山东大学软件学院项目实训-创新实训-网络安全靶场实验平台(四)

已于 2022-04-17 23:50:59 修改
阅读量2.8k 收藏
点赞数 1
分类专栏: 山东大学软件学院项目实训 文章标签: 经验分享 java spring boot 网络安全
于 2022-03-28 20:00:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_52100140/article/details/123775957
版权

目录

前言

一、JWT简介

 二、JWT结构

三、代码实现

四、实现效果

相关资料

前言

前端界面布局以及登录注册功能完成后,为了对数据进行更加安全可靠的传输,我采用了JSON Web Token(JWT)这种跨域认证解决方案。

一、JWT简介

JWT的本质就是一个字符串,它是将用户信息保存到一个Json字符串中,然后进行编码后得到一个JWT token,并且这个JWT token带有签名信息,接收后可以校验是否被篡改,所以可以用于在各方之间安全地将信息作为Json对象传输。

利用token进行用户身份验证的流程:

 基于token的认证方式相比传统的session认证方式更节约服务器资源,并且对移动端和分布式更加友好。其优点如下:

 JWT的认证流程如下:

 对比传统的session认证方式,JWT的优势是:

 二、JWT结构

JWT由3部分组成:标头(Header)、有效载荷(Payload)和签名(Signature)。在传输的时候,会将JWT的3部分分别进行Base64编码后用 .进行连接形成最终传输的字符串。

JWTString=Base64(Header).Base64(Payload).HMACSHA256(base64UrlEncode(header)+"."+base64UrlEncode(payload),secret)

三、代码实现

pow依赖:

        <!-- JWT -->
        <dependency>
            <groupId>com.auth0</groupId>
            <artifactId>java-jwt</artifactId>
            <version>3.10.3</version>
        </dependency>

JWT工具类 JwtInterceptor.java :

public class JwtInterceptor implements HandlerInterceptor {

    @Autowired
    private IUserService userService;

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) {
        String token = request.getHeader("token");

        // 如果不是映射到方法直接通过
        if(!(handler instanceof HandlerMethod)){
            return true;
        } else {
            HandlerMethod h = (HandlerMethod) handler;
            AuthAccess authAccess = h.getMethodAnnotation(AuthAccess.class);
            if (authAccess != null) {
                return true;
            }
        }
        // 执行认证
        if (StrUtil.isBlank(token)) {
            throw new ServiceException(Constants.CODE_401, "无token,请重新登录");
        }
        // 获取 token 中的 user id
        String userId;
        try {
            userId = JWT.decode(token).getAudience().get(0);
        } catch (JWTDecodeException j) {
            throw new ServiceException(Constants.CODE_401, "token验证失败,请重新登录");
        }
        // 根据token中的userid查询数据库
        User user = userService.getById(userId);
        if (user == null) {
            throw new ServiceException(Constants.CODE_401, "用户不存在,请重新登录");
        }
        // 用户密码加签验证 token
        JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC256(user.getPassword())).build();
        try {
            jwtVerifier.verify(token); // 验证token
        } catch (JWTVerificationException e) {
            throw new ServiceException(Constants.CODE_401, "token验证失败,请重新登录");
        }
        return true;
    }
}

TokenUtils.java

@Component
public class TokenUtils {

    private static IUserService staticUserService;

    @Resource
    private IUserService userService;

    @PostConstruct
    public void setUserService() {
        staticUserService = userService;
    }

    /**
     * 生成token
     */
    public static String genToken(String userId, String sign) {
        return JWT.create().withAudience(userId) // 将 user id 保存到 token 里面,作为载荷
                .withExpiresAt(DateUtil.offsetHour(new Date(), 2)) // 2小时后token过期
                .sign(Algorithm.HMAC256(sign)); // 以 password 作为 token 的密钥
    }

    /**
     * 获取当前登录的用户信息
     *
     * @return user对象
     */
    public static User getCurrentUser() {
        try {
            HttpServletRequest request = ((ServletRequestAttributes) RequestContextHolder.getRequestAttributes()).getRequest();
            String token = request.getHeader("token");
            if (StrUtil.isNotBlank(token)) {
                String userId = JWT.decode(token).getAudience().get(0);
                return staticUserService.getById(Integer.valueOf(userId));
            }
        } catch (Exception e) {
            return null;
        }
        return null;
    }
}

拦截器:

@Configuration
public class InterceptorConfig implements WebMvcConfigurer {

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(jwtInterceptor())
                .addPathPatterns("/**")  // 拦截所有请求,通过判断token是否合法来决定是否需要登录
                .excludePathPatterns("/user/login", "/user/register")
                .excludePathPatterns( "/**/*.html", "/**/*.js", "/**/*.css", "/**/*.woff", "/**/*.ttf");  // 放行静态文件

    }

    @Bean
    public JwtInterceptor jwtInterceptor() {
        return new JwtInterceptor();
    }

}

前端request拦截器:

request.interceptors.request.use(config => {
    config.headers['Content-Type'] = 'application/json;charset=utf-8';
    let user = localStorage.getItem("user") ? JSON.parse(localStorage.getItem("user")) : null
    if (user) {
        config.headers['token'] = user.token;  // 设置请求头
    }

    return config
}, error => {
    return Promise.reject(error)
});

前端response拦截器:

request.interceptors.response.use(
    response => {
        let res = response.data;
        // 如果是返回的文件
        if (response.config.responseType === 'blob') {
            return res
        }
        // 兼容服务端返回的字符串数据
        if (typeof res === 'string') {
            res = res ? JSON.parse(res) : res
        }
        // 当权限验证不通过的时候给出提示
        if (res.code === '401') {
             ElementUI.Message({
                 message: res.msg,
                 type: 'error'
             });
            router.push("/login")
        }
        return res;
    },
    error => {
        console.log('err' + error) // for debug
        return Promise.reject(error)
    }
)

四、实现效果

登录后,F12可以看到后台根据用户信息生成了token

token: "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJhdWQiOiIxIiwiZXhwIjoxNjQ5MTMwMjYyfQ.sd98jnxOmkr9EbeWE1PGMmKYxZX49IM6u5qo5rxRvpA"

 此后,用户每次发请求都会首先验证token是否合法,合法才可以继续,否则会自动跳转到登录界面重新登录。

相关资料

JWT介绍

番茄炒蛋不加蛋!
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
修仙秘境-Web安全靶场 练习web安全漏洞的平台.zip
01-16
靶场,是指为信息安全人员提供实战演练、渗透测试和攻防对抗等训练环境的虚拟或实体场地。在不同的领域中,靶场扮演着重要的角色,尤其是在网络安全领域,靶场成为培养和提高安全专业人员技能的重要平台。 首先,靶场为安全从业者提供了一个模拟真实网络环境的平台。通过构建类似实际网络的拓扑结构、部署各种安全设备和应用,靶场可以模拟出多样化的网络攻防场景。这使得安全人员能够在安全的环境中进行实际操作,全面提升其实战能力。 其次,靶场是渗透测试和漏洞攻防演练的理想场所。在靶场中,安全专业人员可以模拟攻击者的行为,发现系统和应用的漏洞,并进行渗透测试,从而及时修复和改进防御机制。同时,这也为防御方提供了锻炼机会,通过对抗攻击提高防御能力。 靶场的搭建还促进了团队协作与沟通。在攻防对抗中,往往需要多人协同作战,团队成员之间需要密切配合,共同制定攻击和防御策略。这有助于培养团队合作意识,提高协同作战的效率。 此外,靶场为学习者提供了一个安全的学习环境。在靶场中,学生可以通过实际操作掌握安全知识,了解攻击技术和防御策略。这样的学习方式比传统的理论课程更加生动直观,有助于深化对安全领域的理解。 最后,靶场也是安全社区交流的平台。在靶场中,安全从业者可以分享攻防经验,交流最新的安全威胁情报,共同探讨解决方案。这有助于建立更广泛的安全社区,推动整个行业的发展。 总体而言,靶场在信息安全领域具有重要地位,为安全专业人员提供了实战演练的机会,促进了团队协作与沟通,为学习者提供了安全的学习环境,同时也是安全社区交流的重要平台。通过靶场的实践操作,安全从业者能够更好地应对不断演变的网络威胁,提高整体的安全水平。
山东大学光电工程实训-红外测温枪装调实践训练实验报告与总结
07-07
山东大学光电工程实训-红外测温枪装调实践训练
山东大学软件学院创新实训——项目记录(一)
最新发布
qq_63239061的博客
04-21 786
而我们的产品中日志分析功能的数据来自用户在网站中上传的每日生活日志,关注非心理疾病方面的日常生活心情起伏,受众更大,且用户通过上传记录每日生活的日志为系统提供分析数据(即分析推荐请求),而非生硬的系统问答,用户的使用体验更好。当前传统的大语言模型在通用对话上具有优异表现,但对于专业领域的相关知识,传统的大语言模型会产生误导性的 “幻觉”,依赖的信息可能过时,在推理能力上也有所欠缺,难以给出有效的分析。本项目致力于开发一个具有心理方面专业知识的行业大模型,并基于此开发出一个具有智能交互功能的心理日志网站。
大数据技术之数据安全与网络安全-CMS靶场(文章管理系统)实训
01-10
在当今数字化时代,大数据技术的迅猛发展带来了前所未有的数据增长,同时也催生了对数据安全和网络安全的更为迫切的需求。本篇博客将聚焦于大数据技术背景下的数据安全与网络安全,并通过CMS(文章管理系统)靶场实训,深入探讨相应的解决方案与应对策略。 数据与网络安全作为保障大数据系统正常运行的基石,同样备受关注。今天写博客时候发现自己很久没更新数据安全与网络安全方面的内容了,于是花了点时间写一篇CMS靶场实训博客。本文通过CMS靶场实训,深入分析CMS系统的安全漏洞,探讨防范措施,提供实战经验和攻防能力,有助于加强大数据与网络安全意识。 一、实训项目要求 环境部署,正确部署CMS网站并运行。 通过工具,列出CMS网站的文件目录结构。 搜集CMS网站的各项信息. 通过工具或代码审计,详细列出CMS 网站的漏洞缺陷。 给出CMS网站的加固方案。 二、环境 系统环境:Windows10 IP:192.168.95.200(根据实际情况) 虚拟机可联网 过程与分析 1.环境部署,正确部署CMS网站并运行。 Phpstudy版本为2016版本,解压缩文件并下载安装 ————————————————
HuTool_字符串工具-StrUtil
liuerchong的博客
03-27 6475
这个工具的用处类似于Apache Commons Lang中的StringUtil。
isBlank函数和isEmpty函数的区别
weixin_62932480的博客
05-29 2099
该方法用于判断字符串是否为空或仅包含空白字符。如果传入的字符串为null、空字符串(“”)或仅包含空白字符(如空格、制表符、换行符等),则返回true;否则返回false。:该方法用于判断字符串是否为空。如果传入的字符串为null或空字符串(“”),则返回true;否则返回false。是用于判断字符串是否为空的两个方法,它们之间存在一些区别。不会考虑空白字符,只关注字符串是否为空。在Hutool包中,
使用isEmpty()方法空指针异常,StrUtil.isBlank()来帮忙
m0_57744308的博客
12-28 3457
使用isEmpty()方法空指针异常,StrUtil.isBlank()来帮忙
Java 11 – String.isBlank()介绍
无涯教程
04-29 6128
学习使用String.isBlank()方法确定给定的字符串是空白还是空或仅包含空格。isBlank()方法已添加到Java 11中。 要检查给定的字符串甚至没有空格,请使用String.isEmpty()方法。 isBlank()方法 如果给定的字符串为空或仅包含空格代码点,则此方法返回true,否则返回false。 它使用Character.isWhitespace(char)方法来确定空白字符。 /** * returns - true if the string...
山东大学软件学院项目实训-创新实训-山大软院网络攻防靶场实验平台(二十五)-项目个人总结
m0_47470899的博客
06-10 941
山东大学软件学院项目实训-创新实训-山大软院网络攻防靶场实验平台个人项目总结
hutool工具类中StrUtil如何判断一个字符串是否为空,isEmpty和isBlank的区别
林夕
04-21 4184
该方法会先将字符串去除头尾空格后再进行判断。如果字符串为 null 或者去除头尾空格后的长度为0,则返回 true;否则返回 false。该方法会判断字符串是否为 null 或长度为 0。如果是,则返回 true;否则返回 false。的内容是两个空格,显然不是空字符串(长度不为 0),但是它是一个空白字符串,即只包含空格。还会将字符串前后的空格给去掉后再判断是否为空。只判断字符串本身是否为空,而。方法返回 false,而。在这个例子中,字符串。
java判断一个字符串是否为空,isEmpty和isBlank的区别
aishuqun0228的博客
08-22 368
转载于:https://blog.csdn.net/liusa825983081/article/details/78246792 实际应用中,经常会用到判断字符串是否为空的逻辑 比较简单的就是用 Str != null && Str.length() >0 来判断 其实很多java工具集都是有包装好的接口可以使用的 比如 StringUt...
字符串过滤类(StrUtil)
07-28
NULL 博文链接:https://baobeituping.iteye.com/blog/801402
网络靶场体系结构与关键技术---鹏程实验室国家级网络靶场.pdf
08-08
鹏城实验室介绍 网络靶场概念、背景意义与需求 网络靶场定义和业务流程 科学问题和关键技术 已有基础及研究进展 网安人才实训探索
「安全意识」实网攻防靶场技术先进性 - 业务风控.zip
11-27
「安全意识」实网攻防靶场技术先进性 - 业务风控 业务风控 WEB应用防火墙 漏洞预警 web安全 安全知识
论文研究-基于ThinkPHP框架的网络安全攻防实训平台靶场中心模块的设计与实现 .pdf
08-18
基于ThinkPHP框架的网络安全攻防实训平台靶场中心模块的设计与实现,王莎莎,辛阳,针对目前大部分高校实验室无法在课堂教学中展现出具有实际网络环境特色的攻防技术的问题,本文提出以ThinkPHP框架和Bootstrap...
isblank和isempty的区别
lei789456的博客
10-04 147
Java-Util】Hutool工具类判断字符串、对象为空的使用
winterIsComing7的博客
11-20 3734
Hutool工具类判断字符串、包装类、集合、对象为空的使用
java常用工具类方法总结
weixin_49782296的博客
03-14 438
判断一个字符串是否为空。校验三种情况:是否为null、是否为""、是否为空字符串(引号中间有空格)" "、制表符、换行符、换页符和回车。如果提供的引用是 null则抛出空指针异常,描述为message。判断一个字符串是否为空。校验两种情况:是否为null、是否为""。
[知识点]务必记住isBlank和isEnpty的区别!!!
qq_40738239的博客
02-21 402
身为一个伟大的程序员,我不允许你不懂isBlank和isEmpty的区别。
油气scada网络安全靶场
01-19
针对这种威胁,油气SCADA网络安全靶场被设计成一个实验环境,用于测试系统的弱点并针对可能的攻击进行演练。 油气SCADA网络安全靶场通常由虚拟化技术构建,包括模拟工业控制过程、仿真网络、安全设备等。通过在靶场...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值