本文以一个简单的实例来介绍bboss平台自定义资源权限控制使用方法。先定义一个资源类型,关联一操作组,操作组中定义的操作都关联了一组url,这些url访问权限与操作的权限一致,用户拥有操作的权限也就拥有了关联的url的权限(这样可以有效防止低权限用户);然后介绍如何通过安全组件在程序实现权限的检测功能。
1.定义资源类型和资源操作组并定义操作关联的url
在resources目录下新增一个resource-test.xml文件,在文件中添加资源类型和资源操作组:
<?xml version="1.0" encoding="UTF-8"?>
& ...
平台登录账号口令加密机制设置方法
平台加密机制:
[1]MD5:一种不可逆算法,安全
[2]BASE64:可逆算法,比较安全
[3]HEX passwordsEncryptionAlgorithm=SHA-384
[4]NONE:对密码不加密
具体设置方法:
修改/resources/properties-sys.xml文件中的两个属性:
passwordsEncryptionAlgorithm
encrpytype
平台默认密码为123456.
每种机制设置方法如下:
NONE
<property name="passwordsEncr ...
本文介绍bboss安全认证过滤器认证后重定向到请求页面功能,切入正题。
1.概述
通常受保护的页面需要认证后才能访问,当我们在浏览器端访问这些页面时,如果没有认证,则需要先认证,认证完毕后需要直接进入这些页面而不? ...
本文详细介绍bboss跨站攻击白名单和跨站脚本攻击防火墙配置
首先看一个完整的过滤器配置:
<filter>
<filter-name>CharsetEncoding</filter-name>
<filter-class>com.frameworkset.common.filter.SessionCharsetEncodingFilter</filter-class>
<init-param>
<param-name>RequestEncoding< ...
bboss防止跨站攻击策略
此前博客中撰文介绍了bboss 动态令牌机制轻松搞定表单重复提交的方法,本文介绍bboss防止跨站攻击的方法。
通过增强bboss字符编码转换器的功能实现防止跨站攻击功能:
com.frameworkset.common.filter.CharsetEncodingFilter
单纯(不具备防止跨站攻击能力)的字符编码转换过滤器的使用方法如下:
<filter>
<filter-name>CharsetEncoding</filter-name>
<filter-class>com.framewo ...
本文是bboss 标签库系列文章续篇-安全篇,前两篇文章《bbossgroups标签使用大全》和bbossgroups标签库使用大全(续) 介绍了bboss数据展示标签库和逻辑标签库。
本文介绍两个和安全相关的标签:
dtoken
assertdtoken
这两个标签所属的标? ...
bboss3.6.0及后续版本增加特性-防止控制器中public方法成为控制器方法接收客户端请求,通过该特性可以使控制器层安全保障能力得到有效的增强和加固。本特征具体描述为:
1.自动排除控制器中的属性的get/set方法成为控制器方法
2.新增注解ExcludeMethod,可以通过它标注方法不作为控制器方法
org.frameworkset.web.servlet.handler.annotations.ExcludeMethod
ExcludeMethod注解的使用方法非常简单,下面说明一下:
@ExcludeMethod
public final void helloword(Stri ...
bboss 动态令牌使用示例-ajax请求获取和传递令牌。bboss动态令牌实现机制参考文档:
bboss 动态令牌机制轻松搞定网站跨站攻击和表单重复提交问题
本文内容:
1.如何编写自己的令牌生成控制器(基于bboss mvc)
2.如何通过ajax申请令牌和传递令牌
接下来进入正文。
1.编写令牌生成控制器
package com.bboss.common.action;
import javax.servlet.http.HttpServletRequest;
import org.frameworkset.util.annotations.ResponseBody;
im ...
bboss 动态令牌机制轻松搞定表单重复提交和请求校验签名单点登录,本文详细介绍之。
最新代码请参考文档获取:
bbossgroups 项目下载地址
一、概述
bboss在安全方面下了不少功夫,为了解决表单重复提交问题提供了动态令牌机制,具体内容如下:
1.增加动态令牌检测过滤器(可独立使用,也可与安全认证过滤器结合使用)
2.增加dtoken标签(用来在表单或者请求中投放动态令牌)
3.增加assertdtoken标签(用来在接收请求的服务器jsp页面头部判断客户端是否正确传递令牌,并检测令牌是否有效,如果没有令牌或者令牌无效,那么拒绝客户端请求)
4.assertdtoken注解(用来 ...
本文介绍bboss mvc结合jsonp实现跨站跨域应用间通讯功能的使用方法和实现机制,切入主题。
bboss最新版本下载:
https://github.com/bbossgroups/bbossgroups-3.5
bboss mvc最新版本通过mvc json插件MappingJacksonHttpMessageConverter支持jsonp数据协议来实现跨站跨域应用之间的交互通讯,使用方法如下。
1.服务器端实现
服务器端部署在实例工程:bestpractice\demoproject中,服务端程序为/demoproject/src/org/frameworkset/mvc/Hello ...
bboss是一个j2ee开源框架,为企业级应用开发提供一站式解决方案,并能有效地支撑移动应用开发。bboss功能涵盖ioc,mvc,jsp自定义标签库,持久层,全局事务托管,安全认证,SSO,web会话共享,cxfwebservice服务发布和管理,hessian服务发布和管理等功能。另外还提供了符合中国式自由流的bboss activiti工作流引擎。在不断的实践过程,越来越多的好东西被吸纳到bboss这个大家庭中,使得bboss能够更好地应用于企业应用项目中,能够更好地解决开发过程中碰到的实际问题。使用bboss提供自动代码生成框架可以更好地提高开发效率。
基于bboss ...
声明:3.6以后的bboss中已经增加了安全过滤器,不再需要这个拦截器来进行安全认证检测
浅谈 bboss mvc 页面访问控制实现机制,本文介绍如何通过bboss mvc框架中的拦截器来实现页面访问控制功能,内容不多,很简单,但是很实用,呵呵。切入正题。
1.bboss mvc拦截器介绍
1.1 bboss mvc的拦截器接口为:
org.frameworkset.web.servlet.HandlerInterceptor
1.2 bboss mvc提供了页面访问控制的基础抽象类,这个类实现了HandlerInterceptor接口:
org.frameworkset.web.interce ...
bbossgroups RPC 是基于bbossaop的轻量级rpc框架,感兴趣的朋友可以用一用。bbossgroups提供的RPC
框架是bboss aop子项目中一个子模块,具有以下特点:
1.支持多种通讯协议jms,jgroups,mina,webservice,restful,并且协议可扩展
2.提供强有力的安全管理插件(可插拔的认证、鉴权、数据包加/解密插件),保证远程通讯安全可靠。
3.开发部署模式简便,打破传统的RPC开发模式,不依赖于任何应用服务器和容器,你只需启动aop框架中提供的各种协议之一(例如jms,
jgroups,mina,webservice)或者同时启 ...
|
|
来自: instl > 《software engineering》