never belief any book

简介 在一些环境中，可能需要把web应用做成无状态的，即服务端无状态，也就是说服务端不会存储像会话这种东西，而是每次请求时带上相应的用户名进行登录。 如不使用OAuth2协议来实现，则可以使用REST+HMAC认证。 REST-HMAC：Hash-based Messager Authentication Code,基于散列的消息认证码。使用一个密钥（只有客户端和服务端知道）和一个消息作为输... 阅读全文…

使用场景 比如某个领导因故不能登录网站进行一些操作，他想把网站上的工作委托给他的秘书，但却不想把账号、密码告诉她。此时我们可以使用Shiro的RunAs功能，即允许一个用户假装成另一个用户的身份进行访问。 示例 示例基于第十六章，主要功能是用户、公司、角色和资源之间关系的调整，如修改用户所属公司、所有角色，资源所需权限、角色所有资源等。 数据库：新增user_runas表，映射原用户与代用... 阅读全文…

core模块：提供调用接口。 server模块：管理用户、应用和权限。 app模块：各个应用，如一些内部管理系统应用，登录都跳到server登录，权限也从server获取。 部署到nginx 首先修改nginx.conf: 原文是location部分用正则匹配，但是测试报404，所以改成了直接匹配。 #第一个虚拟主机 server { #监听端口 listen 80; ... 阅读全文…

简介 在实现登录功能时，大多数情况需要验证码支持，目的是防止机器人暴力破解密码。 目前比较简单的验证码通过一些OCR工具就可以解析出来，复杂的验证码（一般通过扭曲、加线条或噪点等干扰）能够防止OCR识别。更复杂的如填字、算数等验证码则需要人工识别。 目前比较可靠的是手机验证码，但是对于用户来说比普通验证码要麻烦得多。 验证码图片可以通过Java提供的图片API实现，也可以借助如JCaptch... 阅读全文…

拦截器 NameableFilter: 给Filter起了名字，如果没有设置默认就是FilterName；之前的authc就是，当我们组装拦截器链时会根据这个名字找到相应的拦截器实... 阅读全文…

自定义拦截器 自定义拦截器可以扩展一些功能，如，从Subject获取用户身份信息绑定到Request、验证码验证、在线用户信息的保存等。 扩展OncePerRequestFilter OncePerRequestFilter保证请求只调用一次doFilterInternal()。 public class MyOncePerRequestFilter extends OncePerReq... 阅读全文…

概念 首先它得是一棵树，是树就说明它没有回路，并且有V个顶点就一定有V-1条边。 其次它还得是生成树，生成树指的是包含V个顶点、V-1条边且再加一条边就会出现回路的图。 最后必须保... 阅读全文…

作用 在代码中使用自定义的异常类，可以对异常进行统一的封装处理，使得整个项目的异常处理更规范、更统一、更优雅。同时，使得日志的记录上更加清晰，便于后续查看日志定位问题。步骤 需要自定义异常类，继承自系统的异常类。具体需要什么样类型的异常类，就继承自 相应的系统类。 如果你想写一个检查性异常，则需要继承自Exception类 如果你想写一个运行时异常，需要继承自RuntimeExceptio... 阅读全文…

application.properties提供自定义属性的支持，这样我们就可以把一些常量配置在这里。 绑定属性 ... 阅读全文…

HTML中< > & " ©分别是<,>,&,”,©;的转义字符。 xml中只有5个转移字符 < > & " ' 阅读全文…