最近我要实作使用 OAuth 2 认证的 API ，我先是看了 Spec (RFC 6740 、 RFC 6750），然后研究了既有的 Rails solution ，但因为 API 是用 Grape 盖的，又 Doorkeeper / Rack::OAuth2 / Grape 内建的 OAuth 2 认证全都无法直接拿来用，所以只好自己实现 API 认证这部份。

DDoS攻击是什么？DDoS（Distributed Denialof Service）即分布式拒绝服务攻击。攻击主要目的是让指定目标无法提供正常服务。是目前最强大、最难防御的攻击之一。近年出现的DRDoS（分布式反射攻击）让DDoS攻击水平迅速提升，互联网安全被网络暴力所威胁。

对称算法使用一个密钥。给定一个明文和一个密钥，加密产生密文，其长度和明文大致相同。解密时，使用读密钥与加密密钥相同。 openssl是一个功能丰富且自包含的开源安全工具箱。它提供的主要功能有：SSL协议实现(包括SSLv2、SSLv3和TLSv1)、大量软算法(对称/非对称/摘要)、大数运算、非对称算法密钥生成、ASN.1编解码库、证书请求(PKCS10)编解码、数字证书编解码、CRL编解码、OCSP协议、数字证书验证、PKCS7标准实现和PKCS12个人数字证书格式实现等功能。 openssl采用C语言作为开发语言，这使得它具有优秀的跨平台性能。openssl支持Linux、UNIX、windows、Mac等平台。openssl目前最新的版本是0.9.8e.

随着对称密码的发展,DES数据加密标准算法由于密钥长度较小(56位),已经不适应当今分布式开放网络对数据加密安全性的要求，因此1997年NIST公开征集新的数据加密标准,即AES[1]。经过三轮的筛选,比利时JoanDaeman和VincentRijmen提交的Rijndael算法被提议为AES的最终算法。此算法将成为美国新的数据加密标准而被广泛应用在各个领域中。尽管人们对AES还有不同的看法,但总体来说,AES作为新一代的数据加密标准汇聚了强安全性、高性能、高效率、易用和灵活等优点。AES设计有三个密钥长度:128,192,256位，相对而言，AES的128密钥比DES的56密钥强1021倍[2]。

1.背景对于权限控制，只要是做过一个比较正规的项目的人，相信都不会陌生。对于大多数人来说，都应该是从“匹配权限名称”到“匹配权限的URL”的过程，我也不例外。当我第一次去做权限控制的时候，去网上查了下，对那基本的五张表也有了不错的理解。但是直到在实现的过程中，我才发现基于URL的权限控制远远要比基于名称的权限控制要好的多。这里为了方便后面的描述，我这里定义：基于名称的权限控制，叫做onname；

精通PKI网络安全证技术与编程实现一书中的例子代码有错原书申明加密字符

Shiro使用简介核心组件Subject Security Manager Realms核心组件Subject：即“当前操作用户”Security Manager：它是Shiro框架的核心，典型的Facade模式，Shiro通过Security Manager来管理内部组件实例，并通过它来提供安全管理的各种服务Realm充当了Shiro与应用安全数据间的“桥梁”或者“连接器”。也

简单的介绍，简单的配置，简单的扩展一，shiro简介Apache Shiro是一个强大而灵活的开源安全框架，它能够干净利落地处理身份认证，授权，企业会话管理和加密。以下是你可以用ApacheShiro所做的事情：验证用户对用户执行访问控制，如：判断用户是否拥有角色admin。判断用户是否拥有访问的权限在任何环境下使用Session API。例如CS程序。可以使用多个用户数据源。例如一个是oracle用户库，另外一个是mysql用户库。单点登录（SSO）功能。“RememberMe”服务，类似购物车的功能，shiro官方建议开启。Shiro的4大部分——身份验证，授权，会话管理和加密Authentication：身份验证，简称“登录”。

技术污点分析等补丁比对技术静态分析技术动态分析技术漏洞利用技术设计原则完美、和谐的标准：满足各种网络需求只要求目标存在漏洞稳定、可重复，不影响目标系统可扩展、可对抗简单、通用、傻瓜化对抗防火墙数据通道技术

令牌：是一种能够控制站点占有媒体的特殊帧，以区别数据帧及其他控制帧。令牌法（TokenPassing）又称为许可证法，用于环型结构局域网的令牌法称为令牌环访问控制法（TokenRing），用于总线型结构局域网的令牌法称为令牌总线访问控制法（TokenBus）。令牌法的基本思想是：一个独特称为令牌的标志信息（一位或多位二进制数字组成的码）从一个节点发送到另一个节点，只有获得令牌的节点才有权发送信息包。

Spring Security，这是一种基于Spring AOP和Servlet过滤器[7]的安全框架。它提供全面的安全性解决方案，同时在Web请求级和方法调用级处理身份确认和授权。在Spring Framework基础上，Spring Security充分利用了依赖注入（DI，Dependency Injection）和面向切面技术。 Spring Security原身是Spring Acegi，在Spring Acegi 2.0之后改名为Spring Security 2.0。我们现在讲解的是Spring Security 3.0，相对于2.0而言改动比较大，配置也更加简单了。

openssl大数运算函数简介

Web开发常见安全问题历史Web安全框架一、SQL注入SQLInjection1、在组合SQL语句时要使用SQL变量绑定功能2、如果数据库不提供变量绑定，那么需要对构成SQL的所有变量进行转义3、不要将错误信息原封不动地显示在浏览器中。4、为访问数据库的用户设置适当的权限。

权限管理及其实现思路需求：oa系统包含众多模块，要求能够通过权限管理，控制不同用户对模块的访问权限，而且需要控制到（增删改查）CRUD操作的级别。要求能通过角色对用户进行统一授权，在某些特殊情况下，能够单独对用户进行授权。分析概念模型
设计：在用户与角色的关系中，以用户为主来进行设计符合客户的使用习惯，即“将多个角色授予某个用户（让用户拥有多个角色）”，比“将多个用户添加到某个角色上”更加让人容易理解。

BackTrack是一套专业的计算机安全检测的Linux操作系统，简称BT。BackTrack 是一个基于Ubuntu GNU/Linux的发行版本，主要用做数字取证和入侵测试。它的名字引用自回溯法（backtracking）。BackTrack 给用户提供了大量功能强大但简单易用的安全工具软件。

在很多情况下，我们的软件为防止盗用，都增加了license的校验功能，通过license文件进行授权，从而让使用者不能随意使用其未购买的功能。然而，道高一尺，魔高一丈，一些用户的高手往往会找到很多控制许可的程序点，通过反编译等手段（这里针对Java语言），对控制许可的Java类进行破解，从而使license文件失效。这里就介绍一种反破解的技术，对一些关键的Class进行签名，然后在程序的另一个地方对这些class签名进行验证，如果这些class中有被改写的迹象，那么签名验证肯定会失败，签名失败后程序就不会正常运行，这样就可以进行反破解操作。

Cookies是一小段提请存储在您的计算机硬盘上的文本。当获得您的同意后，浏览器将会把此段文本存储到一个小文件中。如果您将浏览器设定为在接收Cookies之前给予提示，您在访问okhtm.com网站时将会注意到希望在您的计算机上放置Cookies的请求，其目的是通知我们您何时访问了我们的网站。

本文档是为了让大家对各种web安全威胁的产生原因、常见攻击手段有更深入的了解，并且作为各种web安全威胁的修补方案标准，以便大家能够快速的定位漏洞代码和解除安全隐患。

很让人高兴的是一批又一批的拆解高手从看雪学院诞生，国内的cracker达到了空前的数量，这在以前是很难想象的。同时也随之带来了些这样和那样的问题。今天借这个机会想和大家简单聊聊几个关于cracker的话题。 先聊聊所谓的CRACK精神吧，这种精神不象HACK精神，并没有在网络上形成一种统一的说法，笼统的说，其实这是一种自由的精神，CRACKER最关心的是程序的保护方式和加密思想及其可能存在的漏洞。正如TIANWEI所说：“其实我这个网页也是说明一个道理，这个时代，没有什么不是自由的！信息化的变革敲打着每家每户的门窗……”所以说，crack不等于盗版，至于个别的个人行为我们无权说三道四，但也不希望个别的行为使人们对CRACK曲解。

实验项目三:数字签名及身份识别实验目的⑴了解数字签名系统。⑵加深对数字签名及其法律法规的理解。实验环境服务器、PC机、交换机组成的网络实验内容（1）登陆网络,查询数字签名的相关算法。（2）登陆网络，查询DSS和DSA的签名原理，记录下来。检索我国的数字签名标准，并与DSS作对比。（3）登陆网络,查询中国数字签名法律法规的相关内容,如法律原文、相关执行方案等。