Arch-03-24- Spring Security 应用

最新推荐文章于 2024-09-08 21:05:20 发布
最新推荐文章于 2024-09-08 21:05:20 发布
阅读量108 收藏
点赞数
分类专栏: 架构师-03-实施 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cnmqw/article/details/84078844
版权

Spring Security 用了几次,还没有在集群环境中使用的,这次需要在集群中使用了。

 

(一)认证的基本术语

 

  • User - 用户
  • Fecerated User - 联合用户
  • External User - 外部用户
  • Authentication - 验证
  • Credentials - 凭据
  • Application Security Layer - 应用安全层,过渡器检查每个 http 请求。
  • Application Layer - 应用层,每个 http 请求访问应用层都必须通过应用安全层。

 

(二)URI mappings

  • /admin/** - 管理控制台
  • /rpc/xmlrpc - 基于 XML 的 XML-RPC 
  • /rpc/rest - RESTful HTTP services
  • /rpc/soap - SOAP HTTP services
  • /** - 全部需要验证
(三)Filter Chains
  • Session 集成 - 访客进入或者 Http 请求访问安全上下文 -  httpSessionContextIntegrationFilter
  • 验证 - Spring Security 默认实现 FormAuthenticationProcessingFilter -  formAuthenticationFilter
  • Cookie 验证 - 处理“记住我”cookies,长效 Http cookies 用于验证 session 用户 - rememberMeProcessingFilter
  • Feed 基本认证 - Rss/Atom feeds 阅读器验证,通常是专门的阅读器,不是基于浏览器 - feedBasicAuthenticationFilter
  • 异常事务 - 各种安全相关的异常重定向,通常在 struts 层处理 -exceptionTranslationFilter
  • 事务验证 - 在应用安全屋和代码间强制验证 - pAuthenticationTranslationFilter 
(四)验证约定
  • pAuthenticationTranslationFilter 会检查 SecurityContext 的有效性
  • SecurityContextHolder.getContext().setAuthentication(new UserAuthentication(new UserTemplate()))
  • DWR 和 webservice 的认证检查使用代理层,DWR 使用主 web 应用的 session 验证,REST 使用基础 HTTP 认证,通常每个 web services 请求都会进行验证
(五)验证
  • 权限 - 管理控制台提供页面用于分配用户和用户组权限
  • 分组 - 合并用户的系统权限。权限可以分配给组和组成员,重复的权限会被覆盖
  • 代理 - 代理应用层对象是透明的,不影响安全层代码
(六)实现类
  • PermissionsManager
  • GroupManager
  • Security 子类 PAuthentication
(七)Webservice 安全入门
  1. 客户端登录连接 web service 使用 username token
  2. WSSE 规范,用于 SOAP 用户认证,也能扩展到 HTTP Service。如许多 Atom 和 RESTful 服务使用简单的验证还不够,这些简单的验证包括 HTTP 基础验证,HTTP SSL,HTTP Digest, Hash-Based 认证。
  3. 工作方式,每一个 SOAP 请求都包含安全报头,报头包含 username 和 password,符合 HTTP 认证规范。
  4. Username Token Profile Specification 的 PasswordText 选项是文本方式传输,须使用 SSL 加密。 PasswordDigest 使用 WSS4j interceptor 实现。 PasswordDigest 工作方式:
  • 客户端由两段信息:用户名和密码
  • 客户端创建一个随机数,加密随机字串
  • 客户端根据当前时间创建时间戳
  • PasswordDigest = Base64 \ (SHA1 (随机数 + 时间戳 + 密码)
  • 结合随机数和时间戳是为了避免重用的报头
  • 客户端给每个请求设置用户名和摘要
(八)Spring security 怎样进行盐值加密
     1. 以前的md5原理是
密码密文=md5算法(密码明文);
这样明文与密文其实还是一一对应的
那么人家就可以用字典攻击(就是一个一个的试)来探测密码
加盐(盐值加密)的算法很多
     
     2. Spring security用的是:
密码密文=md5算法(密码明文{盐值});
这个盐值就可以自己随便设置了,弄一个静态字符串或者用用户的登录名
举个例子:
用户名:thr
密码:fou
用用户名作为盐值
打开网页:http://www.md5.org.cn/md5/Encrypt.asp
输入:thr{fou}
得到密文:5dbae131e3eea6ce50068aab9292c8c3

(九)附件是最简单配置可运行的 war 包。 
<?xml version="1.0" encoding="UTF-8"?>
<b:beans xmlns="http://www.springframework.org/schema/security"
    xmlns:b="http://www.springframework.org/schema/beans"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-3.0.xsd
                        http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security-3.1.xsd">

	<!--无需权限-->
	<http pattern="/css/**" security="none"/>
	<http pattern="/images/**" security="none"/>

	<http auto-config='true' access-denied-page="/403.jsp">
		<!--匿名用户-->
		<intercept-url pattern="/login.jsp*" access="IS_AUTHENTICATED_ANONYMOUSLY" />
		<!--需要权限-->
		<intercept-url pattern="/user/**" access="ROLE_USER" />
		<intercept-url pattern="/eman/**" access="ROLE_EMAN" />
		<intercept-url pattern="/admin/**" access="ROLE_ADMIN" />
		<intercept-url pattern="/**" access="ROLE_AUTH" />
		<!--登录界面-->
    <form-login login-page='/login.jsp' />
	</http>

	<authentication-manager>
		<!--假设用户-->
		<authentication-provider>
			<user-service>
				<user name="user1" password="111111" authorities="ROLE_AUTH,ROLE_USER" />
				<user name="eman1" password="111111" authorities="ROLE_AUTH,ROLE_EMAN" />
				<user name="admin" password="111111" authorities="ROLE_AUTH,ROLE_ADMIN" />
			</user-service>
		</authentication-provider>
	</authentication-manager>

</b:beans>
 
cnmqw
关注
专栏目录
基于 Java Spring Security 的关注微信公众号即登录的设计与实现 ya
m0_67698950的博客
04-07 1985
太长不看版本 本文通过一个实际的具有一定商业价值的项目,展示了 API 优先的开发方法。通过薅羊毛的方式,落地了 Free Arch 架构。 背景和价值 通过微信公众号积累粉丝并进行商业活动宣传,是新媒体运营的常见方式。而系统对接微信登录,既能给用户带来便利,同时也能够给系统引流。但是传统或者标准的 PC 网页端微信扫码登录,用户扫码只需要做 OAuth 授权,不必关注公众号。但是对于运营者来说,更希望通过微信登录的用户,自动成为微信粉丝,实现系统中微信用户和公众号粉丝的一一对应。 ..
Spring Cloud MicroService 详解
Gavin
04-15 459
微服务的特性: 1,独立运行在自己的进程中---每个服务都是一个server(基本上); 2,一系列服务共同构建起一个大的服务; 3,每个服务只关注自己的业务; 4,轻量通信机制----可以 使用rpc通信或者http进行远程服务调用; 5,可以使用不同的语言开发; ## 微服务的优点: 1,独立部署; 2,易于维护; 3,启动快; 4,局部易修改; 5,技术栈不受限制; 6,按需伸缩,可以调整每个微服务的内存大小; 7,职责专一,代码复用,便于团队协作
Spring Security Architecture(Spring安全框架的体系结构)
chuixue24的博客
04-18 612
1. Introduction(简介) 本篇是关于Spring安全框架的入门指导,主要讲解Spring 安全框架的体系结构,设计思路和组成模块。虽然本文只涵盖了最为基本的应用安全知识,但这些足以帮助开发者消除在使用Spring 安全框架进行开发时遇到的一些困惑。为了完成这些工作,我们来瞧一瞧如何通过Filters(Servlet规范中一种组件)以及更为常用的方法注解来在Web应用中使用安全组件。...
浅谈spingmvc 整合CXF +ws-security 实现webservice安全验证
chrisjingu的专栏
08-31 9673
jar包:asm-3.3.1.jar xmlsec-1.5.8.jar xmlschema-core-2.1.0.jar woodstox-core-asl-4.4.1.jar wsdk4j-1.6.3.jar wss4j–1.6.19.jar wsdl4j.jar neethi-3.0.3.jar saaj.jar commons-discovery-0.2.jar commo
01-SpringSecurity认证、授权
qq_42861526的博客
08-02 914
springSecurity的认证流程
springcloud整合zookeeper简单应用
weixin_45233000的博客
03-30 1862
1.zookeeper 背景 zookeeper 作为dubbo注册与发现中心,采用cp理论。 2.环境准备 linux安装zookeeper 安装步骤省略。 启动zookeeper 服务端。 进去zookeeper安装路径下 [root@localhost ~]# cd /opt/zookeeper/ [root@localhost zookeeper]# cd bin [root@localhost bin]# ./zkServer.sh start ZooKeeper JMX enabled by
Arch - 架构安全性_授权(Authorization)
最新发布
小工匠
09-08 2639
授权是信息安全中至关重要的概念,它决定了用户能够访问的资源及其操作的范围。授权通常与认证(Authentication)、审计(Audit)、和账户管理(Account)一起组成AAAA安全框架。在复杂的安全环境中,授权的管理更加复杂,尤其是当涉及多个系统或第三方应用时。确保授权的过程可靠:对于单一系统来说,授权的过程是比较容易做到可控的,以前很多语境上提到授权,实质上讲的都是访问控制,理论上两者是应该分开的。
Java-主流框架—(12)Spring-ElasticSearch
qq_33513145的博客
02-09 1031
1.初始ElasticSeearch 1.1基于数据库查询的问题 1.2倒排索引 倒排索引:将文档进行分词,形成词条和id的对应关系即为反向索引。 以唐诗为例,所处包含“前”的诗句 正向索引:由《静夜思》-->窗前明月光--->“前”字 反向索引:“前”字-->窗前明月光-->《静夜思》 反向索引的实现就是对诗句进行分词,分成单个的词,由词推据,即为反向索引 “床前明月光”--> 分词 将一段文本按照一定的规则,拆分为不同的词条(term) .
Spring Security详细讲解(JWT+SpringSecurity登入案例)
孤夜的博客
08-15 8854
通过本篇博文,你可以详细了解Spring Security的相关概念与原理,并且掌握Spring Security的认证与授权,通过博文中的登入案例可以让自己定制去Spring Security认证授权方案。
Spring-boot actuator
xiaozi的博客
06-05 2504
spring-boot-starter-actuator
Spring Boot :四大神器之Actuator
Admans的专栏
08-12 528
Spring Boot有四大神器,分别是auto-configuration、starters、cli、actuator,本文主要讲actuator。actuator是spring boot提供的对应用系统的自省和监控的集成功能,可以对应用系统进行配置查看、相关功能统计等。
Java领域的Spring Arch拱门演示实例
描述中提到的"Spring Arch 演示"表明该资源可能专注于Spring的某个特定架构组件或是对Spring的体系结构进行演示。这通常意味着它可能是一个实例化项目,演示如何在实际开发中利用Spring框架的不同组件来构建模块化的...
Base64扩展,自定义字串和顺序
cnmqw的专栏
12-06 453
  Base64很标准,sun 的 jdk 包含了实现,JS 也有许多可选实现。已知 sun 的 Base64 性能不行,远不及自己写的代码,这并不重要,无须深究。比较关注的是通常 JS 到 JAVA 间通常是私有的 Base64 编码和解码,如果采用公共的方式编码与解码,不能实现简单的加密。但可以通过适当的修改 Base64 来实现简单加密与解密。尽管不及专门的对称加密和非对称加密的安全性,但...
CXF 结合jaxb返回json字符串时,当属性为数值型字符串时,没有双引号问题
cnmqw的专栏
06-04 331
问题:CXF 结合jaxb返回json字符串时,当属性为数值型字符串时,没有双引号问题。 这个问题应该是影响比较大的,网上的资料并不多,其中比较有帮助的是 http://fly2wind.iteye.com/blog/730350    写道 CXF,RESTEASY返回格式为JSON时,如果类型为String的值为数值时,JSON中引号消失的问题解决 要解决这个问题,需要修改相关的底层...
Arc-03-29 CXF 实现 REST 方式上传文件
cnmqw的专栏
04-09 312
CXF 实现 REST 方式上传文件   /** * */ package com.demo.rest; import java.io.IOException; import java.io.InputStream; import java.util.Date; import javax.activation.DataHandler; import java...
Arch-03-10-自动投票机器人
cnmqw的专栏
06-19 270
由于生活中需要对网站上的某张图片投票决定排名,无可避免地想起了做个自动投票机器人。   经过一天的尝试,三种方案: (1)保存投票页面到本地,分析代码,直接用 js 和 ajax 循环提交,每次循环中间随机休眠几秒。一开始居然有效,不过好景不长,第二天就被网站改了页面,不能直接提交了。     &lt;html&gt; &lt;head&gt; &lt;meta ...
arch-m模型的特点
05-22
Arch-M是一种基于深度学习的机器翻译模型,具有以下特点: 1. 基于Transformer架构:Arch-M模型采用了Transformer架构,该架构能够处理长文本序列,并且能够并行计算,使得训练速度更快。 2. 多层注意力机制:Arch...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值