2021SC@SDUSC-SDUDOC-blog13

最新推荐文章于 2024-08-24 22:16:54 发布
最新推荐文章于 2024-08-24 22:16:54 发布
阅读量227 收藏
点赞数
分类专栏: 2021SC@SDUSC 文章标签: 安全 服务器 http
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Janchee/article/details/122035483
版权

2021SC@SDUSC

区分认证和授权:
身份认证Authentication,和授权Authorization。
Authentication指的是用户身份的认证,并不介入这个用户能够做什么,不能够做什么,仅仅是确认存在这个用户而已。而Authorization授权是建立的认证的基础上的,存在这个用户了,再来约定这个用户是否有权限处理这一件事。

AuthenticationEntryPoint是Spring Security
Web一个概念模型接口,顾名思义,他所建模的概念是“认证入口点”。
它在用户请求处理过程中遇到认证异常时,被ExceptionTranslationFilter用于开启特定认证方案的认证流程。

查看源码,可以看出,该接口只定义了一个方法 :

void commence(HttpServletRequest request, HttpServletResponse response,
			AuthenticationException authException) throws IOException, ServletException;

Spring Security Web内置AuthenticationEntryPoint实现类

Spring Security Web 为AuthenticationEntryPoint提供了一些内置实现 :

  • Http403ForbiddenEntryPoint
    -设置响应状态字为403,并非触发一个真正的认证流程。通常在一个预验证(pre-authenticated authentication)已经得出结论需要拒绝用户请求的情况被用于拒绝用户请求。

  • HttpStatusEntryPoint
    设置特定的响应状态字,并非触发一个真正的认证流程。

  • LoginUrlAuthenticationEntryPoint
    根据配置计算出登录页面url,将用户重定向到该登录页面从而开始一个认证流程。

  • BasicAuthenticationEntryPoint
    对应标准Http Basic认证流程的触发动作,向响应写入状态字401和头部WWW-Authenticate:"Basic realm="xxx"触发标准Http Basic认证流程。

  • DigestAuthenticationEntryPoint
    对应标准Http Digest认证流程的触发动作,向响应写入状态字401和头部WWW-Authenticate:"Digest realm="xxx"触发标准Http Digest认证流程。

  • DelegatingAuthenticationEntryPoint
    是一个代理,将认证任务委托给所代理的多个AuthenticationEntryPoint对象,其中一个被标记为缺省AuthenticationEntryPoint。

本项目中的Authentication模块实现AuthenticationEntryPoint接口 :

package cn.edu.sdu.component;

import cn.edu.sdu.api.CommonResult;
import cn.hutool.json.JSONUtil;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.web.AuthenticationEntryPoint;
import org.springframework.stereotype.Component;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

@Component
public class RestAuthenticationEntryPoint implements AuthenticationEntryPoint {

    @Override
    public void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException authException) throws IOException, ServletException {
        response.setHeader("Access-Control-Allow-Origin", "*");
        response.setHeader("Cache-Control","no-cache");
        response.setCharacterEncoding("UTF-8");
        response.setContentType("application/json");

        response.getWriter().println(JSONUtil.parse(CommonResult.unauthorized(authException.getMessage())));
        response.getWriter().flush();
    }
}

查看HttpServletResponse :
在这里插入图片描述
可以看出,HttpServletResponse继承servletResponse。
HttpServletResponse对象代表服务器的响应。这个对象中封装了向客户端发送数据、发送响应头,发送响应状态码的方法。查看HttpServletResponse的API,可以看到这些相关的方法。

Servlet在MVC架构中充当Controller的角色,因此其不仅要获取客户端的数据(用户输入的表单数据、查询参数等),并在处理结束后,给客户端一个响应。

本项目中也是采用较为常规的实现方法。

response.setHeader("Access-Control-Allow-Origin", "*");
response.setHeader("Cache-Control","no-cache");
response.setCharacterEncoding("UTF-8");
response.setContentType("application/json");

补充:severlet是如何的对http响应的:
在这里插入图片描述
在这里插入图片描述

Chi Z犬里
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
2021SC@SDUSC-SDUDOC-blog16
Ethereal的博客
12-27 267
本项目结构中,多个controller类进行后端事务的控制。 服务器和编辑器的通讯目前已经改成类protobuf接口,云端打开 有加入云端协作编辑的功能,暂时不表。 @RestController @RequestMapping("/article") public class DmsArticleController { @Resource private DmsArticleService dmsArticleService; @RequestMapping("/findA.
2021SC@SDUSC-SDUDOC-blog15
Ethereal的博客
12-26 354
2021SC@SDUSC 后端engine config部分 体现分布式(双数据源): //主数据源 ds1数据源 @Primary @Bean(name = "ds1DataSource") public DataSource ds1DataSource(@Qualifier("ds1DataSourceProperties") DataSourceProperties dataSourceProperties) { return dataSourceP
2021SC@SDUSC-SDUDOC-blog06
Ethereal的博客
11-01 262
demo代码分析 SDUDOC项目本周周会要求做svg示例,之前项目的学长给了demo示意,故本周分析此代码。电脑进水烧掉了,准备换。等发货再来补完这一个坑(或者删掉
2021SC@SDUSC-SDUDOC-blog00
Ethereal的博客
09-30 343
2021SC@SDUSC综述 小组选题为SDUDOC,与导师、学长交流后,通过组内协商,分工如下:戈同学负责逻辑引擎实现与基础UI绘制、刘同学负责图像渲染引擎与文档格式 杜同学负责后端服务器分布式架构、张同学负责后端数据库和数据分析。
2021SC@SDUSC-SDUDOC-blog07
Ethereal的博客
11-01 317
2021SC@SDUSC 出现了些事故 本周分析项目后端sdudoc-mbg、sdudoc-mysql sdudoc-mbg MBG是Mybatis generator英文的缩写,是根据数据库中的表,反向生成实体类,DAO,Mapper文件的插件 pom.xml: <dependency> <groupId>org.mybatis</groupId> <artifactId>mybatis-spring&
2021SC@SDUSC-SDUDOC-blog17
Ethereal的博客
12-28 253
2021SC@SDUSC 分析登录控制模块。代码太长,直接写在注释里吧。 可以看出的功能是,登录仍然需要用户输入:账号密码。 虽然从现在主流的软件工程开发风格角度讲,账密不符合如今的低密码趋势,但是值得学习的地方是进行了加密操作。(起码不像某网站一样可以抓包到明文密码) @RestController @RequestMapping("/user") public class LoginController { @Autowired UmsUserRepository service;
2021SC@SDUSC-SDUDOC-blog09
Ethereal的博客
11-14 721
2021SC@SDUSC 中午和刘同学一起找戴老师查验了svg demo,进一步明确项目的用例规范方便未来扩展开发。 后端数据库部分,本周分析sdudoc-mysql的图片部分。
2021SC@SDUSC-SDUDOC-blog14
Ethereal的博客
12-26 171
2021SC@SDUSC engine部分。 后端核心engine部分架构: 本篇分析JsonParser。 JasonParser是底层JSon解析器,类似于Java使用stAx解析xml,但JsonParser仅仅解析Json。JsonParser实现相较于ObjectMapper更底层,因此解析速度更快,但相对复杂。 一般情况下,要创建JsonParser需先创建JsonFactory。JsonFactory用于创建JsonParser实例,应该包含有几个createParser方法,实现对不同jso
2021SC@SDUSC-SDUDOC-blog10
Ethereal的博客
12-13 116
2021SC@SDUSC 本周分析security部分的代码。 电脑最近一波九十九折,money- - 换新电脑没来得及配置手动忽略红线吧。 本片主要分析jwtAuthenticationTokenFilter部分。 整体看类间结构关系: public class RestfulAccessDeniedHandler implements AccessDeniedHandler public class RestAuthenticationEntryPoint implements Authentica
angular-devkit-schematics-cli-builds:为@ angular-devkitschematics-cli构建工件
02-09
@ angular-devkit / schematics-cli的快照构建该存储库是原始存储库上的提交的快照。 用于生成此代码的原始代码位于 。 我们不接受在此存储库中打开的PR或问题。 您不应在此程序包的经过测试和发行的版本上使用此...
SC-LIO-SAM:激光雷达惯性SLAM
05-29
SC-LIO-SAM 版本 2020-11-19 什么是 SC-LIO-SAM? SC-LIO-SAM 是一种实时激光雷达惯性 SLAM 封装。 LiDAR 惯性 SLAM:扫描上下文 + LIO-SAM 该存储库是一个示例用例,它是一种快速而强大的 LiDAR 位置识别方法。 ...
2021-sc-web-06-parallax:2021-sc-web-06-parallax
03-29
标题中的“2021-sc-web-06-parallax”很可能是一个关于2021年web设计技术的项目,特别关注了视差滚动效果。视差滚动是网页设计中一种流行的效果,它使得背景元素以不同的速度移动,创造出深度感和动态视觉体验,通常...
2021-sc-web-04-lge:2021-sc-web-04-lge
03-17
在给定的压缩包文件"2021-sc-web-04-lge:2021-sc-web-04-lge"中,标签为"CSS",我们可以推断这是一个关于CSS(层叠样式表)技术的项目或者教程资料。虽然没有提供具体的文件内容,但根据常规的Web开发流程和CSS的...
2021-sc-web-05-band:2021-sc-web-05-band
03-25
标题和描述中提到的"2021-sc-web-05-band:2021-sc-web-05-band"可能是指一个项目或者课程的代码库,可能是关于Web开发的某个阶段或主题,但具体信息不够明确。不过,标签中提到了"CSS",这代表我们将重点讨论CSS...
135天:内网安全-横向移动&非约束委派&约束委派&数据库攻防
最新发布
weixin_71529930的博客
08-24 392
非约束委派存在不安全性,所以微软在Windows server 2003中引入了约束委派,约束委派攻击主要利用被控主机设置了域控的CIFS服务的约束委派,则攻击者可以先使用S4u2seflt申请域管用户访问被控主机的ST1,然后使用S4u2Proxy以administrator身份访问域控的CIFS服务,即相当于控制了域控。攻击者拿到了一台配置非约束委派的机器权限,可以诱导域管来访问该机器,然后得到管。利用该身份就可以访问域控,记得用主机名去访问。(域控)访问具有非约束委派权限的机器。
【办公软件】安全风险 Microsoft 已阻止宏运行,因为此文件的来源不受信任
一点硬件
08-20 398
安全风险 Microsoft 已阻止宏运行 因为此文件的来源不受信任
SD-WAN安全:在灵活性与安全性之间找到平衡
A526847的博客
08-21 492
随着企业业务的不断扩展和数字化转型的加速,网络架构的灵活性和安全性成为了企业关注的重点。SD-WAN(软件定义广域网)作为一种新兴的网络架构,通过软件定义和虚拟化技术,为企业提供了更灵活、可靠、经济高效的广域网连接方案。然而,在追求灵活性的同时,如何确保网络的安全性,成为了SD-WAN应用中的一大挑战。本文将探讨SD-WAN如何在灵活性与安全性之间找到平衡。
车辆电子围栏系统:守护爱车安全的智能新防线
2301_81759256的博客
08-20 518
在未来,随着技术的不断进步和应用的持续深化,我们有理由相信,车辆电子围栏系统将会为更多车主带来安心与便捷,共同守护每一段旅程的平安与美好。车主可以根据自己的实际需求,自由设定围栏的范围大小、形状及预警方式,无论是家庭住址、公司停车位还是孩子的学校周边,都能成为保护爱车的安全区域。一旦车辆跨越这个预设的“围栏”,系统便会立即触发警报,通过手机APP、短信或电话等多种方式通知车主,实现对车辆位置的实时监控与异常行为的即时响应。其中,车辆电子围栏系统作为一项创新的安全技术,正悄然成为车主们守护爱车安全的新宠。
APM1403SC-TRL-VB:P沟道20V MOSFET技术规格
"APM1403SC-TRL-VB是一种P沟道MOSFET,采用SC70-3封装,适用于负载开关和DC/DC转换器等应用。这款MOSFET具有无卤素、TrenchFET功率MOSFET技术、100%栅极电阻测试以及符合RoHS指令等特点。其主要参数包括最大20V的漏...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Chi Z犬里

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值