreService组件实现类即可,示例如下:
内存方式
<property name="tokenStoreService" class="org.frameworkset.we ...
测试环境应用账号:
appid:gspoffice
secret:52ad4782-9002-4b88-9c70-83858d772b69
第一种方案:比较复杂
登录时获取ticket,自己保存在某个地方(session或者数据库都行):
String url = "http://bboss.bbossgroups.com/token/v2/genTicket.freepage?appid=" ...
本文以一个简单的实例来介绍bboss平台自定义资源权限控制使用方法。先定义一个资源类型,关联一操作组,操作组中定义的操作都关联了一组url,这些url访问权限与操作的权限一致,用户拥有操作的权限也就拥有了关联的url的权限(这样可以有效防止低权限用户);然后介绍如何通过安全组件在程序实现权限的检测功能。
1.定义资源类型和资源操作组并定义操作关联的url
在resources目录下新增一个resource-test.xml文件,在文件中添加资源类型和资源操作组:
<?xml version="1.0" encoding="UTF-8"?>
...
平台登录账号口令加密机制设置方法
平台加密机制:
[1]MD5:一种不可逆算法,安全
[2]BASE64:可逆算法,比较安全
[3]HEX passwordsEncryptionAlgorithm=SHA-384
[4]NONE:对密码不加密
具体设置方法:
修改/resources/properties-sys.xml文件中的两个属性:
passwordsEncryptionAlgorithm
encrpytype
平台默认密码为123456.
每种机制设置方法如下:
NONE
<property name="passwords ...
本文介绍bboss安全认证过滤器认证后重定向到请求页面功能,切入正题。
1.概述
通常受保护的页面需要认证后才能访问,当我们在浏览器端访问这些页面时,如果没有认证,则需要先认证,认证完毕后需要直接进入这些页面而 ...
本文详细介绍bboss跨站攻击白名单和跨站脚本攻击防火墙配置
首先看一个完整的过滤器配置:
<filter>
<filter-name>CharsetEncoding</filter-name>
<filter-class>com.frameworkset.common.filter.SessionCharsetEncodingFilter</filter-class>
<init-param>
<param-name>RequestEncoding< ...
bboss防止跨站攻击策略
此前博客中撰文介绍了bboss 动态令牌机制轻松搞定表单重复提交的方法,本文介绍bboss防止跨站攻击的方法。
通过增强bboss字符编码转换器的功能实现防止跨站攻击功能:
com.frameworkset.common.filter.CharsetEncodingFilter
单纯(不具备防止跨站攻击能力)的字符编码转换过滤器的使用方法如下:
<filter>
<filter-name>CharsetEncoding</filter-name>
<filter-class>com.frame ...
本文是bboss 标签库系列文章续篇-安全篇,前两篇文章《bbossgroups标签使用大全》和bbossgroups标签库使用大全(续) 介绍了bboss数据展示标签库和逻辑标签库。
本文介绍两个和安全相关的标签:
dtoken
assertdtoken
这两个标签所属的 ...
bboss3.6.0及后续版本增加特性-防止控制器中public方法成为控制器方法接收客户端请求,通过该特性可以使控制器层安全保障能力得到有效的增强和加固。本特征具体描述为:
1.自动排除控制器中的属性的get/set方法成为控制器方法
2.新增注解ExcludeMethod,可以通过它标注方法不作为控制器方法
org.frameworkset.web.servlet.handler.annotations.ExcludeMethod
ExcludeMethod注解的使用方法非常简单,下面说明一下:
@ExcludeMethod
public final void helloword(Str ...
bboss 动态令牌使用示例-ajax请求获取和传递令牌。bboss动态令牌实现机制参考文档:
bboss 动态令牌机制轻松搞定网站跨站攻击和表单重复提交问题
本文内容:
1.如何编写自己的令牌生成控制器(基于bboss mvc)
2.如何通过ajax申请令牌和传递令牌
接下来进入正文。
1.编写令牌生成控制器
package com.bboss.common.action;
import javax.servlet.http.HttpServletRequest;
import org.frameworkset.util.annotations.ResponseBody;
...
bboss 动态令牌机制轻松搞定表单重复提交和请求校验签名单点登录,本文详细介绍之。
最新代码请参考文档获取:
bbossgroups 项目下载地址
一、概述
bboss在安全方面下了不少功夫,为了解决表单重复提交问题提供了动态令牌机制,具体内容如下:
1.增加动态令牌检测过滤器(可独立使用,也可与安全认证过滤器结合使用)
2.增加dtoken标签(用来在表单或者请求中投放动态令牌)
3.增加assertdtoken标签(用来在接收请求的服务器jsp页面头部判断客户端是否正确传递令牌,并检测令牌是否有效,如果没有令牌或者令牌无效,那么拒绝客户端请求)
4.assertdtoken注解(用 ...
本文介绍bboss mvc结合jsonp实现跨站跨域应用间通讯功能的使用方法和实现机制,切入主题。
bboss最新版本下载:
https://github.com/bbossgroups/bbossgroups-3.5
bboss mvc最新版本通过mvc json插件MappingJacksonHttpMessageConverter支持jsonp数据协议来实现跨站跨域应用之间的交互通讯,使用方法如下。
1.服务器端实现
服务器端部署在实例工程:bestpractice\demoproject中,服务端程序为/demoproject/src/org/frameworkset/mvc/Hello ...
bboss是一个j2ee开源框架,为企业级应用开发提供一站式解决方案,并能有效地支撑移动应用开发。bboss功能涵盖ioc,mvc,jsp自定义标签库,持久层,全局事务托管,安全认证,SSO,web会话共享,cxfwebservice服务发布和管理,he ...
声明:3.6以后的bboss中已经增加了安全过滤器,不再需要这个拦截器来进行安全认证检测
浅谈 bboss mvc 页面访问控制实现机制,本文介绍如何通过bboss mvc框架中的拦截器来实现页面访问控制功能,内容不多,很简单,但是很实用,呵呵。切入正题。
1.bboss mvc拦截器介绍
1.1 bboss mvc的拦截器接口为:
org.frameworkset.web.servlet.HandlerInterceptor
1.2 bboss mvc提供了页面访问控制的基础抽象类,这个类实现了HandlerInterceptor接口:
org.frameworkset.web.inter ...
bbossgroups RPC 是基于bbossaop的轻量级rpc框架,感兴趣的朋友可以用一用。bbossgroups提供的RPC
框架是bboss aop子项目中一个子模块,具有以下特点:
1.支持多种通讯协议jms,jgroups,mina,webservice,restful,并且协议可扩展
2.提供强有力的安全管理插件(可插拔的认证、鉴权、数据包加/解密插件),保证远程通讯安全可靠。
3.开发部署模式简便,打破传统的RPC开发模式,不依赖于任何应用服务器和容器,你只需启动aop框架中提供的各种协议之一(例如jms,
jgroups,mina,webservice)或者同时启 ...