........................................................................................... 10 身份认证流程 ................................................................................................ JavaEE 环境。Shiro 可以帮助我们完成：认证、授权、加密、会话管理、与 Web 集成、缓 存等。这不就是我们想要的嘛，而且 Shiro 的 API 也是非常简单；其基本功能点如下图所 示： Authentication：身份认证/登录，验证用户是不是拥有相应的身份； Authorization：授权，即权限验证，验证某个已认证的用户是否拥有某个权限；即判断用 户是否能做事情， Manager：会话管理，即用户登录后就是一次会话，在没有退出之前，它的所有信 息都在会话中；会话可以是普通 JavaSE 环境的，也可以是如 Web 环境的； Cryptography：加密，保护数据的安全性，如密码加密存储到数据库，而不是明文存储； Web Support：Web 支持，可以非常容易的集成到 Web 环境； Caching：缓存，比如用户登录后，其用户信息、拥有的角色/权限不必每次去查，这样可以

4. Configuration 配置 II. Core 核心 5. Authentication 认证 6. Authorization 授权 6.1. Permissions 权限 7. Realms 8. Session Management 9. Cryptography 密码 III. Web Applications 10. Web 10.1. Configuration 验证用户身份 用户访问权限控制，比如： 判断用户是否分配了一定的安全角色。 判断用户是否被授予完成某个操作的权限 在非 web 或 EJB 容器的环境下可以任意使用Session API 可以响应认证、访问控制，或者 Session 生命周期中发生的事件 可将一个或以上用户安全数据源数据组合成一个复合的用户 "view"(视图) 支持单点登录(SSO)功能 支持提供“Remember Me”服务，获取用户关联信息而无需登录 1. Introduction 介绍 Authentication（认证）, Authorization（授权）, Session Management（会话管理）, Cryptography（加密）被 Shiro 框架的开发团队称之为应用安全的四大基石。那么就让我们来 看看它们吧： Authentication（认证）：用户身份识别，通常被称为用户“登录” Authorization（

前言 第 1 章：准备工作 第 2 章：Hello, Flask! 第 3 章：模板 第 4 章：静态文件 第 5 章：数据库 第 6 章：模板优化 第 7 章：表单 第 8 章：用户认证 第 9 章：测试 第 10 章：组织你的代码 第 11 章：部署上线 小挑战 后记 2 Flask 入门教程 这是一本 Flask 入门教程，提供了入门 Flask 所需的最少信息，你可以跟随本书自 前言 第 1 章：准备工作 第 2 章：Hello, Flask! 第 3 章：模板 第 4 章：静态文件 第 5 章：数据库 第 6 章：模板优化 第 7 章：表单 第 8 章：用户认证 第 9 章：测试 第 10 章：组织你的代码 第 11 章：部署上线 小挑战 后记 版权信息 书名：Flask 入门教程 副书名：使用 Python 和 Flask 开发你的第一个 服务器，你可以为本地仓库创建 远程仓库。 首先要注册一个 GitHub 账户，点击访问注册页面，根据指示完成注册流程。登录 备用。 设置 SSH 密钥 一般情况下，当推送本地改动到远程仓库时，需要输入用户名和密码。因为传输通 常是通过 SSH 加密，所以可以通过设置 SSH 密钥来省去验证账号的步骤。 首先使用下面的命令检查是否已经创建了 SSH 密钥： 第 1 章：准备工作 9 $ cat ~/

Laravel 5.5 的基础上继续进行优化，包括日志系统、单机任务调度、模型序列化优化、动态频率限制、广播频道类、API 资源控制器 生成、Eloquent 日期格式化优化、Blade 组件别名、Argon2 密码哈希支持、引入 Collision 扩展包等等等等。此外，所有的前端脚手架代码都已升 级到 Bootstrap 4，Laravel 底层使用的 Symfony 组件都已升级到 Symfony ~4.0 1')->group(function () { Route::get('/user', function () { // }); }); 在 Laravel 5.6 中，你可以基于认证用户模型属性指定一个动态的最大请求次数，如果 User 模型包含 rate_limit 属性，可以将属性名传递 给 throttle 中间件，以便用于计算最大请求次数计数： Route::middleware('auth:api' You are not allowed to access this resource! @endalert Argon2 密码哈希 如果你在构建一个基于 PHP 7.2.0+ 的应用，Laravel 现在可以支持通过 Argon2 算法进行密码哈希，默认的应用哈希驱动通过新增 的 config/hashing.php 配置文件来控制。 UUID 方法 Laravel 5.6

会提供最长时间的支持和维护。 对于其他通用版本，只提供六个月的 bug 修复和一年的安全修复支持。 Laravel 5.1.4 Laravel 5.1.4 将登录次数限制引入框架，更多详情请参考认证限制一节。 Laravel 5.1 Laravel 5.1 在 5.0 的基础上继续进行优化和提升，接受 PSR-2 代码风格，新增事件广播 机制，中间件参数，Artisan 优化，等等。 更多关于事件广播的内容请查看事件一节。 中间件参数 Laravel 5.1 里，中间件可以接受额外的自定义参数，例如，如果你的应用需要在执行给定 的 action 之前验证被授予指定“角色”的认证用户，可以创建一个 RoleMiddleware 来接收角 色名称作为额外参数： 认证 如果你在使用 Laravel 自带的 AuthenticatesAndRegistersUsers 的 AuthController，则需 要对新用户的验证和创建做一些代码改动： 首先，你不再需要传递

laravel/ui php artisan ui vue --auth 升级指南 重要更新概览 影响较大  授权资源 & viewAny  字符串 & 数组辅助函数 影响中等  认证 RegisterController  不再支持 Carbon 1.x  数据库 Capsule::table 方法  Eloquent 数组化 & toArray  Eloquent 通知通道中这个不可分割的部分已经从框架核心中移除，如 果你依赖 Nexmo 通知路由，需要在通知实体中手动实 现 routeNotificationForNexmo 方法。 密码重置 密码验证 影响级别：低 PasswordBroker 不再约束或验证密码。因为密码验证逻辑已经 由 ResetPasswordController 控制器处理，导致 broker 的验证逻 辑变得冗余，并且不能被自定义，如果你在内置 不要试图将 .env 文件提交到版本控制系统（如 Git 或 Svn）中， 一方面，开发环境和线上环境配置值不一样，提交没有意义，更重要 的是，.env 包含了很多应用敏感信息，如数据库用户名及密码等， 如果不慎将代码提交到 Github 公开仓库，后果将不堪设想！ 如果你是在一个团队中进行开发，则需要将 .env.example 文件随你 的应用代码一起提交到源码控制中：将一些配置值以占位符的方式放

2 在 5.1 基础上继续改进和优化，添加了许多新的功能特性：多认证驱动支 持、隐式模型绑定、简化 Eloquent 全局作用域、可选择的认证脚手架、中间件组、访问频 率限制、数组输入验证优化等等。 多认证驱动 在之前的 Laravel 版本中，框架只支持默认的、基于 session 的认证驱动，且在单个应 用中只能拥有一个认证模型类（对应单张表），这为我们实现某型功能，比如前后端分离 登录带来麻烦。 中，你可以定义多个认证驱动，还有多个认证模型 以及用户表，并且可以独立控制其认证处理（登录、注册、密码重置）。例如，如果你的 应用包含一个后台管理员用户表和一个前台学生用户表，现在你可以使用 Auth 门面来实现 后台用户和学生用户的独立登录而不相互影响。 认证脚手架 通过多认证驱动，Laravel 可以轻松处理后台用户认证；此外，Laravel 5.2 还提供了便捷 的方式来创建前台认证视图，只需在终端执行如下 的方式来创建前台认证视图，只需在终端执行如下 Artisan 命令即可： php artisan make:auth 该命令会生成纯文本的、兼容 Bootstrap 样式的视图用于登录、注册和密码重置。该命令 还会使用相应路由更新路由文件。 注意：该功能特性只能在新应用中使用，不能再应用升级过程中使用。 隐式模型绑定 隐式模型绑定使得在路由或控制器中直接注入相应模型实例更加便捷。假设你有一个路由 定义如下：

...................................................................................... 231 8.1 用户认证 .................................................................................................. ..... 249 8.3 密码重置 ..................................................................................................................................................... 261 8.4 API 认证（Passport） .... 更多关于通知系统的细节，查看其相应文档。 WebSockets／事件广播 事件广播在之前版本的 Laravel 中已经有了，Laravel 5.3 通过为已私有和已存在的 WebSocket 频 道添加频道级认证对此功能进行了极大的优化和提升： /* * Authenticate the channel subscription... */ Broadcast::channel('orders

WebSocket 8.3 REST 8.4 RPC 8.5 小结 9.安全与加密 9.1 预防CSRF攻击 9.2 确保输入过滤 9.3 避免XSS攻击 9.4 避免SQL注入 9.5 存储密码 9.6 加密和解密数据 9.7 小结 10.国际化和本地化 10.1 设置默认地区 10.2 本地化资源 10.3 国际化站点 4 10.4 小结 11.错误处理，调试和测试 11 controller设计 13.4 日志和配置设计 13.5 实现博客的增删改 13.6 小结 14.扩展Web框架 14.1 静态文件支持 14.2 Session支持 14.3 表单支持 14.4 用户认证 14.5 多语言支持 14.6 pprof支持 14.7 小结 附录A 参考资料 5 1 GO环境配置 1 GO环境配置 欢迎来到Go的世界，让我们开始探索吧！ Go是一种新的语言 限制（因为浏览器对URL的长度有限制），而POST方法提交的数据没有限制. 3. GET方式提交数据，会带来安全问 题，比如一个登录页面，通过GET方式提交数据时，用户名和密码将出现在URL上，如果页面可以被缓存或者其他人可 以访问这台机器，就可以从历史记录获得该用户的账号和密码。 HTTP响应包（服务器信息） HTTP响应包（服务器信息） 我们再来看看HTTP的response包，他的结构如下： HTTP/1

Introduction to Apache Shiro What is Apache Shiro? Apache Shiro 是一个强大而灵活的开源安全框架，它干净利落地处理身份认证，授权，企业会话管理和加密。 Apache Shiro 的首要目标是易于使用和理解。安全有时候是很复杂的，甚至是痛苦的，但它没有必要这样。框架应 该尽可能掩盖复杂的地方，露出一个干净而直观的 shiro.authc.pam.AuthenticationStrategy) 如果不止一个 Realm 被配置，则 AuthenticationStrategy 将会协调这些 Realm 来决定身份认证尝试成功或 失败下的条件（例如，如果一个 Realm 成功，而其他的均失败，是否该尝试成功？ 是否所有的 Realm 必须成功？或只有第一个成功即可？）。  Authorizer(org 包包含量易于使用和理解的 cryptographic Ciphers，Hasher（又名 digests）以及不同的编码器实现的代表。所有在这个包中的类都被精心地设计以易于 使用和易于理解。任何使用 Java 的本地密码支持的人都知道它可以是一个难以驯服的具有挑战性的动物。Shiro 的 cryptoAPI 简化了复杂的 Java 机制，并使加密对于普通人也易于使用。  Realms(org.apache