一.什么是HTTP请求 超文本传输协议(HTTP)提供了多种请求方法来与web服务器沟通.当然,大多数方法的初衷是帮助开发者在开发或调试过程中部署和测试HTTP应用.如果服务器配置不当,这些请求方法可能被用于一些不法用途.比如:跨站跟踪(XST)是一种高危漏洞,这种跨站脚本能利用HTTP TRACE请求. GET和POST是开发者获取服务器信息的最常用请求,没有之一. 可以列举出常用HTTP请求:HEAD.GET.POST.PUT.DELETE.TRACE.OPTIONS.CONNECT 理论上

IBM Security Appscan漏洞筛查-HTTP 动词篡改的认证旁路漏洞,具体解决方案: 在Web.Config中system.webServer节点增加配置security: <security>    <requestFiltering>      <verbs allowUnlisted="false">        <add verb="GET" allowed="true" />

这个东西去年的安全扫描都没有,今天就扫出来了,非常奇怪的一个东西.好吧,找资料找原因.结果可能应为搜索名词的原因,这个问题在群友的帮助下解决了. 在我理解中servlet只有post和get方法,然后结果怎么出来这么多奇奇怪怪的方法呢.这些方法干啥的呢? 首先找到的是一个禁用http下不安全的方法的博客,具体谁的博客我也没关注.先按照他的方法修改,修改方法也挺简单,改下tomcat的web.xml就好. <security-constraint> <web-resource-collec

github:https://github.com/peterowang/shiro 基于上一篇:springboot集成shiro实现身份认证 1.加入UserController package com.example.demo.web; import org.apache.shiro.authz.annotation.RequiresAuthentication;import org.apache.shiro.authz.annotation.RequiresPermissions;imp

开发环境搭建参见<[原]无脑操作:IDEA + maven + SpringBoot + JPA + Thymeleaf实现CRUD及分页> 需求: ① 除了登录页面,在地址栏直接访问其他URL,均跳转至登录页面 ② 登录涉及帐号和密码,帐号错误提示帐号错误,密码错误提示密码错误 ③ 登录成功跳转至首页,首页显示登录者帐号信息,并有注销帐号功能,点击注销退出系统 ------------------------------------------------------------------

spring-shiro属于轻量级权限框架,即使spring-security更新换代,市场上大多数企业还是选择shiro 废话不多说  引入pom文件 <!--shiro集成spring--> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.3.2</version&g

目录 一.JWT认证流程 二.SpringBoot整合JWT 三.测试 上一篇文章<一分钟带你了解JWT认证!>介绍了JWT的组成和认证原理,本文将介绍下SpringBoot整合JWT实现认证的过程,带你更深入的了解下JWT. 一.JWT认证流程 认证流程如下: 用户使用账号和密码发出post请求: 服务器使用私钥创建一个jwt: 服务器返回这个jwt给浏览器: 浏览器将该jwt串在请求头中像服务器发送请求: 服务器验证该jwt: 返回响应的资源给浏览器. 二.SpringBoot整合JWT

关于shiro的概念和知识本篇不做详细介绍,但是shiro的概念还是需要做做功课的要不无法理解它的运作原理就无法理解使用shiro: 本篇主要讲解如何使用shiro实现登录认证,下篇讲解使用shiro实现权限控制 要实现shiro和springboot的整合需要以下几大步骤: 生成用户表 引入shiro依赖 添加shiro配置文件 添加自定义的realm 登录操作触发验证 细节处理 下面我们一步步的详细介绍: 一.生成用户表 CREATE TABLE `sys_user` ( `) NOT NU

目录 前言 目录 1.创建SpringBoot工程 2.导入SpringSecurity与JWT的相关依赖 3.定义SpringSecurity需要的基础处理类 4. 构建JWT token工具类 5.实现token验证的过滤器 6. SpringSecurity的关键配置 7. 编写Controller进行测试 前言 微服务架构,前后端分离目前已成为互联网项目开发的业界标准,其核心思想就是前端(APP.小程序.H5页面等)通过调用后端的API接口,提交及返回JSON数据进行交互. 在前后端分离

个人博客网:https://wushaopei.github.io/    (你想要这里多有) 一.JavaMail 1.什么是JavaMail? JavaMail,顾名思义,提供给开发者处理 电子邮件相关的编程接口.它是Sun发布的用来处理email的API.它可以方便的执行一些常用的邮件传输.我们可以基于JavaMaiil开发出类似于 Microsoft Outlook的应用程序. 2.关于要使用JavaMail的原因? 基于现在WEB开发中对JavaMail的需求,例如: 用户注册后,网站

搭建环境见: SpringBoot整合Shiro 一:搭建环境 shiro配置类见: SpringBoot整合Shiro 二:Shiro配置类 shiro整合Mybatis见:SpringBoot整合Shiro 三:整合Mybatis 认证 未授权时 ShiroConfig中添加授权访问 如果用户没有拥有 user:add 就无法访问add页面 filterMap.put("/user/add","perms[user:add]"); 如果用户没有拥有 user:u

什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景.JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密. 为什么使用JWT 简洁(Compact): 可以通过URL,POST参数或者

code[class*="language-"], pre[class*="language-"] { background-color: #fdfdfd; -webkit-box-sizing: border-box; -moz-box-sizing: border-box; box-sizing: border-box; margin-bottom: 1em; } :not(pre) > code[class*="language-"]

github地址:https://github.com/peterowang/shiro pom文件 <dependencies> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency> <dependency> <grou

shiro进行登录认证和权限管理的实现.其中需求涉及使用两个角色分别是:门店,公司.现在要两者实现分开登录.即需要两个Realm——MyShiroRealmSHOP和MyShiroRealmCOMPANY,分别处理门店,公司的验证功能. 但是正常情况下,当定义了多个Realm,无论是门店登录还是公司登录,都会由这两个Realm共同处理.这是因为,当配置了多个Realm时,我们通常使用的认证器是shiro自带的org.apache.shiro.authc.pam.ModularRealmAuthe

1.在pom.xml添加依赖 <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.4.0</version> </dependency> 2.自定义两个注解PassToken.UserLoginToken package com.cn.commodity.annotations; impor

JWT-Shiro 整合 JWT-与Shiro整合进行授权认证的大致思路 图示 大致思路 将登录验证从shiro中分离,自己结合JWT实现 用户登陆后请求认证服务器进行密码等身份信息确认,确认成功后 封装相关用户信息 生成token 相应给前端. 之后每次访问资源接口都在请求头中携带认证时生成的token 当发起资源请求时首先请求被请求过滤器拦截,拦截后判断请求头中是否含有token 如果含有token对token进行认证认证成功后对token进行解析,之后进行授权,拥有权限则进行放行 反之返回

1.跨站点脚本编制 这个安全漏洞拿cookie做文章,而且是将前端的一些弹窗方法,要么通过脚本注入,要么通过url.encode之后注入,看几个变异的版本: 版本一: cookie  从以下位置进行控制: a5d5b093-a2c1-47e5---b661c124344a"==aalertlert(15)+" 之前是将一个alert注入,现在这个软件知道了,只过滤一次,那我就拆成两个,你过滤一个,合起来还是alert.好贱啊这软件 解决处理:好吧,那我就递归处理了,没想到出现了版本二的

最近在做安全扫描,把遇到的一些问题以及一些解决方法记录下,以备后用. 扫描软件: IBM Security AppScan Standard  规则: 17441 1. 已解密的登录请求 (高) - 传递的参数名称避免使用语义明确的英文单词 > 如UserID, UserPwd, Password等 - 传递参数中包含敏感数据时使用post方式提交并进行加密传输 - 采用ajax方式提交表单时,提交的参数名称应与对应的表单控件name属性不同或者去掉name属性,通过ID属性取值.   2. 查

1.springboot连接mongoDB 出现异常认证 异常详情: com.mongodb.MongoSecurityException: Exception authenticating MongoCredential{mechanism=null, userName='admin', source='admin', password=<hidden>, mechanismProperties={}} at com.mongodb.connection.SaslAuthenticator.

Apache Shiro是一个功能强大且易于使用的Java安全框架,它为开发人员提供了一种直观,全面的身份验证,授权,加密和会话管理解决方案.下面是在SpringBoot中使用Shiro进行认证和授权的例子,代码如下: pom.xml 导入SpringBoot和Shiro依赖: <dependencies> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>s