使用Passay库为Spring Boot Thymeleaf Web应用自定义密码策略验证

已于 2022-11-09 21:15:21 修改
阅读量503 收藏 1
点赞数 1
文章标签: java spring 开发语言
于 2022-11-09 20:48:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/allway2/article/details/127777602
版权

介绍

如今,密码策略非常普遍,并且存在于大多数在线平台上。虽然某些用户并不真正喜欢它们,但它们存在是有原因的——使密码更安全。

您肯定有过应用程序强制使用某些密码规则的经验,例如允许的最小或最大字符数,包括数字,大写字母等。

无论安全系统有多好,如果用户选择“密码”等弱密码,敏感数据可能会暴露。虽然一些用户可能会对密码策略感到恼火,但它们可以保护用户数据的安全,因为它会使攻击效率低下。

为了在基于Spring的应用程序中实现这一点,我们将使用Passay - 一个专门为此目的制作的库,它使在Java中执行密码策略变得容易。

请注意:本教程假设您具有 Spring 框架的基本知识,因此为了简洁起见,我们将更多地关注 Passay。

除了密码策略之外,实现安全性的一个良好且基本的技术是密码编码

注册表格

与往常一样,从框架式 Spring Boot 项目开始的最简单方法是使用Spring Initializr

选择您喜欢的 Spring 引导版本并添加依赖项:Web和Thymeleaf

在此之后,将其生成为 Maven 项目,一切就绪!

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0"
         xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
    <modelVersion>4.0.0</modelVersion>
    <parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>2.7.5</version>
        <relativePath /> <!-- lookup parent from repository -->
    </parent>
    <groupId>com.mynotes.spring.mvc</groupId>
    <artifactId>password-strength</artifactId>
    <version>0.0.1-SNAPSHOT</version>
    <name>password-strength</name>
    <description>Demo project for Spring Boot</description>

    <properties>
        <java.version>1.8</java.version>
    </properties>

    <dependencies>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-thymeleaf</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>
        <dependency>
            <groupId>org.passay</groupId>
            <artifactId>passay</artifactId>
            <version>1.6.2</version>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-devtools</artifactId>
            <scope>runtime</scope>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
            <scope>test</scope>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-validation</artifactId>
        </dependency>
        <dependency>
            <groupId>junit</groupId>
            <artifactId>junit</artifactId>
            <version>4.13.2</version>
            <scope>test</scope>
        </dependency>
    </dependencies>

    <build>
        <plugins>
            <plugin>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-maven-plugin</artifactId>
            </plugin>
        </plugins>
    </build>

</project>

让我们定义一个简单的数据传输对象,其中我们将包含要从表单中捕获的所有属性:

public class UserDto {

    @NotEmpty
    private String name;

    @Email
    @NotEmpty
    private String email;

    private String password;

我们尚未对密码字段进行批注,因为我们将为此实现自定义批注。

然后我们有一个简单的控制器类,它服务于注册表单,并在使用映射提交时捕获其数据:GET/POST

@Controller
@RequestMapping("/signup")
public class SignUpController {

    @ModelAttribute("user")
    public UserDto userDto() {
        return new UserDto();
    }

    @GetMapping
    public String showForm() {
        return "signup";
    }

    @PostMapping
    public String submitForm(@Valid @ModelAttribute("user") UserDto user, BindingResult bindingResult) {
        if (bindingResult.hasErrors()) {
            return "signup";
        }
        return "success";
    }

}

我们首先定义了 a,并为其分配了实例。这是提交后将保存信息的对象。@ModelAttribute("user")UserDto

使用此对象,我们可以提取数据并将其持久保存在数据库中。

该方法返回一个值为“注册”的字符串。由于我们的类路径中有Thymeleaf,Spring 将在资源中的模板文件夹中搜索“注册.html”。showForm()

同样,我们有一个POST映射,它将检查表单是否有任何错误。如果是这样,它将重定向回“注册.html”页面。否则,它会将用户转发到“成功”页面。submitForm()

Thymeleaf是一个现代的服务器端Java模板引擎,用于处理和创建HTML,XML,JavaScript,CSS和文本。它是Java服务器页面(JSP)等旧模板引擎的现代替代方案。

让我们继续定义一个“注册.html”页面:

<form action="#" th:action="@{/signup}" th:object="${user}" method="post">

    <div class="form-group">
        <input type="text" th:field="*{name}" class="form-control"
               id="name" placeholder="Name"> <span
               th:if="${#fields.hasErrors('name')}" th:errors="*{name}"
               class="text-danger"></span>
     </div>
     <div class="form-group">
        <input type="text" th:field="*{email}" class="form-control"
               id="email" placeholder="Email"> <span
               th:if="${#fields.hasErrors('email')}" th:errors="*{email}"
               class="text-danger"></span>
     </div>
     <div class="form-group">
         <input type="text" th:field="*{password}" class="form-control"
                id="password" placeholder="Password">
         <ul class="text-danger" th:each="error: ${#fields.errors('password')}">
             <li th:each="message : ${error.split(',')}">
                 <p class="error-message" th:text="${message}"></p>
             </li>
         </ul>
     </div>

     <div class="col-md-6 mt-5">
         <input type="submit" class="btn btn-primary" value="Submit">
     </div>
</form>

这里有几点应该指出:

  • th:action = "@{/signup}"- 操作属性是指我们在提交表单时调用的 URL。我们以控制器中的“注册”URL 映射为目标。
  • method="post"- 方法属性是指我们发送的请求类型。这必须与方法中定义的请求类型匹配。submitForm()
  • th:object="${user}"- 对象属性是指我们之前在控制器中使用的对象名称。使用窗体的其余部分,我们将填充实例的字段,然后保存实例。@ModelAttribute("user")UserDto

我们还有其他 3 个映射到、和usingtag的输入字段。如果字段有错误,将通过标签通知用户。nameemailpasswordth:fieldth:errors

让我们运行我们的应用程序并导航到http://localhost:8080/signup

自定义@ValidPassword注释

根据项目要求,我们有时必须为应用程序定义特定的自定义代码。

由于我们可以强制实施不同的策略和规则,因此让我们继续定义一个自定义注释来检查有效的密码,我们将在类中使用该注释。UserDto

批注只是代码的元数据,不包含任何业务逻辑。它们只能提供有关定义它的属性(类/方法/包/字段)的信息。

让我们创建注释:@ValidPassword

@Documented
@Constraint(validatedBy = PasswordConstraintValidator.class)
@Target({ FIELD, ANNOTATION_TYPE })
@Retention(RUNTIME)
public @interface ValidPassword {

    String message() default "Invalid Password";

    Class<?>[] groups() default {};

    Class<? extends Payload>[] payload() default {};
}

如您所见,要创建注释,我们使用关键字。让我们看一下几个关键字并充分理解它们,然后再继续:@interface

  • @Documented:一个简单的标记注释,用于判断是否在Javadocs中添加注释。
  • @Constraint:将批注标记为Bean 验证约束。该元素指定实现约束的类。稍后我们将创建该类。validatedByPasswordConstraintValidator
  • @Target:是可以使用我们的注释的地方。如果未指定此项,则可以将批注放置在任何位置。目前,我们的注释可以放置在实例变量和其他注释上。
  • @Retention:定义批注应保留多长时间。我们已经选择了它可以被运行时环境使用。RUNTIME

要在我们的类中使用它,只需注释密码字段:UserDto

@ValidPassword
private String password;

自定义密码约束验证程序

现在我们有了注释,让我们实现它的验证逻辑。在此之前,请确保您的pom.xml文件中包含Passay Maven依赖项:

<dependency>
    <groupId>org.passay</groupId>
    <artifactId>passay</artifactId>
    <version>{$version}</version>
</dependency>

您可以在此处检查最新的依赖项。

最后,让我们编写我们的类:PasswordConstraintValidator

public class PasswordConstraintValidator implements ConstraintValidator<ValidPassword, String> {

    @Override
    public void initialize(ValidPassword arg0) {
    }

    @Override
    public boolean isValid(String password, ConstraintValidatorContext context) {
        PasswordValidator validator = new PasswordValidator(Arrays.asList(
            // at least 8 characters
            new LengthRule(8, 30),

            // at least one upper-case character
            new CharacterRule(EnglishCharacterData.UpperCase, 1),

            // at least one lower-case character
            new CharacterRule(EnglishCharacterData.LowerCase, 1),

            // at least one digit character
            new CharacterRule(EnglishCharacterData.Digit, 1),

            // at least one symbol (special character)
            new CharacterRule(EnglishCharacterData.Special, 1),

            // no whitespace
            new WhitespaceRule()

        ));
        RuleResult result = validator.validate(new PasswordData(password));
        if (result.isValid()) {
            return true;
        }
        List<String> messages = validator.getMessages(result);

        String messageTemplate = messages.stream()
            .collect(Collectors.joining(","));
        context.buildConstraintViolationWithTemplate(messageTemplate)
            .addConstraintViolation()
            .disableDefaultConstraintViolation();
        return false;
    }
}

我们实现了接口,这迫使我们实现几个方法。ConstraintValidator

我们首先通过传递要在密码中强制执行的约束数组来创建对象。PasswordValidator

约束是不言自明的:

  • 它的长度必须介于 8 到 30 个字符之间,由LengthRule
  • 它必须至少具有 1 个小写字符,如CharacterRule
  • 它必须至少具有 1 个大写字符,如CharacterRule
  • 它必须至少具有 1 个由CharacterRule
  • 它必须至少具有 1 位数字字符,如CharacterRule
  • 它不得包含由WhitespaceRule

可以使用Passay编写的规则的完整列表可以在官方网站上找到。

最后,我们验证了密码,如果它通过了所有条件,则返回。如果某些条件失败,我们将所有失败条件的错误消息聚合到一个字符串中,以“,”分隔,然后将其放入 and 中返回。truecontextfalse

让我们再次运行我们的项目并输入无效的密码以验证验证是否有效:

结论

在本文中,我们介绍了如何使用Passay库强制执行某些密码规则。我们为此创建了一个自定义注释和密码约束验证器,并在我们的实例变量中使用它,实际的业务逻辑是在单独的类中实现的。

示例代码下载:https://github.com/allwaysoft/spring-boot-passay-password-strength

allway2
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SpringBoot+mybatis登录注册及其账号密码的校验+验证码+拦截器+文件系统+定时任务
03-09
SpringBoot+mybatis登录(密码错误3次,30分钟内不允许登录)注册及其账号密码的js校验+kaptcha验证码+定时任务(每天十二点允许/不允许登录,用于系统维护期间不允许用户登录)+拦截器(未登录不允许进行其他操作)+文件系统(显示文件列表、创建文件夹、上传文件、文件下载、文件重命名、删除文件、模糊查询)
spring boot thymeleaf 图片上传web项目根目录操作步骤
08-27
Spring Boot Thymeleaf 图片上传 Web 项目根目录操作步骤 Spring Boot Thymeleaf 是一种基于 JavaWeb 框架,结合 Thymeleaf 模板引擎,提供了强大的图片上传功能。本文将详细介绍 Spring Boot Thymeleaf 图片...
Spring Boot 使用 Passay 自定义密码验证
allway2的博客
11-09 1593
使用 Spring Initializr 生成具有以下依赖项的 Spring boot 2 项目:web、lombok、spring-boot-starter-validation。在继续本教程之前,您应该对使用 Spring 框架的 Java 有基本的了解。是一个基于Java密码生成和验证。它建立在成功的基础上,并提供了一个全面且可扩展的功能集。除了密码验证之外,passay 还允许您使用给定的策略生成密码。在本文中,我创建了一个使用Angular作为前端的注册表单。使用包含要验证的信息的类。
Springboot数据加密篇
qq_62377885的博客
12-19 3597
哈希算法,又称摘要算法(Digest),是一种将任意长度的输入通过散列函数变换成固定长度的输出的单向密码体制。这种映射的规则就是哈希算法,而通过原始数据映射之后得到的二进制值串就是哈希值。哈希算法最重要的特点就是:相同的输入一定得到相同的输出,不同的输入可能得到相同的输出,但不可能通过输出反推出原始输入。这意味着哈希算法可以用于快速比较两个数据是否相同,常用于密码存储、数字签名、数据完整性校验等领域。
SpringBoot中如何使用Oauth2完成密码策略授权?
执笔画红颜丶的博客
04-16 389
Oauth2如何使用密码策略完成授权? 一、导入相关依赖 POM文件 <!-- oauth2相关依赖 --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependency> &
SpringBoot集成Spring Security(2)——密码校验
风清云淡
11-23 2610
一、前言 在上一篇《SpringBoot集成Spring Security(1)——登录认证》中已经做了Spring Security的基本入门,可以登录和做角色校验,这其中有一点比较好奇的就是密码校对这块。 二、简要分析 下面通过源码简单的来了解下Spring Security的密码校对这块,在上一篇博客中代码示例里的SecurityConfig里面,我们自己配置了一个密码编码器,然后在检验过程中就会获取改密码编码器,拿到数据中该用户的密码和你前端传进来的密码,调用matches方法进行校验。
SpringBootWebApplication:使用 Thymeleaf 演示 Spring Boot Web 应用程序
07-03
在本项目"SpringBootWebApplication"中,我们探讨了如何使用Spring Boot框架构建一个Web应用程序,并结合Thymeleaf模板引擎来实现动态页面渲染。Spring Boot简化了Java Web开发过程,而Thymeleaf则提供了方便的方式...
Spring Boot 2+Thymeleaf企业应用实战》_杨恩雄.pdf
05-23
Spring Boot 2+Thymeleaf企业应用实战》_杨恩雄
Spring boot搭建web应用集成thymeleaf模板实现登陆
08-28
Spring Boot 应用程序中,我们可以使用 application.properties 文件或 application.yml 文件来配置应用程序。例如,我们可以在 application.properties 文件中添加以下配置项: ```properties spring....
spring boot使用thymeleaf为模板的基本步骤介绍
08-28
Spring BootThymeleaf的结合为开发者提供了便捷的前后端分离方案,允许开发者专注于业务逻辑和视图的分离。Thymeleaf的模板语法直观易懂,有助于提高开发效率。通过以上步骤,你可以快速地在Spring Boot项目中集成...
密码强度(web)版例子
10-24
密码强度(web)版例子。自动判断密码输入的强度是多少。
thymeleafjava实现验证码的生成与校验
可控的事情要谨慎,不可控的事情要乐观。
11-28 818
1.页面 <div class="verCode"> 验证码:<input type="text" value="" name="imageCode" id="imageCode" size="10"/>&nbsp; <img th:onclick="'loadImage()'" th:title="换一张试试" name="randImage...
Java 密码规则验证Passay
allway2的博客
11-09 1301
但是我们应该记住,Passay 本身并不能使我们的密码安全。如今,大多数Web应用程序都有其密码策略 - 简单地说,创建密码策略是为了迫使用户创建难以破解的密码。该示例向我们展示了所描述的规则是如何工作的。与正匹配规则类似,它们为我们提供了有关验证的完整反馈。当我们有一个最常见或最容易破解的密码列表时,这是有益的。我们可以使用 origin 字段来保存有关密码是否由用户生成或定义的信息。我们可以避免在不同系统或应用程序中使用相同的密码的风险。更重要的是,我们必须设置密码必须匹配多少个。
spring boot (六)之表单验证
qq_40133908的博客
11-27 311
          在表现层向控制层传递数据的时候,并不一定所有的数据都是有效的或是正确的,有些时候输入的数据是错误的,有些时候也有一些恶意攻击服务器的,比如通过工具不断的向服务器提交数据导致服务器崩溃等等,因此,需要在浏览器和服务器端都要设置验证验证通过了才可以进行下一步操作,这样就可以有效的防止以上事情发生。 这里自己主要还是学习在服务器端进行验证设置。 一般的我们在设计的时候会遇...
Java密码生成和验证Passay − 快速指南
allway2的博客
11-09 1257
规则是密码验证和生成的基础块。规则分为两大类:正匹配要求密码满足规则。负匹配拒绝满足规则的密码
passay——密码验证器和生成器
の博客
08-30 116
【代码】passay——密码验证器和生成器。
Web应用程序加密
最新发布
Kali与编程
01-31 962
SSL/TLS协议是一种用于保护网络通信安全的加密协议,它可以为网络通信提供保密性、完整性和验证性保护。在本文中,我们将详细介绍SSL/TLS协议的工作原理、加密过程、常见应用场景以及相关的安全问题和解决方案,帮助初学者更好地了解SSL/TLS协议的重要性和实践方法。一、SSL/TLS协议的工作原理握手协议SSL/TLS协议的握手协议是SSL/TLS协议安全性的基础。握手协议的主要目的是建立安全通信信道,包括协商加密算法、验证通信双方身份等。
SpringSecurity系列学习(二):密码验证
在数字化道路无限探索
01-12 5104
版权声明:本文由神州数码云基地团队整理撰写,若转载请注明出处。密码存储安全进化史这一节我们还是积累一些知识,迫不及待想编码的小伙伴再忍忍,打好基础才能避免一些坑,一步一脚印。 最开始的时候,密码是明文存储的。黑客只需要攻破你的数据,就能拿到所有的账号与密码了 为了防止密码泄露,后来在存储密码的时候对密码进行了哈希加密,这种加密是不可逆的。这样黑客即使攻破数据拿到了账号和密码保存的记录,也不能获得真正的密码,因为存储在数据里的密码是经过哈希加密算法之后的数据。 黑客为了解决这种情况,使用了彩虹表:预先将
Passay密码验证器,密码生成器】
燃尽余火的博客
04-18 880
文档 官方文档:https://www.tutorialspoint.com/passay/index.htm 中文文档:https://www.imangodoc.com/36543.html 中文文档差不多是官方文档的翻译,挺简单的。 组要分为规则,生成器和验证器三个部分。 maven 依赖 <dependency> <groupId>org.passay</groupId> <artifactId>passay</artifactId&.
spring boot thymeleaf
03-16
Spring Boot Thymeleaf 是一种基于 Spring Boot 框架的模板引擎,它可以帮助开发者快速构建 Web 应用程序。Thymeleaf 具有简单易用、灵活性高、可扩展性强等特点,同时也支持多种模板语法,包括 HTML、XML、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值