1.前言我们上一篇介绍了UsernamePasswordAuthenticationFilter的工作流程,留下了一个小小的伏笔,作为一个ServletFilter应该存在一个doFilter实现方法,而它却没有,其实它的父类AbstractAuthenticationProcessingFilter提供了具体的实现。稍后我们会根据这个实现引出今天的主角AuthenticationManager,
分类:
编程语言 时间:
2020-08-24 16:52:46
阅读次数:
71
1.前言欢迎阅读SpringSecurity实战干货系列文章,在集成SpringSecurity安全框架的时候我们最先处理的可能就是根据我们项目的实际需要来定制注册登录了,尤其是Http登录认证。根据以前的相关文章介绍,Http登录认证由过滤器UsernamePasswordAuthenticationFilter进行处理。我们只有把这个过滤器搞清楚才能做一些定制化。今天我们就简单分析它的源码和工
分类:
编程语言 时间:
2020-08-24 16:52:00
阅读次数:
72
1.前言我在SpringSecurity实战干货:内置Filter全解析对SpringSecurity的内置过滤器进行罗列,但是SpringSecurity真正的过滤器体系才是我们了解它是如何进行"认证"、“授权”、“防止利用漏洞”的关键。2.ServletFilter体系这里我们以ServletWeb为讨论目标,ReactiveWeb暂不讨论。我们先来看下最基础的Servle
分类:
编程语言 时间:
2020-08-24 16:49:46
阅读次数:
87
1.前言欢迎阅读SpringSecurity实战干货系列文章。最近有开发小伙伴提了一个有趣的问题。他正在做一个项目,涉及两种风格,一种是给小程序出接口,安全上使用无状态的JWTToken;另一种是管理后台使用的是Freemarker,也就是前后端不分离的Session机制。用SpringSecurity该怎么办?2.解决方案我们可以通过多次继承WebSecurityConfigurerAdapte
分类:
编程语言 时间:
2020-08-24 16:43:03
阅读次数:
56
deb http://mirrors.cloud.tencent.com/debian/ buster main non-free contrib deb http://mirrors.cloud.tencent.com/debian-security buster/updates main deb ...
分类:
其他好文 时间:
2020-08-18 15:42:38
阅读次数:
113
41.4.1 <global-method-security> 这个元素是为Spring Security beans上的安全方法添加支持的主要手段。可以通过使用注释(在接口或类级别定义)或者通过使用AspectJ语法将一组切入点定义为子元素来保护方法。 <global-method-securit ...
分类:
其他好文 时间:
2020-08-18 15:35:50
阅读次数:
57
安装vsftpdyuminstallvsftpd-y系统认证vi/etc/vsftpd/vsftpd.conf[root@localhostpub]#egrep-v"#|^$"/etc/vsftpd/vsftpd.confanonymous_enable=NOlocal_enable=YESwrite_enable=YESlocal_umask=022dirmessage_enable=YESxf
分类:
系统相关 时间:
2020-08-18 13:40:41
阅读次数:
78
0x00 php解析字符串特性解题 打开网页 看这里我们知道这是实现的一个网页计算器,所以不会存在SQL注入。 暂时能想到的没有其他方向了,所以我们去查找更多信息。 查看网站源代码,对代码进行观察 看到下面这一行 <!--I've set up WAF to ensure security.--> ...
分类:
其他好文 时间:
2020-08-17 17:00:43
阅读次数:
69
1.OAuth 2.0简介 OAuth 2.0提供者机制负责公开OAuth 2.0受保护的资源。该配置包括建立可独立或代表用户访问其受保护资源的OAuth 2.0客户端。提供者通过管理和验证用于访问受保护资源的OAuth 2.0令牌来实现。在适用的情况下,提供商还必须提供用户界面,以确认客户端可以被 ...
分类:
编程语言 时间:
2020-08-13 22:16:16
阅读次数:
71
这个实验的一个场景是,运维同事设计安全组SecurityGroup的时候,打开了除了HTTP和HTTPS的入口访问权限。其他协议或端口如果打开,除了审计不通过的同时,会自动触发一个函数将它修改成我们定义好的权限。(如果你了解一些Lambda就会非常清楚这个逻辑了)逻辑是:修改,添加或已有的Security——触发Config的审计——触发Lambda来修改正确的规则(这个实验是自定义rule,AW
分类:
其他好文 时间:
2020-08-13 11:58:01
阅读次数:
62
