Spring Security(学习笔记) --HttpFirewall防火墙!

已于 2024-04-29 19:06:44 修改
阅读量597 收藏 5
点赞数 19
分类专栏: Spring Security 文章标签: spring boot
于 2024-04-29 09:35:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/TONGZHOUGONGDU/article/details/138168047
版权

重点标识

HttpFirewall是Spring Security提供的防火墙,主要作用就是拒绝潜在危险请求以及包装这些请求,进而控制的行为。
通过HttpFirewall可以对非法请求提前进行拦截,降低损失。

简单模式
严格模式

简介

我们知道,在Servlet容器规范中,为HttpServletRequest定义了一些属性,如ContextPath.ServletPath等,这些属性我们都可以通过get方法获得,但是,在不同的容器中,对这些属性的值处理方案也不同,有些容器会对属性的值进行预处理,有些则不会,这样就比较混乱了,不同容器的差异,有可能会造成不安全的隐患。

因此,Spring Security就提供了HttpFirewall来统一进行管理。

public interface HttpFirewall {

//对请求对象进行检验并封装
    FirewalledRequest getFirewalledRequest(HttpServletRequest request) throws RequestRejectedException;
//对返回对象进行封装
    HttpServletResponse getFirewalledResponse(HttpServletResponse response);
}

主要有两个实现类。
在这里插入图片描述

DefaultHttpFirewall是一个检查相对宽容的防火墙,虽然叫做default,但实际上Security默认使用的防火墙不是它。
StrictHttpFirewall 是一个检查比较严格的防火墙,也是Security默认使用的防火墙。

在FilterChainProxy中默认使用的就是StrictHttpFirewall 。会话固定攻击的防御就是在这里实现的。

在它的doFilter方法中,如下

 public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        boolean clearContext = request.getAttribute(FILTER_APPLIED) == null;
        if (!clearContext) {
            this.doFilterInternal(request, response, chain);
        } else {
            try {
                request.setAttribute(FILTER_APPLIED, Boolean.TRUE);
                this.doFilterInternal(request, response, chain);
            } catch (Exception var11) {
                Throwable[] causeChain = this.throwableAnalyzer.determineCauseChain(var11);
                Throwable requestRejectedException = this.throwableAnalyzer.getFirstThrowableOfType(RequestRejectedException.class, causeChain);
                if (!(requestRejectedException instanceof RequestRejectedException)) {
                    throw var11;
                }

                this.requestRejectedHandler.handle((HttpServletRequest)request, (HttpServletResponse)response, (RequestRejectedException)requestRejectedException);
            } finally {
                this.securityContextHolderStrategy.clearContext();
                request.removeAttribute(FILTER_APPLIED);
            }

        }
    }

使用了doFilterInternal,这个里面:


 private void doFilterInternal(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
  //  firewall 就是StrictHttpFirewall  
        FirewalledRequest firewallRequest = this.firewall.getFirewalledRequest((HttpServletRequest)request);
        HttpServletResponse firewallResponse = this.firewall.getFirewalledResponse((HttpServletResponse)response);
       
        List<Filter> filters = this.getFilters((HttpServletRequest)firewallRequest);
        if (filters != null && filters.size() != 0) {
            if (logger.isDebugEnabled()) {
                logger.debug(LogMessage.of(() -> {
                    return "Securing " + requestLine(firewallRequest);
                }));
            }

            FilterChain reset = (req, res) -> {
                if (logger.isDebugEnabled()) {
                    logger.debug(LogMessage.of(() -> {
                        return "Secured " + requestLine(firewallRequest);
                    }));
                }

                firewallRequest.reset();
                chain.doFilter(req, res);
            };
            this.filterChainDecorator.decorate(reset, filters).doFilter(firewallRequest, firewallResponse);
        } else {
            if (logger.isTraceEnabled()) {
                logger.trace(LogMessage.of(() -> {
                    return "No security for " + requestLine(firewallRequest);
                }));
            }

            firewallRequest.reset();
            this.filterChainDecorator.decorate(chain).doFilter(firewallRequest, firewallResponse);
        }
    }

从这里,我们可以看到firewall的判断时间比过滤器更早。

我们看看firewall做了什么什么事。

相关日志打印开关:

logging.level.org.springframework.security=debug

简单模式DefaultHttpFirewall

这个方法就比较简单了,把请求中的//转成/。同时将请求中分号间隔的提取出来,只保留路径。不建议使用。

public FirewalledRequest getFirewalledRequest(HttpServletRequest request) throws RequestRejectedException {
        FirewalledRequest firewalledRequest = new RequestWrapper(request);
        if (this.isNormalized(firewalledRequest.getServletPath()) && this.isNormalized(firewalledRequest.getPathInfo())) {
            String requestURI = firewalledRequest.getRequestURI();
            if (this.containsInvalidUrlEncodedSlash(requestURI)) {
                throw new RequestRejectedException("The requestURI cannot contain encoded slash. Got " + requestURI);
            } else {
                return firewalledRequest;
            }
        } else {
            String var10002 = firewalledRequest.getServletPath();
            throw new RequestRejectedException("Un-normalized paths are not supported: " + var10002 + (firewalledRequest.getPathInfo() != null ? firewalledRequest.getPathInfo() : ""));
        }
    }

严格模式StrictHttpFirewall

 private void rejectForbiddenHttpMethod(HttpServletRequest request) {
 //支持的请求方式
        if (this.allowedHttpMethods != ALLOW_ANY_HTTP_METHOD) {
            if (!this.allowedHttpMethods.contains(request.getMethod())) {
                String var10002 = request.getMethod();
                throw new RequestRejectedException("The request was rejected because the HTTP method \"" + var10002 + "\" was not included within the list of allowed HTTP methods " + this.allowedHttpMethods);
            }
        }
    }

默认支持如下的请求方式


private static Set<String> createDefaultAllowedHttpMethods() {
        Set<String> result = new HashSet();
        result.add(HttpMethod.DELETE.name());
        result.add(HttpMethod.GET.name());
        result.add(HttpMethod.HEAD.name());
        result.add(HttpMethod.OPTIONS.name());
        result.add(HttpMethod.PATCH.name());
        result.add(HttpMethod.POST.name());
        result.add(HttpMethod.PUT.name());
        return result;
    }

让他只能使用post或者get访问,只需要这样配置:


    @Bean
    HttpFirewall firewall(){
        StrictHttpFirewall strictHttpFirewall = new StrictHttpFirewall();
        strictHttpFirewall.setAllowedHttpMethods(Arrays.asList("POST","GET"));
        return strictHttpFirewall;
    }

允许所有请求方式,则如下

 @Bean
    HttpFirewall firewall(){
        StrictHttpFirewall strictHttpFirewall = new StrictHttpFirewall();
//        strictHttpFirewall.setAllowedHttpMethods(Arrays.asList("POST","GET"));
        //允许所有请求
        strictHttpFirewall.setUnsafeAllowAnyHttpMethod(true);
        return strictHttpFirewall;
    }

对地址中的非法字符进行校验

private void rejectedBlocklistedUrls(HttpServletRequest request) {
        Iterator var2 = this.encodedUrlBlocklist.iterator();

        String forbidden;
        do {
            if (!var2.hasNext()) {
                var2 = this.decodedUrlBlocklist.iterator();

                do {
                    if (!var2.hasNext()) {
                        return;
                    }

                    forbidden = (String)var2.next();
                } while(!decodedUrlContains(request, forbidden));

                throw new RequestRejectedException("The request was rejected because the URL contained a potentially malicious String \"" + forbidden + "\"");
            }

            forbidden = (String)var2.next();
        } while(!encodedUrlContains(request, forbidden));

        throw new RequestRejectedException("The request was rejected because the URL contained a potentially malicious String \"" + forbidden + "\"");
    }

常用的一些配置。

 @Bean
    HttpFirewall firewall(){
        StrictHttpFirewall strictHttpFirewall = new StrictHttpFirewall();
//        strictHttpFirewall.setAllowedHttpMethods(Arrays.asList("POST","GET"));
        //允许所有请求
        strictHttpFirewall.setUnsafeAllowAnyHttpMethod(true);
       //是否允许分号
        strictHttpFirewall.setAllowSemicolon(true);

        //允许访问的地址
        strictHttpFirewall.setAllowedHostnames(h -> h.equals("localhost"));
        return strictHttpFirewall;
    }

检查请求是否规范

  private static boolean isNormalized(HttpServletRequest request) {
        if (!isNormalized(request.getRequestURI())) {
            return false;
        } else if (!isNormalized(request.getContextPath())) {
            return false;
        } else if (!isNormalized(request.getServletPath())) {
            return false;
        } else {
            return isNormalized(request.getPathInfo());
        }
    }
同舟共度
关注
  • 19
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring-security-crypto-5.5.2-API文档-中文版.zip
06-04
赠送jar包:spring-security-crypto-5.5.2.jar; 赠送原API文档:spring-security-crypto-5.5.2-javadoc.jar; 赠送源代码:spring-security-crypto-5.5.2-sources.jar; 赠送Maven依赖信息文件:spring-security-...
spring-security-core-5.3.9.RELEASE-API文档-中文版.zip
07-14
赠送jar包:spring-security-core-5.3.9.RELEASE.jar; 赠送原API文档:spring-security-core-5.3.9.RELEASE-javadoc.jar; 赠送源代码:spring-security-core-5.3.9.RELEASE-sources.jar; 赠送Maven依赖信息文件:...
Spring Security 自带防火墙!你都不知道自己的系统有多安全!
2401_84098058的博客
05-04 866
作为一名即将求职的程序员,面对一个可能跟近些年非常不同的 2019 年,你的就业机会和风口会出现在哪里?在这种新环境下,工作应该选择大厂还是小公司?已有几年工作经验的老兵,又应该如何保持和提升自身竞争力,转被动为主动?就目前大环境来看,跳槽成功的难度比往年高很多。一个明显的感受:今年的面试,无论一面还是二面,都很考验Java程序员的技术功底。最近我整理了一份复习用的面试题及面试高频的考点题及技术点梳理成一份“Java经典面试问题(含答案解析).pdf和一份网上搜集的“Java程序员面试笔试真题库.pdf。
深入理解 WebSecurityConfigurerAdapter【源码篇】
2401_84446580的博客
05-03 775
资料过多,篇幅有限开源分享:【大厂前端面试题解析+核心总结学习笔记+真实项目实战+最新讲解视频】自古成功在尝试。不尝试永远都不会成功。勇敢的尝试是成功的一半。http.and()[外链图片转存中…(img-FhMlKjMO-1714729010990)][外链图片转存中…(img-yXxArca0-1714729010992)]资料过多,篇幅有限开源分享:【大厂前端面试题解析+核心总结学习笔记+真实项目实战+最新讲解视频】自古成功在尝试。不尝试永远都不会成功。勇敢的尝试是成功的一半。
spring-security-core-5.5.2-API文档-中文版.zip
06-04
赠送jar包:spring-security-core-5.5.2.jar; 赠送原API文档:spring-security-core-5.5.2-javadoc.jar; 赠送源代码:spring-security-core-5.5.2-sources.jar; 赠送Maven依赖信息文件:spring-security-core-...
spring-security-crypto-5.6.1-API文档-中文版.zip
05-04
赠送jar包:spring-security-crypto-5.6.1.jar; 赠送原API文档:spring-security-crypto-5.6.1-javadoc.jar; 赠送源代码:spring-security-crypto-5.6.1-sources.jar; 赠送Maven依赖信息文件:spring-security-...
spring-security-core-5.2.0.RELEASE-API文档-中文版.zip
07-13
赠送jar包:spring-security-core-5.2.0.RELEASE.jar; 赠送原API文档:spring-security-core-5.2.0.RELEASE-javadoc.jar; 赠送源代码:spring-security-core-5.2.0.RELEASE-sources.jar; 赠送Maven依赖信息文件:...
初探 Spring Boot Starter Security:构建更安全的Spring Boot应用
fudaihb的博客
05-18 784
Spring Boot 作为 Java 生态系统下的热门框架,以其简洁和易上手著称。而在构建 Web 应用程序时,安全性始终是开发者必须重视的一个方面。Spring Boot Starter Security 为开发者提供了一个简单但功能强大的安全框架,使得实现身份验证和授权变得相对容易。 本文将带你深入了解如何使用 Spring Boot Starter Security 来构建一个安全的 Spring Boot 应用,包括基本配置、常见用例以及一些技巧和最佳实践。
Spring Boot中的缓存注解
新生代码农的博客
05-17 745
缓存在现代应用程序中扮演着重要角色,它可以显著提高应用程序的性能和响应速度。SpringBoot提供了一组强大的缓存注解,使得在应用中轻松集成缓存成为可能。本文将详细介绍SpringBoot中的缓存注解,并探讨它们在不同场景下的使用。
一些Spring Boot直接的解释
weixin_50076754的博客
05-21 302
一些Spring Boot的直接的解释
什么叫Java spring boot
Caihua的博客
05-17 563
Spring Boot是一个基于Spring框架的开源Java框架,用于简化创建独立的、生产级的Spring应用。它通过提供一系列默认配置和自动化设置,减少了开发人员在配置方面的工作,从而使得Spring应用的开发更加快速和简单。
Spring Boot集成Picocli快速入门Demo
HBLOG
05-18 379
Picocli是一个单文件命令行解析框架,它允许您创建命令行应用而几乎不需要代码。使用@Option或在您的应用中注释字段,Picocli将分别使用命令行选项和位置参数填充这些字段。使用Picocli来编写一个功能强大的命令行程序。
Spring Boot 系统学习第二天:Spring依赖注入类型
最新发布
geminigoth的博客
05-22 909
依赖注入是Spring 框架提供的核心功能之一,也是开发人员使用Spring Boot框架的基本手段。通过控制反转(IoC)机制获得所需的各种Bean。这中间存在一些最佳实践和值得注意的开发技巧。选择合适的依赖注入类型可以提升系统性能,解决因为使用不到导致的Bean注入问题。试想一下,在开发过程中,如果两个Bean之间存在循环依赖关系,那么选择的依赖注入类型是否合适就直接决定了Bean能否创建成功。
Spring Boot】分层开发 Web 应用程序(含实例)
书山有路,学海无涯。记录成长,追逐梦想
05-19 1023
Spring Boot 开发 Web 应用程序主要使用 MVC 模式。MVC 是 Model(模型)、View(视图)、Controller(控制器)的简写。
Java版本spring cloud + spring boot企业电子招投标系统源代码
2301_78385600的博客
05-21 447
招投标管理系统是一个集门户管理、立项管理、采购项目管理、采购公告管理、考核管理、报表管理、评审管理、企业管理、采购管理和系统管理于一体的综合性应用平台。该系统以项目为主线,涵盖了从项目立项到项目归档的全过程,提供了丰富的功能模块,如门户管理、立项管理、采购项目管理、采购公告管理、考核管理、报表管理、评审管理、企业管理、采购管理和系统管理。主要功能包含:招标公告管理、变更公告管理、终止公告管理、中标候选人公告管理、中标公告管理、采购公告管理、采购结果公告管理、单一来源采购结果公告管理。
java版工程管理系统Spring Cloud+Spring Boot+Mybatis实现工程管理系统源码
m0_68459853的博客
05-15 619
涉及技术:Eureka、Config、Zuul、OAuth2、Security、OSS、Turbine、Zipkin、Feign、Monitor、Stream、ElasticSearch等。工程项目管理软件(工程项目管理系统)对建设工程项目管理组织建设、项目策划决策、规划设计、施工建设到竣工交付、总结评估、运维运营,全过程、全方位的对项目进行综合管理。1、项目列表:实现对项目列表的增删改查操作,包括查看各项目的立项人、创建时间、1、项目汇总:项目汇总信息查看,包括进度、计划时间等信息。
Spring Boot :从上传的二维码图片中读取信息
新生代码农的博客
05-21 405
本文介绍了如何在Spring Boot项目中使用ZXing库从上传的二维码图片中提取信息。通过配置依赖、创建服务类和控制器类,我们实现了二维码信息的读取和展示。这种方法可以帮助我们在各种应用场景中读取二维码中的信息,便于数据获取和处理。
Spring Boot :生成二维码
新生代码农的博客
05-21 409
通过本文,我们成功地在 Spring Boot 项目中集成了 ZXing 库,并实现了生成二维码的功能。我们通过引入依赖、创建二维码生成服务类和控制器类,实现了二维码图像的生成和展示。这种方式可以帮助我们在各种应用场景中生成二维码,方便信息的快速传递和分享。
spring security 整合mybatis-plus
10-23
Spring Security 是一个开源的安全框架,用于保护基于Spring框架构建的应用程序。MyBatis-Plus 是基于 MyBatis 的增强工具,用于简化 MyBatis 操作和提高开发效率。 将 Spring Security 与 MyBatis-Plus 整合主要包括以下几个步骤: 1. 首先,在 Spring Boot 项目的 pom.xml 文件中添加 Spring Security 和 MyBatis-Plus 的依赖。 ```xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependency> <groupId>com.baomidou</groupId> <artifactId>mybatis-plus-boot-starter</artifactId> <version>latest version</version> </dependency> ``` 2. 接下来,在项目的配置文件 application.properties 或 application.yml 中配置数据库连接和 MyBatis-Plus 的相关配置。 3. 创建一个用户实体类和对应的 Mapper 接口,使用 MyBatis-Plus 提供的注解和方法完成数据访问操作。 4. 创建一个自定义的 UserDetailsService 实现类,用于从数据库中获取用户信息,实现 loadUserByUsername 方法。 5. 创建一个自定义的 PasswordEncoder 实现类,用于加密和校验用户密码。 6. 配置 Spring Security,创建一个继承自 WebSecurityConfigurerAdapter 的类,并重写 configure 方法,设置用户认证规则、登录配置和访问控制规则。 7. 在 Spring Boot 启动类上使用 @MapperScan 注解,扫描 Mapper 接口。 通过以上步骤,就可以实现 Spring Security 与 MyBatis-Plus 的整合。在实际应用中,还可以根据具体需求进行一些其他配置和扩展,例如添加角色权限控制、自定义登录页面和处理逻辑等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值