Springboot之登录模块探索(含Token,验证码,网络安全等知识)

最新推荐文章于 2024-07-25 14:53:17 发布
最新推荐文章于 2024-07-25 14:53:17 发布
阅读量1k 收藏 1
点赞数
分类专栏: java 技术 文章标签: web安全 spring boot 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_65634190/article/details/122609137
版权

简介

登录模块很简单,前端发送账号密码的表单,后端接收验证后即可~

淦!可是我想多了,于是有了以下几个问题(里面还包含网络安全问题):

1.登录时的验证码

2.自动登录的实现

3.怎么维护前后端登录状态

在这和大家分享下我实现此功能的过程,包括一些技术和心得

1.登录时的验证码

为什么要验证码,原因很简单,防止脚本无限次重复登录,来暴力破解用户密码或者攻击服务器

验证码的出现,使得每次登录都有个动态变量需要输入,无法用脚本写死代码

具体可以参考:滑动验证码的设计和理解:
www.cnblogs.com/top-houseke…

2.自动登录的实现

所谓自动登录,指的是当用户登录网站时勾选了自动登录,那么下次再访问网站就不需要输入账号密码直接登录了

这说明,账号密码信息是必须保存在用户这边的,因此自动登录都是不安全的!(方便的代价呀)

尽管不安全,但是我们也必须要尽力让它安全一点,有以下常用方法:

1.账号密码加密保存

2.降低自动登录后用户的权限(如果用户自动登录想改密码,想给我转钱等操作的话,就必须输入账号密码再登录一次!)

3.进行ip检测(之前登录的ip小本本记着),如果发现和上次不一致,则不允许自动登录

数据存储在前端哪里呢

浏览器有3个经常保存数据的地方

1.Cookie (我用这个)

2.LocalStorage

3.SessionStorage

各位可以按F12直接观看

如果你在多个大型网站下都按按F12,会发现SessionStorage基本没数据

为啥,因为真的不好用,它并不是后台的session那样,生命周期是一个会话,这个SessionStorage存储的数据只限于该标签的页面

意思是标签1和标签2即使是同个URL的网址,里面的数据都是不互通的(这有个毛用)

那么LocalStorage存储的数据如何呢,答案是无限期本地存储

不过后台无法操作这里的数据,只能由js代码操作(至于操作结果,完全看js,后端无法感知,不太可靠),我认为这里不适合保存敏感点的信息,因为前端的功能是展示,状态性的数据应该由后端直接掌控(后端能直接操作Cookie,保证完成任务)

你看英雄所见略同,CSDN网站的用户密码也是存在Cookie的

Token就是登录后的令牌(下一点会讲)

所以用Cookie就对啦,具体实现都很简单,前端多个自动登录的选择,选择后多个参数传给后端,后端根据参数往Cookie里设置加密后的账号密码

等下次访问时,用拦截器Interceptor进行拦截,检测是否要自动登录即可~

3.如何维护前后端登录状态

大家最先想到是用Session来维护,登录后在Session中存放用户信息,不过对分布式很不友好(什么,你说你用不到分布式,我也没用到,可是梦想还是要有的嘛),需要维护个分布式数据库来进行数据同步才行

于是我用Token实现的,Token就是一串字符串,最适合API鉴权(例如SSO单点登录这种),俗称令牌

好处就是账号密码用户输入一次就够了,特别是多个系统之间(一张身份的凭证都通用)

当用户登录后,服务器就会生成一个Token放在Cookie中,之后用户的所有操作都带这个Token访问(将Token放入http头部)

为什么要将Token放入头部

1.能抵挡下简单的CSRF攻击

2.浏览器跨域问题

什么是CSRF攻击

举个例子:我登录了A网站,A网站给我返回了一些Cookie信息,然后我再同一浏览器的另外标签访问了B网站,谁知这个B网站返回了一些攻击代码(向A网站发起一些请求,比如转钱给你,这时候由于是访问A网站,会附带A网站的Cookie,让一切都好像是我在访问一样),这个就是CSRF攻击

但B网站并不知道A网站这么鸡贼,会在头部放了Token,所以这次攻击请求是的头部是没Token的,因此检测后发现非法,所以没得逞

当然,这并不可靠,哪天B网站知道你头部放了Token,它研究A网站的js代码,清楚逻辑之后也加上,那就防不住了(所以说前端的东西一切都不可靠)

正确做法应该是后端检测头部的Referer字段,每个网页里发起请求,请求的头部都会带有此字段,如

这说明这个请求是从 http://localhost:8099/swr 中发出的

B网站如果返回攻击代码,这里显示的事B网站的网址,判断出不是自家网站发出,就可以禁止访问

浏览器跨域访问会发生什么

说到跨域(自家网站去请求别人家的网站),得先了解什么是同源策略:

同源策略(Same origin policy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说 Web 是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现。

它的核心就在于它认为自任何站点装载的信赖内容是不安全的。当被浏览器半信半疑的脚本运行在沙箱时,它们应该只被允许访问来自同一站点的资源,而不是那些来自其它站点可能怀有恶意的资源。

所谓同源是指:域名、协议、端口相同。

另外,同源策略又分为以下两种:

  1. DOM 同源策略:禁止对不同源页面 DOM 进行操作。这里主要场景是 iframe 跨域的情况,不同域名的 iframe 是限制互相访问的。
  2. XMLHttpRequest 同源策略:禁止使用 XHR 对象向不同源的服务器地址发起 HTTP 请求。(就是ajax)

咳咳,这里要说下第二种,其实设置一些参数之后,ajax访问时允许跨域请求的,甚至允许跨域时带上自身cookie

但是,带上自己的Cookie多不安全,明明里面只有1,2个信息要传给对方,现在被人全看见了(不好不好),所以要将Token放入头部

你说为啥不放到参数里,因为这会跟业务用的参数混淆,造成逻辑混乱(就好像你上学时要扔家里的垃圾,你不会放到书包里吧,都是手里提着的)

每个请求都放token,所以要封装起来,例如我是将ajax封装起一个新的对象,然后在这个对象使用时添加Token

当然啦,封装了ajax后还有其他好处(例如统一的成功,失败回调函数,统一的数据解析,统一的等待框等等),有兴趣的同学可以看下

 /**
    * 访问后台的对象,为ajax封装
    * @param url 后台资源路径
    * @param param Map参数
    * @param contentType 传输类型
    * @param success   成功回调函数
    * @param error 失败回调函数
    * @param requestType 请求类型(get.post,put,delete)
    * @constructor
    */
  var Query = function (url, param, contentType, successFunc, errorFunc, requestType) {
      this.url = url;

      //先确认参数存在
     if (param) {
          //如果是get请求类型,则将参数拼接到url后面
         if (requestType == Query.GET_TYPE) {
              this.param = this._concatParamToURL(param, url);
         } else {
             //其他请求类型,要根据不同的传输格式来确定传输的值的类型
             if (contentType == Query.NOMAL_TYPE) {
                 this.param = JSON.parse(this._convertParamToJson(param));
             } else {
                 this.param = this._convertParamToJson(param);
             }
         }
     } else {
         this.param = null;
     }

    this.contentType = contentType;
    this.successFunc = successFunc;
    this.errorFunc = errorFunc;
     //请求超时,默认10秒
     this.timeout = 10000;
     //是否异步请求,默认异步
     this.async = true;
     this.requestType = requestType;
  }

  Query.JSON_TYPE = 'application/json';
 Query.NOMAL_TYPE = 'application/x-www-form-urlencoded';

  /**
  * ajax请求的访问
  * 默认是post
  * @param url 要访问的地址
  * @param paramMap 传给后台的Map参数,key为字符串类型
  * @param callback 回调函数
  * @param contentType 传输数据的格式  默认传输application/x-www-form-urlencoded格式
  */
 Query.create = function (url, paramMap, successFunc, errorFunc) {
    return new Query(url, paramMap, Query.NOMAL_TYPE, successFunc, errorFunc, Query.GET_TYPE);
}

 //-----------------------以下为RESTFul方法---------------------------
 //ajax请求类型
  Query.GET_TYPE = "get";
  Query.POST_TYPE = "post";
  Query.PUT_TYPE = "put";
  Query.DELETE_TYPE = "delete";

  //get方法默认是Query.NOMAL_TYPE
  Query.createGetType = function (url, paramMap, successFunc, errorFunc) {
      return new Query(url, paramMap, Query.NOMAL_T
最低0.47元/天 解锁文章
站在风口的java
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot编程基础教程:安全和身份验证
禅与计算机程序设计艺术
11-10 63
安全性在现代社会是一个非常重要的话题。从物理到数字,安全意味着保护用户、企业及其数据不受侵犯,防止信息泄露或丢失、隐私泄漏等安全风险发生。无论是个人电脑、手机、服务器还是其他网络设备,安全都是非常重要的。另外,随着互联网的普及,越来越多的人把注意力放在了在线上以及网络交易中,而这些交易往往涉及到一些私密的信息。因此,如何确保在线交易中的信息安全就显得尤为重要。
Java开发 - 单点登录初体验(Spring Security + JWT)
CodingFire的博客
03-02 5872
登录这东西很奇怪哎,你说它难吗?好像客户端只需要调接口就行,那有啥难的?当你多多少少对登录的后台有些了解,又觉得好难啊,session,token,cookie,等等一堆东西,有老的大家都不喜欢用的,有新的一些框架的,根据公司项目规模不同,还要考虑成本的问题,真是有些头疼。博主今天推荐的一种登陆方式便是Spring Security + JWT的结合使用,为什么要两者结合呢?
Token方案实现Token自动续期(基于springboot+vue前后端分离项目)
qq_44286009的博客
06-10 1837
jwt理论介绍springboot+vue项目中使用jwt实现登录认证本篇文章的代码是在springboot+vue项目中使用jwt实现登录认证的基础上实现的Token自动续期的功能。双token解决方案是一种用于增强用户登录安全性和提升用户体验的认证机制。它主要涉及两个令牌:访问令牌(accessToken)和刷新令牌(refreshToken)。
红队系列-网络安全知识锦囊(持续更新)
aming小老弟
11-09 673
AJP13是定向包协议。因为性能原因,使用二进制格式来传输可读性文本。AJP协议:WEB服务器通过TCP连接和SERVLET容器连接。为了减少进程生成socket的花费,WEB服务器和SERVLET容器之间尝试保持持久性的TCP连接,对多个请求/回复循环重用一个连接。一旦连接分配给一个特定的请求,在请求处理循环结束之前不会在分配。换句话说,在连接上,请求不是多元的。这个是连接两端的编码变得容易,虽然这导致在一时刻会有很多连接。
基于SpringBoot+Vue+uniapp的网络安全宣传网站(源码+lw+部署文档+讲解等)
bigcoding的博客
06-05 703
🌞博主介绍:全网粉丝10W+,CSDN特邀作者、211毕业、高级全栈开发程序员、大厂多年工作经验、码云/掘金/华为云/阿里云/InfoQ/StackOverflow/github等平台优质作者、专注于Java、小程序技术领域和毕业项目实战,以及程序定制化开发、全栈讲解、就业辅导👇🏻精彩专栏 推荐订阅👇🏻2023-2024年最值得选的微信小程序毕业设计选题大全:100个热门选题推荐✅2023-2024年最值得选的Java毕业设计选题大全:500个热门选题推荐✅Java精品实战案例《500套》
基于springboot+vue.js+uniapp的网络安全宣传网站附带文章源码部署视频讲解等
fanheng1231的博客
07-17 635
🌞博主介绍:✌CSDN特邀作者、985计算机专业毕业、某互联网大厂高级全栈开发程序员、码云/掘金/华为云/阿里云/InfoQ/StackOverflow/github等平台优质作者、专注于Java、小程序、前端、python等技术领域和毕业项目实战,以及程序定制化开发、全栈讲解、就业辅导、面试辅导、简历修改。✌🌞👇🏻精彩专栏 推荐订阅👇🏻2023-2024年最值得选的微信小程序毕业设计选题大全:100个热门选题推荐✅2023-2024年最值得选的Java毕业设计选题大全:500个热门选题推荐✅。
SpringBoot学习之旅
太阳以西?的博客
03-06 937
一、SpringBoot入门 1.1、springboot 简介 springboot是什么? 简化Spring应用开发的框架,spring技术栈的整合,J2EE开发的一站式解决方案 优点: 为所有spring开发者快速入门 开箱即用,提供各种默认配置来简化项目配置 内嵌式容器简化Web项目 没有冗余代码生成和XML配置的要求 1.2、微服务 是一种架构风格(服务微化) 要求在开发一个应用的时候,这个应用必须构建成一系列小服务的组合; 可以通过http的方式进行互通 单体应用 每一个功能元素最终
springboot基于推荐算法的网络招聘平台
2301_79305643的博客
07-10 652
目 录。
Springboot + Spring Security 实现前后端分离登录认证及权限控制
weixin_45957207的博客
03-16 4836
Springboot + Spring Security 实现前后端分离登录认证及权限控制 Spring Security简介 Spring Security 是 Spring 家族中的一个安全管理框架,实际上,在 Spring Boot 出现之前,Spring Security 就已经发展了多年了,但是使用的并不多,安全管理这个领域,一直是 Shiro 的天下。 相对于 Shiro,在 SSM/SSH 中整合 Spring Security 都是比较麻烦的操作,所以,Spring Security 虽然
基于Java+SpringBoot+Vue前后端分离仓库管理系统详细设计和实现
热门推荐
java李阳勇的博客
07-17 4万+
目前许多人仍将传统的纸质工具作为信息管理的主要工具,而网络技术的应用只是起到辅助作用。在对网络工具的认知程度上,较为传统的office软件等仍是人们使用的主要工具,而相对全面且专业的仓库管理系统的信息管理软件仍没有得到大多数人的了解或认可。本选题则旨在通过标签分类管理等方式,实现系统首页、系统用户(管理员、采购用户、仓管用户、供应商)、模块管理(商品类别、采购管理、入库审核、仓储管理、销售出库)等信息管理功能,从而达到对仓库管理系统信息的高效管理。
SpringBoot + SpringSecurity 短信验证码登录功能实现
08-27
SpringBoot + SpringSecurity 短信验证码登录功能实现 本文主要介绍了 SpringBoot + SpringSecurity 短信验证码登录功能实现的详细过程,该功能可以使用户通过手机短信验证码登录系统,而不是传统的用户名密码登录...
SpringBoot框架集成token实现登录校验功能
08-25
SpringsBoot框架集成token实现登录校验功能是指在SpringBoot框架中使用token来实现登录校验功能的方法,这种方法可以在移动端和服务器端之间实现安全的身份验证。下面将详细介绍该方法的实现思路和实现步骤。 思路...
springboot+redis+token保持登录
08-03
在现代Web应用开发中,保持用户登录状态是一个常见的需求,"springboot+redis+token保持登录"的主题就涉及到了如何利用Spring Boot、Redis以及Token技术来实现这一功能。本文将详细探讨这一技术栈的实现原理和步骤。...
Springboot集成spring-security实现基于验证码登录认证项目源码+项目说明.7z
12-18
Springboot集成spring-security实现基于验证码登录认证项目源码+项目说明.7z springboot集成spring-security实现基于验证码登录认证。 在spring-boot-security的基础上实现角色管理。 spring-boot-security-jwt...
SpringBoottoken短信验证登入登出权限操作(token存放redis,ali短信接口)
08-25
SpringBoot应用中,实现基于短信验证的登录和权限管理是一项常见的需求。本文将详细讲解如何在...当然,实际开发中可能还需要考虑更多的细节,如异常处理、安全策略等,但这个基础架构已经能够满足大部分需求。
网络安全之扫描探测阶段攻防手段(二)
子非渔
07-24 970
扫描探测阶段是攻击者对目标网络进行深入了解的关键步骤,同时也是防御者识别潜在威胁和加强安全防护的机会。
网络安全防御【IPsec VPN搭建】
miss_copper的博客
07-25 1561
防火墙的g0/0/0口默认的IP地址为192.168.0.1/24;但是我们需要在浏览器中打开FW2的web服务就需要将g0/0/0接口的IP地址修改为192.168.142.40/24与我们Clound中虚拟网卡通一个网段才行。20、将双机热备改成主备模式,通过内网的VPN设备构建一条到达分公司的IPsec VPN通道,保证10.0.2.0/24网段可以访问到192.168.1.0/24网段。登录成功之后需要修改你的密码才能进入防火墙的用户视图。IPsec策略协商成功!成功修改为主备模式!
网络安全之不同阶段攻防手段(四)
最新发布
子非渔
07-25 816
前面已经说过信息收集、扫描探测以及初始访问阶段的攻防手段,下面将说一下在攻击者获取到访问权限的情况下会接着如何进一步在网络中建立控制点、提权、横移以及完成攻击后的遗迹隐藏
springboot获取获取当前登录token
04-22
可以通过以下方式获取当前登录token: 1.在Controller层中注入HttpServletRequest对象 ``` @Autowired private HttpServletRequest request; ``` 2.从HttpServletRequest对象中获取token ``` String token = ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值