先自我介绍一下,小编浙江大学毕业,去过华为、字节跳动等大厂,目前阿里P7
深知大多数程序员,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
因此收集整理了一份《2024年最新网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,涵盖了95%以上网络安全知识点,真正体系化!
由于文件比较多,这里只是将部分目录截图出来,全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频,并且后续会持续更新
如果你需要这些资料,可以添加V获取:vip204888 (备注网络安全)
正文
mysql mysql-connector-java runtime com.baomidou mybatis-plus-boot-starter 3.5.0 org.projectlombok lombok true org.springframework.boot spring-boot-starter-test test
3.为SpringBoot项目编写配置文件
server:
port: 80
#日志格式
logging:
pattern:
console: ‘%d{HH:mm:ss.SSS} %clr(%-5level) — [%-15thread] %cyan(%-50logger{50}):%msg%n’
数据源
spring:
datasource:
driver-class-name: com.mysql.cj.jdbc.Driver
url: jdbc:mysql:///mysecurity?serverTimezone=UTC
username: root
password: root
4.在template文件夹编写项目主页面main.html
主页面
5.编写访问页面控制器
@Controller
public class PageController {
@RequestMapping(“/{page}”)
public String showPage(@PathVariable String page){
return page;
}
}
### 数据库认证
在实际的项目中,用户通过输入用户名和密码,待验证通过后即登录成功,而用户信息大多保存在数据库中。而用户身份验证的这个过程,我们称之为认证逻辑。
1.准备数据库数据,用户信息数据都是保存在该数据库中
CREATE TABLE users
(
id
int(11) NOT NULL AUTO_INCREMENT,
username
varchar(255),
password
varchar(255) ,
phone
varchar(255) ,
PRIMARY KEY (id
)
);
INSERT INTO users
VALUES (1, ‘baizhan’, ‘baizhan’, ‘13812345678’);
INSERT INTO users
VALUES (2, ‘sxt’, ‘sxt’, ‘13812345678’);
2.编写用户实体类
@Data
public class Users {
private Integer id;
private String username;
private String password;
private String phone;
}
3.编写dao接口
public interface UsersMapper extends BaseMapper {
}
4.在 SpringBoot启动类中添加 @MapperScan 注解,扫描Mapper文件夹
@SpringBootApplication
@MapperScan(“com.itbaizhan.myspringsecurity.mapper”)
public class MysecurityApplication {
public static void main(String[] args) {
SpringApplication.run(MysecurityApplication.class, args);
}
}
#### 自定义认证逻辑
在实际项目中,认证逻辑是需要自定义控制的。将 UserDetailsService 接口的实现类放入Spring容器即可自定义认证逻辑。UserDetailsService 的实现类必须重写 loadUserByUsername 方法,该方法定义了具体的认证逻辑,参数 username 是前端传来的用户名,我们需要根据传来的用户名查询到该用户(一般是从数据库查询),并将查询到的用户封装成一个UserDetails对象,该对象是Spring Security提供的用户对象,包含用户名、密码、权限。Spring Security会根据UserDetails对象中的密码和客户端提供密码进行比较。相同则认证通过,不相同则认证失败。
5.创建UserDetailsService的实现类,编写自定义认证逻辑
@Service
public class MyUserDetailsService implements UserDetailsService {
@Autowired
private UsersMapper usersMapper;
// 自定义认证逻辑
@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
// 1.构造查询条件
QueryWrapper wrapper = new QueryWrapper().eq(“username”, username);
// 2.查询用户
Users users = usersMapper.selectOne(wrapper);
// 3.封装为UserDetails对象
UserDetails userDetails = User
.withUsername(users.getUsername())
.password(users.getPassword())
.authorities(“admin”)
.build();
// 4.返回封装好的UserDetails对象
return userDetails;
}
}
### PasswordEncoder
在实际的项目开发中,我们往数据库的密码不会是明文密码,而是经过我们加密后的密码。当用户传入的明文密码后,SpringSecurity使用密码解析器将明文密码加密成密文密码,然后再将数据库中的密文密码进行比对,匹配成功则通过,反之不通过。
创建SecurityConfig配置类,添加SpringSecurity密码解析器(PasswordEncoder)
// Security配置类
@Configuration
public class SecurityConfig {
//密码编码器
@Bean
public PasswordEncoder passwordEncoder() {
return new BCryptPasswordEncoder();
}
}
### 自定义登录页面
SpringSecurity给我们提供了登录界面,但是再实际的项目中,登录页面都是用的自己的,这样更能突出项目特色,所以我们要自定义登录界面。
1.编写登录界面
2.在Spring Security配置类自定义登录页面
@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter{
//Spring Security配置
@Override
protected void configure(HttpSecurity http) throws Exception {
// 自定义表单登录
http.formLogin()
.loginPage(“/login.html”) // 自定义登录页面
.usernameParameter(“username”) // 表单中的用户名项
.passwordParameter(“password”) // 表单中的密码项
.loginProcessingUrl(“/login”) // 登录路径,表单向该路径提交,提交后自动执行UserDetailsService的方法
.successForwardUrl(“/main”) //登录成功后跳转的路径
.failureForwardUrl(“/fail”); //登录失败后跳转的路径
// 需要认证的资源
http.authorizeRequests()
.antMatchers("/login.html").permitAll() //登录页不需要认证
.anyRequest().authenticated(); //其余所有请求都需要认证
//关闭csrf防护
http.csrf().disable();
}
@Override
public void configure(WebSecurity web) throws Exception {
// 静态资源放行
web.ignoring().antMatchers(“/css/**”);
}
}
### 突破CSRF防护
CSRF:跨站请求伪造,通过伪造用户请求访问受信任的站点从而进行非法请求访问,是一种攻击手段。SpringSecurity默认开启CSRF防护,这就限制了除了GET请求以外的大多数请求。我们可以通过关闭CSRF防护来解决问题,但是这就不够安全了。CSRF为了保证不是其他第三方网站访问,要求访问时携带参数名为\_csrf值为令牌,令牌在服务端产生,如果携带的令牌和服务端的令牌匹配成功,则正常访问。
登录
### 会话管理
SpringSecurity提供了会话管理功能,它将用户信息保存再会话中,我们可以通过SecurityContext对象中获取用户信息。
@RestController
public class MyController {
// 获取当前登录用户名
@RequestMapping(“/users/username”)
public String getUsername(){
// 1.获取会话对象
SecurityContext context = SecurityContextHolder.getContext();
// 2.获取认证对象
Authentication authentication = context.getAuthentication();
// 3.获取登录用户信息
UserDetails userDetails = (UserDetails) authentication.getPrincipal();
return userDetails.getUsername();
}
}
### 认证成功后的处理
如果在认证成功后,需要处理一些自定义的逻辑,可以使用登陆成功处理器。
1.自定义登录成功处理器
public class MyLoginSuccessHandler implements AuthenticationSuccessHandler {
@Override
public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {
// 拿到登录用户的信息
UserDetails userDetails = (UserDetails)authentication.getPrincipal();
System.out.println(“用户名:”+userDetails.getUsername());
System.out.println(“一些操作…”);
// 重定向到主页
response.sendRedirect("/main");
}
}
2.配置登录成功处理器
http.formLogin() // 使用表单登录
.loginPage(“/login.html”) // 自定义登录页面
.usernameParameter(“username”) // 表单中的用户名项
.passwordParameter(“password”) // 表单中的密码项
.loginProcessingUrl(“/login”) // 登录路径,表单向该路径提交,提交后自动执行UserDetailsService的方法
// .successForwardUrl(“/main”) //登录成功后跳转的路径
.successHandler(new MyLoginSuccessHandler()) //登录成功处理器
.failureForwardUrl(“/fail”); //登录失败后跳转的路径
### 认证失败后的处理
如果在认证成功后,需要处理一些自定义的逻辑,可以使用登陆失败处理器。
1.自定义登录失败处理器
public class MyLoginFailureHandler implements AuthenticationFailureHandler {
@Override
public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response, AuthenticationException exception) throws IOException, ServletException {
System.out.println(“记录失败日志…”);
response.sendRedirect(“/fail”);
}
}
2.配置登录失败处理器
http.formLogin() // 使用表单登录
.loginPage(“/login.html”) // 自定义登录页面
.usernameParameter(“username”) // 表单中的用户名项
.passwordParameter(“password”) // 表单中的密码项
.loginProcessingUrl(“/login”) // 登录路径,表单向该路径提交,提交后自动执行UserDetailsService的方法
// .successForwardUrl(“/main”) //登录成功后跳转的路径
.successHandler(new MyLoginSuccessHandler()) //登录成功处理器
// .failureForwardUrl(“/fail”) //登录失败后跳转的路径
.failureHandler(new MyLoginFailureHandler()); //登录失败处理器
// 需要认证的资源
http.authorizeRequests()
.antMatchers(“/login.html”).permitAll() // 登录页不需要认证
.antMatchers(“/fail”).permitAll() // 失败页不需要认证
.anyRequest().authenticated(); //其余所有请求都需要认证
### 退出登录
### 给大家的福利
**零基础入门**
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
![](https://img-blog.csdnimg.cn/img_convert/95608e9062782d28f4f04f821405d99a.png)
同时每个成长路线对应的板块都有配套的视频提供:
![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/a91b9e8100834e9291cfcf1695d8cd42.png#pic_center)
因篇幅有限,仅展示部分资料
**网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。**
**需要这份系统化的资料的朋友,可以添加V获取:vip204888 (备注网络安全)**
![img](https://img-blog.csdnimg.cn/img_convert/d0227a65cca7429199a3faa02ac18ccf.png)
**一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!**
t/95608e9062782d28f4f04f821405d99a.png)
同时每个成长路线对应的板块都有配套的视频提供:
![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/a91b9e8100834e9291cfcf1695d8cd42.png#pic_center)
因篇幅有限,仅展示部分资料
**网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。**
**需要这份系统化的资料的朋友,可以添加V获取:vip204888 (备注网络安全)**
[外链图片转存中...(img-gpm4VrnO-1713404143968)]
**一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!**