jsf的安全问题

最新推荐文章于 2024-04-26 09:57:07 发布
最新推荐文章于 2024-04-26 09:57:07 发布
阅读量403 收藏
点赞数
分类专栏: jsf 文章标签: jsf string byte 数据库 permissions 加密
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/facepp/article/details/4092500
版权

如果破解一个系统的代价比系统本来内容的价值还要高,则系统就是安全的。
1口令加密存储   相同的密码在数据库中显示的值不一定相同,这就是加盐的效果。
知识补充:
1)JAVA密码架构(JCA)是由java.security包和子包中的一系列类组成。
这些类提供了像消息摘要(MessageDigest)和数字签名(Signature)这样的
API函数。
2)加密服务提供者(provider)不同算法的集合。Sun提供者包含如下一些算法的实现:
MD5消息摘要,SHA-1消息摘要,随机数的产生,DSA数字签名的签署和证书,DSA密钥
对的产生,DSA密钥的转换,DSA算法的参数,DSA算法参数的产生,等等

3)图解:

MessageDigest->MessageDigestSPI->提供者1 MD5,提供者2 SHA-1
这里的MessageDigestSPI程序开发者不需要关心它,国为只有提供者才会用到它。

例:
MessageDigest md=MessageDigest.getInstance("MD5");
消息摘要和口令认证(看书p543两图解)
*权限管理应用的口令加密示例如下:
 1)数据库中口令类型为varbinary型。
2)Person.java中 private byte[] password;
映射文件中   <property name="password" type="byte[]">
            <column name="password" length="50" not-null="true" />
        </property>
3)加密码方法madeBytes(..),口令验证方法validPwd(..)  (可重用的方法 使用消息摘要,盐等知识)
详细见附
4)写到数据库
 注册用户
 用户输入密码password
 byte[] pwdBytes=null;
 pwdBytes=madeBytes(password); //调用加密方法
 person.setPssword(pwdBytes);
5)从数据库取出
 用户的登录
String valid=validPwd(password,person.getPassword);//第一个值是输入的值,第二个值是从数据库取出的值
 ...异常省略
 if("match".equals(valid)){登录成功};

 

2防止用户绕过登录的方法
isLogin.jsp
<%@ page contentType="text/html; charset=UTF-8" %>
<%
if(((String)session.getAttribute("userId"))==null){
%>
<jsp:forward page="/login.faces"/>
<%
}
%>

其他页中引用<%@ include file="isLogin.jsp" %>

 


  //取得用户的口令加密byte[]   
    private byte[] madeBytes(String str)throws
          NoSuchAlgorithmException, UnsupportedEncodingException{
        //随机数生成器
     SecureRandom random=new SecureRandom();
     //声明盐数组变量
        byte[] salt=new byte[12];
        //声明加密后的口令数组变量
        byte[] pwd=null;
        //将随机数放入盐变量中
        random.nextBytes(salt);
        //声明消息摘要对象
        MessageDigest md=null;
  //创建消息摘要
  md = MessageDigest.getInstance("MD5");
  //将盐的数据传给消息摘要对象
  md.update(salt);
  //将口令的数据传给消息摘要对象 
  md.update(str.getBytes("UTF-8"));
  //获得消息摘要的字节数组 
  byte[] digest=md.digest();
        //因为要在口令的字节数组中存放盐,因此加上盐的字节长度
  pwd=new byte[digest.length+12];
        //将盐的字节拷贝到生成后的口令字节数组的前12个字节
  //以便在验证口令时会将盐取出
  System.arraycopy(salt,0,pwd,0,12);
  //将消息摘要拷贝到口令数组的从第13个字节开始的字节
  System.arraycopy(digest,0,pwd,12,digest.length);
        //返回生成的口令字节
        return pwd;
    }
   
    //检验口令是否相等
    private String validPwd(String str,byte[] pwdInDb) throws
           NoSuchAlgorithmException, UnsupportedEncodingException{
        //声明是否匹配的字符串变量
        String validated="";
     //声明盐变量
     byte[] salt=new byte[12];
     //将盐从数据库中保存的口令字节数组中拷贝出来
        System.arraycopy(pwdInDb,0,salt,0,12);
        //创建消息摘要对象
        MessageDigest md=MessageDigest.getInstance("MD5");
        //将盐的数据传给消息摘要对象
        md.update(salt);
        //将口令数据传给消息摘要对象
        md.update(str.getBytes("UTF-8"));
       
        //生成输入口令的消息摘要
        byte[] digest=md.digest();
        //声明一个保存数据库中口令消息摘要的变量
        byte[] digestInDb=new byte[pwdInDb.length-12];
        //取得数据库中口令的消息摘要
        System.arraycopy(pwdInDb,12,digestInDb,0,pwdInDb.length-12);
        //比较数组中的值是否相等
        if(Arrays.equals(digest, digestInDb))
        {
          //口令正确返回口令匹配信息
          validated = "match";
          return validated;

        }
        else
        {
          //口令不正确返回口令不匹配信息
          return validated;
        }
       
    }


 //处理用户注册
    public Person register(String personId, String password,
      String pwd,String personName,Departments department,
      String email,String telephone)
                 throws UserException {
     //构建一个新用户
        Person person=new Person();
        try {
            //判断口令 
            if(password.equals(pwd)){
                //设置用户属性
                person.setPersonId(personId);
                byte[] pwdBytes=null;
                try{
                    //将口令从字符串转换为字节数组
                    pwdBytes=madeBytes(password);
                }
                catch(NoSuchAlgorithmException ne){
                 //处理加密方法的异常
                 ne.printStackTrace();
                }
                catch(UnsupportedEncodingException ue){
                 //处理加密方法的错误
                 ue.printStackTrace();
                }
                person.setPassword(pwdBytes);
                person.setPersonName(personName);
                person.setDepartment(department);
                person.setEmail(email);
                person.setTelephone(telephone);
                //用dao在数据库表中创建一个用户记录
                userDao.create(person);
            }
            else{
                
                //表示欲注册的用户名不合乎要求,不能返回用户对象
                person=null;
            }
           
            //返回用户对象
            return person;
        }
        //处理数据库访问异常
        catch(DataAccessException daoe){
         
            //判断是否是因为该用户名已经注册过
            try{
                userDao.find(personId);
            }
            catch(DataAccessException daoe1){                        
             throw new DbException(daoe.getMessage());
            }             
           daoe.printStackTrace();                    
           //如果该用户名已经注册,则抛出重复的用户异常   
           throw new DuplicateUserException(personId);
        }       
     }
 //处理用户登录
    public Person login(String personId, String password) throws UserException {
     //构建一个新用户
        Person person=new Person();     
        try {
         //调用DAO查找用户
            person=userDao.find(personId);
            if(person!=null){                
               //判断口令是否匹配
               String valid="";
               try{
                valid=validPwd(password,person.getPassword());
               }
               catch(NoSuchAlgorithmException ne){
                //处理加密方法的异常
                ne.printStackTrace();
               }
               catch(UnsupportedEncodingException ue){
                //处理加密方法的错误
                ue.printStackTrace();
               }
               if("match".equals(valid)){                         
                   //加入所有部门列表
                   List departments=findAllDepartments();
                   person.setDepartments(departments);                 
                 
                   //加入登录用户的权限
                   List permissions=findPermission(personId);
                   person.setPermissions(permissions);
                }
                else{
                   //表示用户名和口令合乎要求的用户不存在
                   person=null;
                }
            }   
            else{
             //如果数据库中找不到用户记录抛出异常
                throw new DataNotFoundException(personId);
            }
            //如果通过验证,返回与该人员标识对应的人员对象
            return person;
        }
        //处理数据访问异常
        catch(DataNotFoundException ue){ 
           ue.printStackTrace();
           throw new UserNotExistException(personId);
        }
        catch(DataAccessException daoe){
           daoe.printStackTrace();          
           throw new DbException(daoe.getMessage());
        }     
     }
   

facepp
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
jsf入门教程
蓝魔
10-26 4547
1. JSF入门 藉由以下的几个主题,可以大致了解JSF的轮廓与特性,我们来看看网页设计人员与应用程序设计人员各负责什么。 1.1简介JSF Web应用程序的开发与传统的单机程序开发在本质上存在着太多的差异,Web应用程序开发人员至今不可避免的必须处理 HTTP的细节,而HTTP无状态的 (stateless)本质,与传统应用程序必须维持程序运行过程中的信息有明显的违背,再则We
Mojarra JSF ViewState 反序列化漏洞复现
玄道的网安博客
01-25 1678
漏洞概述 JavaServer Faces (JSF) 是一种用于构建 Web 应用程序的标准,Mojarra是一个实现了JSF的框架。在其2.1.29-08、2.0.11-04版本之前,没有对JSF中的ViewState进行加密,进而导致攻击者可以构造恶意的序列化ViewState对象对服务器进行攻击。 环境搭建 这里使用vulhub来搭建 https://github.com/vulhub/vulhub/blob/master/mojarra/jsf-viewstate-de...
Java安全之Mojarra JSF反序列化
最新发布
Ly768768的博客
04-26 1402
JavaServer Faces,新一代的Java Web应用技术标准,吸收了很多Java Servlet以及其他的Web应用框架的特性。JSF为Web应用开发定义了一个事件驱动的、基于组件的模型。其中常用的是Sun(现在的Oracle)发布的Mojarra和Apache发布的MyFacesJavaServerFaces(JSF)概念在几年前就已经引入,现在主要在J2EE中使用。
JSF入门教程
xwq911的专栏
07-12 655
1.入门  1.1 简介JSF  1.2 第一个JSF程序  1.3 简单的导航 Navigation  1.4 导航规则设置  1.5 JSF Expression Language  1.6 国际化信息  2. Managed Beans  2.1 Backing Beans  2.2 Beans的配置与设定  2.3 Beans上的List, Map  3.  数据转换
JSF(1)
qq_42757611的博客
09-21 315
1.1简介JSF Web应用程序的开发与传统的单机程序开发在本质上存在着太多的差异,Web应用程序开发人员至今不可避免的必须处理HTTP的细节,而HTTP无状态的(statrless)本质,与传统应用程序必须维持程序运行过程中的信息有明显的违背,再则Web应用程序面对网站上不同的使用者同时的存取,其执行线程安全问题以及数据验证,转换处理等问题,又是复杂而且难以解决的。 另一方面,本质上是静态的HT...
Mojarra JSF ViewState 反序列化漏洞
黑白的博客
12-27 2282
声明 好好学习,天天向上 漏洞描述 JavaServer Faces (JSF) 是一种用于构建 Web 应用程序的标准,Mojarra是一个实现了JSF的框架。在其2.1.29-08、2.0.11-04版本之前,没有对JSF中的ViewState进行加密,进而导致攻击者可以构造恶意的序列化ViewState对象对服务器进行攻击。 影响范围 2.1.29-08前 2.0.11-04前 复现过程 这里使用2.1.28版本 使用vulhub /app/vulhub-master/mojarra/jsf-view
JSF 标签大全(非常详细 有例子)
养生路漫漫
03-28 9301
1. JSF入门藉由以下的几个主题,可以大致了解JSF的轮廓与特性,我们来看看网页设计人员与应用程序设计人员各负责什么。1.1简介JSFWeb应用程序的开发与传统的单机程序开发在本质上存在着太多的差异,Web应用程序开发人员至今不可避免的必须处理 HTTP的细节,而HTTP无状态的 (stateless)本质,与传统应用程序必须维持程序运行过程中的信息有明显的违背,再则Web应用程序面对网站上不同...
jsf java 2015_JavaBean and JSF
weixin_39908616的博客
02-26 44
public classStudent{privateString name;private intage;publicString getName() {returnname;}public voidsetName(String name) {this.name =name;}public intgetAge() {returnage;}public void setAge(intage) {...
jsf教程_JSF教程
从零开始的教程世界
07-22 1207
jsf教程Welcome to JSF Tutorial. Java Server Faces (JSF) technology is a front end framework which makes the creation of user interface components easier by reusing the UI components. JSF is designed bas...
java jsf查询数据库_使用JSF / Java EE从数据库实时更新
weixin_39894233的博客
03-04 112
前言在这个答案中,我将假设如下:您对使用不感兴趣(我将在中间留下确切的原因,您至less对使用新的Java EE 7 / JSR356 WebSocket API感兴趣)。你想要一个应用程序范围的推送(即所有的用户一次获得相同的推送消息,因此你不感兴趣的一个会议或查看范围推送)。你想从(MySQL)数据库端直接调用push(因此你不希望使用实体监听器从JPA端调用push)。 编辑 :我会涵盖两...
mastering jsf
11-16
- **安全性和授权**:探讨如何保护JSF应用免受攻击并实现用户权限管理。 #### 四、案例分析 为了更好地理解和应用JSF的技术要点,本书还提供了多个实际案例,例如: - **登录表单**:构建一个包含用户名和密码...
JSF全面学习教程.docx
09-19
JSF安全机制提供了一种安全的解决方案,使得开发人员可以轻松地构建安全的Web应用程序。 JSF是一个功能强大且灵活的Web应用程序开发框架,提供了一套标准的标签和API,使得开发人员可以轻松地构建Web应用程序。
JSF架构图zz
07-28
JSF框架内置了一套强大的验证机制,可以在服务器端对用户输入的数据进行校验,确保数据的有效性和安全性。验证可以通过内置的验证器或者自定义的验证器来实现。内置验证器包括但不限于长度验证、格式验证等,而...
JSF2开发代码示例
10-15
- **EL 3.0支持**:JSF2.2集成了Expression Language 3.0,提供了更多的表达式语法,增强了类型安全性和性能。 - **可选的注解配置**:除了XML配置,JSF2.2允许开发者使用注解进行配置,简化了配置过程。 - **更...
jsf介绍和例子
05-14
这可能包括对性能的优化、额外的安全特性、更符合京东业务流程的组件库等。由于没有具体的京东JSF框架的详细信息,这部分只能是推测。 **学习路径:** 对于“jsf十分钟入门指南”,通常会涵盖以下内容: 1. **环境...
JSF教程 一入门
01-19 5331
  JSF教程一入门1)JSF 官方网站的 下载区  下载参考实作http://java.sun.com/j2ee/javaserverfaces/download.htmlJSF需要的lib * jsf-impl.jar     * jsf-api.jar     * commons-digester.jar     * commons-collections.jar     * commons
JSF+HTML标签总结
01-01 1609
*页面的开头http://java.sun.com/jsf/core" prefix="f"%>http://java.sun.com/jsf/html" prefix="h"%>http://myfaces.apache.org/extensions" prefix="x"%>http://jsftutorials.net/htmLib" prefix="htm"%>http://www.ccb
jsf底层知识汇总 多选框
02-20 1488
1.对多选框取 选中的放入数组 public String deleteMessages() {  String[] ids = FacesContext.getCurrentInstance().getExternalContext()    .getRequestParameterValuesMap().get("oids");//取名字为oids的值  int[] oids = Face
权限树
04-19 1421
 权限系统示例应用程序软件工程从需求,设计,编码,测试和发布等流程。RBAC即基于角色的访问控制系统,它以角色role为中心构成。用户->角色->  权限(操作,对象)三个表person,role,permission. 中间表personRole,rolePermission,另一个表departement  dtree,下载地址是:www.destroydrop.com/javas
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值