微软的CryptoAPI是Win32平台下为应用程序开发者提供的数据加密和安全的编码接口。CryptoAPI函数集包含了基本的ASN.1的编码、解码，散列，数据加密和解密，数字证书管理等重要的密码学应用功能。数据的加密、解密支持对称和非对称两类算法。CryptoAPI是所有微软的Win32的应用程序以及第三方厂商应有程序使用的数据加密接口，诸如Internet Explorer、OutLook、Adobe等应用都是基于CryptoAPI开发的。

许多网络程序，如telnet、rsh、rlogin或rexec，用明文（plain　text）传送口令和秘密的信息，所以就可利用任何连接到网络上的计算机监听这些程序和服务器之间的通信并获取口令和秘密信息。现在，telnet程序对于日常的管理工作是必不可少的，但是它又是不安全的，那么用什么来替代它呢？OpenSSH就是那些过时的、不安全的远程登录程序，如：telnet、rlogin、rsh、rdist或rcp的替代品。　

如果你正想学习权限方面的知识，或者正打算把Shiro作为权限组件集成到自己的web application中，或许正在为Shiro如何实现CAPTCHA（验证码）功能而伤透脑筋。那么，本文正是为你准备的。本文简单介绍权限方面的基础知识并以实际例子，带你进入Shiro的世界。

Apache Shiro是一个强大易用的Java安全框架，提供了认证、授权、加密和会话管理等功

apache shiro 管理用户权限与数据库交互

权限往往是一个极其复杂的问题，但也可简单表述为这样的逻辑表达式：判断“Who对What(Which)进行How的操作”的逻辑表达式是否为真。针对不同的应用，需要根据项目的实际情况和具体架构，在维护性、灵活性、完整性等N多个方案之间比较权衡

OpenSSL有两种运行模式：交互模式和批处理模式。直接输入openssl回车进入交互模式，输入带命令选项的openssl进入批处理模式 。

SSL是一种在客户端和服务器端之间建立安全通道的协议。SSL一经提出，就在Internet上得到广泛的应用。SSL最常用来保护Web的安全。为了保护存有敏感信息Web的服务器的安全，消除用户在Internet上数据传输的安全顾虑。

访问控制，是指按用户及其所归属的某项定义组来限制用户对某些信息项的访问，或限制对某些控制功能的使用。访问控制通常用于系统管理员控制用户对服务器、目录、文件等的访问。

1.根证书的申请准备根证书准备一些空目录和文件，作用如下：certs/保存颁发的所有证书的副本index.txt跟踪已颁发的证书，初始为空openssl.cnfopenssl和根证书的配置文件private/CA证书的私钥serial最后一次颁发的证书的序列号，初始值01，也可以是00等其它值openssl.cnf

web应用漏洞学习利器-WebGoat使用教程WebGoat是由著名的OWASP负责维护的一个漏洞百出的J2EEWeb应用程序，这些漏洞并非程序中的bug，而是故意设计用来讲授Web应用程序安全课程的。这个应用程序提供了一个逼真的教学环境，为用户完成课程提供了有关的线索。

根据公司项目的开发要求和集合spring security3.0功能，公司将通过数据库进行对用户身份验证和授权，系统将建立5个基础表进行对权利的管理。

Spring Security3配置说明：最近在学习Spring Security3，感觉功能很强大。但是网上资料不多，学习起来还是有点问题，本着我为人人，人人为我的精神，今天也贡献点资源，可能不深入，文档不够好，请大家多多原谅。

在认识SpringSecurity之前，所有的权限验证逻辑都混杂在业务逻辑中，用户的每个操作以前可能都需要对用户是否有进行该项操作的权限进行判断，来达到认证授权的目的。类似这样的权限验证逻辑代码被分散在系统的许多地方，难以维护。AOP（Aspect Oriented Programming）和SpringSecurity为我们的应用程序很好的解决了此类问题，正如系统日志，事务管理等这些系统级的服务一样，我们应该将它作为系统一个单独的“切面”进行管理，以达到业务逻辑与系统级的服务真正分离的目的。

D.D.O.S（Distributed Denial of service）分布式拒绝服务攻击使用了分布式客户服务器功能，加密技术及其它类的功能，它能被用于控制任意数量的远程机器，以产生随机匿名的拒绝服务攻击和远程访问。

本文档只是对新手使用相关工具的一个入门指导，更详细的信息请见工具本身的使用手册或帮助。

Spring Security 安全框架的使用例子是留言板应用，打包为board.rar实例：消息留言板应用开发以spring MVC 为web框架、spring Security为安全框架的应用首先创建目录结构。

一种是全部利用配置文件，将用户、权限、资源(url)硬编码在xml文件中。 二种是用户和权限用数据库存储，而资源(url)和权限的对应采用硬编码配置。 三种是细分角色和权限，并将用户、角色、权限和资源均采用数据库存储，并且自定义过滤器，代替原有的FilterSecurityInterceptor过滤器，并分别实现AccessDecisionManager、 InvocationSecurityMetadataSourceService和UserDetailsService，并在配置文件中进行相应配置。

Shiro架构介绍一、什么是Shiro ApacheShiro是一个强大易用的Java安全框架，提供了认证、授权、加密和会话管理等功能： 认证-用户身份识别，常被称为用户“登录”；授权-访问控制；密码加密-保护或隐藏数据防止被偷窥；会话管理-每用户相关的时间敏感的状态。对于任何一个应用程序，Shiro都可以提供全面的安全管理服务。

信息安全的核心技术是应用密码技术。密码技术的应用远不止局限于提供机密性服务,密码技术也提供数据完整性服务。密码学上的散列函数(Hash Functions)就是能提供数据完整性保障的一个重要工具。Hash函数常用来构造数据的短“指纹”：消息的发送者使用所有的消息产生一个附件也就是短“指纹”，并将该短“指纹”与消息一起传输给接收者。即使数据存储在不安全的地方，接收者重新计算数据的指纹，并验证指纹是否改变，就能够检测数据的完整性。这是因为一旦数据在中途被破坏，或改变，短指纹就不再正确。