关于安全

做了好几年程序，时常觉得自己还是欠缺很多东西，尤其是面向互联网应用这块，最没有经验的一块内容就是有关web应用的安全问题，用户认证和授权问题，用户信息传输的隐私安全等。

之所以没有经验，主要因为多是在做一些政府企业内部的项目，似乎项目对安全性要求并不高，所以也就从来没考虑过安全这块，只是用一些最基本的用户名，密码和权限而已。

如今看来，真的很有必要从基础到深入了解web安全，了解学习各种后台安全认证解决方案等。

现在明白，学不可浅尝辄止，与我而言，做任何事一定要专注，因为实在天资有限，没有那么多精力，也不够聪明，同时去干多件事情。

 

回到正题，关于安全，现在市场上已经有很多关于安全的优秀的开源解决方案，我决定从开源一点一点学起。

 

目标：

1.理解安全框架的四块基石，  认证、授权、会话管理和加密

2.理解权限框架的通用解决方案， 用户名，密码、组、角色、权限

3.学习设计实现一个权限方案

4.学习设计实现一个认证、授权、会话管理和加密的方案。