化成二进制可以表示为11100这样，如果要验证用户是否有删除Ｂ的权限，就可以通过位与运算来实现。在java里，位与运算运算符号为&即是：intvalue=purview&((int)Math.pow(2,3));当用户有操作权限时，运算出来的结果都会等于这个操作需要的权限值.

三种权限设计方案的归纳和比较权限设计是很多系统重要的组成部分，主要用于控制功能和流程，本文将几种常见的权限设计方案（权限系统的名都是自己起的）的基本设计写出来，其中不恰当处还请大家指出，我们来讨论一下.1.等级权限系统   这种权限系统在论坛中很常见，在这种系统中，权限级别如同官阶从低到高排列，每个用户拥有一个权限，其中设定了这个用户的权限等级，在用户需要执行操作前先查看其权限等级是否大于执行操作所需要的权限等级，是则进行操作。

原理：为每一个操作设定一个唯一的整数值，比如：删除Ａ－－－0修改Ａ－－－1添加Ａ－－－2删除Ｂ－－－3修改Ｂ－－－4添加Ｂ－－－5理论上可以有Ｎ个操作，这取决于你用于储存用户权限值的数据类型。这样，如果用户有权限：添加Ａ－－－2；删除Ｂ－－－3；

背景知识：非对称加密算法、公钥（publickey）和私钥（privatekey）Keytool是一个Java数据证书的管理工具。keystoreKeytool将密钥（key）和证书（certificates）存在一个称为keystore的文件中在keystore里，包含两种数据：密钥实体（Keyentity）——密钥（secretkey）又或者是私钥和配对公钥（采用非对称加密）可信任的证书实体（trustedcertificateentries） - 只包含公钥Alias（别名）每个keystore都关联这一个独一无二的alias，这个alias通常不区分大小写keystore的存储位置在没有制定生成位置的情况下。

基础知识根据密钥类型不同将现代密码技术分为两类：对称加密算法（秘密钥匙加密）和非对称加密算法（公开密钥加密）。对称钥匙加密系统是加密和解密均采用同一把秘密钥匙，而且通信双方都必须获得这把钥匙，并保持钥匙的秘密。非对称密钥加密系统采用的加密钥匙（公钥）和解密钥匙（私钥）是不同的。对称加密算法对称加密算法用来对敏感数据等信息进行加密，常用的算法包括：DES（Data Encryption Standard）：数据加密标准，速度较快，适用于加密大量数据的场合。

Apache Shiro 十分钟指南

Spring Security为基于J2EE的企业应用软件提供了一套全面的安全解决方案。正如你在本手册中看到的那样，我们尝试为您提供一套好用，高可配置的安全系统。 安全问题是一个不断变化的目标，更重要的是寻求一种全面的，系统化的解决方案。 在安全领域我们建议你采取“分层安全”，这样让每一层确保本身尽可能的安全，并为其他层提供额外的安全保障。 每层自身越是“紧密”，你的程序就会越鲁棒越安全。 在底层，你需要处理传输安全和系统认证，减少“中间人攻击”（man-in-the-middle attacks）。 接下来，我们通常会使用防火墙，结合VPN或IP安全来确保只有获得授权的系统才能尝试连接。 在企业环境中，你可能会部署一个DMZ（demilitarized zone，隔离区），将面向公众的服务器与后端数据库，应用服务器隔离开。 在以非授权用户运行进程和文件系统安全最大化上，你的操作系统也将扮演一个关键的角色。 操作系统通常配置了自己的防火墙。 然后你要防止针对系统的拒绝服务和暴力攻击。 入侵检测系统在检测和应对攻击的时候尤其有用。这些系统可以实时屏蔽恶意TCP/IP地址。 在更高层上，你需要配置Java虚拟机，将授予不同java类型权限最小化，然后，你的应用程序要添加针对自身特定问题域的安全配。Spring Security使后者 - 应用程序安全变得更容易。

学习此次课程的目标： 掌握系统安全首先要解决的问题所在，安全总体架构以及安全探测及安全编码等具体的安全实践。

远程服务接受连接使用SSL 2.0加密，有一些加密缺陷，并已废弃多年，httpd应用程序应禁用SSL 2.0和使用SSL 3.0或1.0代替。TRACE和TRACK是用来调试web服务器连接的HTTP方式，支持该方式的服务器存在跨站脚本漏洞，攻击者可以利用此漏洞欺骗合法用户并得到他们的私人信息。

统一权限管理框架依然是稀缺的，这也是为什么Spring Security(Acegi)已出现就受到热捧的原因，据俺们所知，直到现在也只看到apache社区的jsecurity在做同样的事情。（据小道消息，jsecurity还很稚嫩。） Spring Security(Acegi)支持一大堆的权限功能，然后它又和Spring这个当今超流行的框架整合的很紧密，所以我们选择它。实际上自从Acegi时代它就很有名了。

RBAC(Role-Base-Access-Controll) RBAC1：对角色进行扩展，有级别和继承的概念RBAC2：在用户和角色之间做约束，具有互斥关系的角色不能授予同一用户RBAC3=RBAC1+RBAC2描述的是谁可以对什么样的资源做什么样的操作权限管理用户（User）可以拥有多个角色（Role）。

keytollgdk自带的工具keytool的命令一直在升级，任支持以前的版本我使用的是jdk6openssl我用的是windows的安装版具体的操作和配置openssl.cfg更该CA_defailt的dir到CA工作目录如：d:/ca作为ca的工作

一种是全部利用配置文件，将用户、权限、资源(url)硬编码在xml文件中。 二种是用户和权限用数据库存储，而资源(url)和权限的对应采用硬编码配置。 三种是细分角色和权限，并将用户、角色、权限和资源均采用数据库存储，并且自定义过滤器，代替原有的FilterSecurityInterceptor过滤器，并分别实现AccessDecisionManager、 InvocationSecurityMetadataSourceService和UserDetailsService，并在配置文件中进行相应配置。

subject(主题)，主题可以是一个用户也可以是与系统交互的另一个系统，主题绑定shiro的权限管理，SecurityManager（安全管 理），它控制与有与主题相关的安全操作。Realm（桥梁）它是安全与数据之间的桥，它封装了比如DAO的配置信息，可以指定连接的数据源，也可使用其它 的认证方式

　B/S系统中的权限比C/S中的更显的重要，C/S系统因为具有特殊的客户端，所以访问用户的权限检测可以通过客户端实现或通过客户端+服务器检测实 现，而B/S中，浏览器是每一台计算机都已具备的，如果不建立一个完整的权限检测，那么一个“非法用户”很可能就能通过浏览器轻易访问到B/S系统中的所 有功能。因此B/S业务系统都需要有一个或多个权限系统来实现访问权限检测，让经过授权的用户可以正常合法的使用已授权功能，而对那些未经授权的“非法用 户”将会将他们彻底的“拒之门外”。下面就让我们一起了解一下如何设计可以满足大部分B/S系统中对用户功能权限控制的权限系统。

因为做过的一些系统的权限管理的功能虽然在逐步完善，但总有些不尽人意的地方，总想抽个时间来更好的思考一下权限系统的设计。 权限系统一直以来是我们应用系统不可缺少的一个部分，若每个应用系统都重新对系统的权限进行设计，以满足不同系统用户的需求，将会浪费我们不少宝贵时间，所以花时间来设计一个相对通用的权限系统是很有意义的。

*数据加密技术数据加密的概念数据加密技术原理本部分涉及以下内容：Page*数据加密的概念数据加密(Encryption)是指将明文信息(Plaintext)采取数学方法进行函数转换成密文(Ciphertext)，只有特定接受方才能将其解密(Decryption)还原成明文的过程。明文(Plaintext)：加密前的原始信息；算法的输入，可读信息或数据。密文(Ciphertext)：明文被加密后的信息；算法的输出。依赖于明文和密钥，对于给定的信息，不同的铭文产生的密文。密钥(Key)：控制加密算法和解密算法得以实现的关键信息，分为加密密钥和解密密钥；

SSL协议工作原理，SSL使用非对称加密技术实现会话双方之间信息的安全传递，可以实现信息传递的保密性、完整性，这样的话，所传送的数据不容易被网络黑客截获和破解，并且会话双方能鉴别对方身份。不同于常用的http协议，我们在与网站建立SSL安全连接时使用https协议，即采用https://ip:port/的方式来访问。HTTPS实际是SSLoverHTTP,该协议通过SSL在发送方把原始数据进行加密，在接收方解密。

B/S权限管理项目名称：B/S权限管理项目组：第一组姓名：完成日期：2008-8-6学校名称：1.需求分析1.1背景B/s权限管理功能是进行B/s设计的通用模块，包含了个性化界面设计、权限管理设计、通用数据库操作设计的方面，涉及的知识有：html、javascript、javaweb面向对对象程序涉及、sqlserver数据库、数据库设计。

SpringSecurity3.x出来一段时间了，跟Acegi是大不同了，与2.x的版本也有一些小小的区别，网上有一些文档，也有人翻译SpringSecurity3.x的guide，但通过阅读guide，无法马上就能很容易的实现一个完整的实例。我花了点儿时间，根据以前的实战经验，整理了一份完整的入门教程，供需要的朋友们参考。