Session与Cookies&Token
- cookies是由作用域的;
- Session与Cokies可以自动保持会话,UA提交的服务器但服务器没法标记这个人是谁,所以不管来的是谁,服务器给你生成个唯一字符串,针对当前来的用户绑定住,存在服务器端,管理服务器字符串的技术叫session,并且发给浏览器就叫cookies;
- 每次访问都是一个轨迹,就知道是同一个用户,和登录无关;
- token是服务器直接下发给客户端,客户端请求服务器时可以放到header里,也可以放到uri,每次请求都加上token字符串;可以跨平台;
浏览器同源策略与跨域
同源(安全策略)
- 域名、协议、端口都会造成不同源;
和这个地址差不多的要不要使用这个字符串;
相同的源使用相同的会话机制,域名一样资源地址不一样;
跨域
jsonp 需要写代码
- 只能发get请求
<script>、<img> 、<iframe>、<link>、<video>这些标签都可以发起跨域请求
回调函数实现跨域
- login.html登录请求新浪接口,用写调用新浪的登录,
- login接口返回用户信息放到js里并且写成function,响应回login.html,调用login.html里的say()方法,
cors 浏览器+服务器
- 能发任何请求
- 达成共识完成的
请求头写上Origin来源直接发Ajax,和服务器设置的允许的来源对上了,就成功跨域了;
保持会话的框架
- 认证
- 授权:基于用户的
- 角色
Shiro
用户Subject->登录Authentication->认证Authorization->授权Realm
核心功能
Authentication:身份认证/登录
,验证用户是不是拥有相应的身份;
Authorization:授权,即权限验证
,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限;
Session Manager:会话管理
,即用户登录后就是一次会话,在没有退出之前,它的所有信息都在会话中;会话可以是普通JavaSE环境的,也可以是如Web环境的;
Cryptography:加密
(解密 摘要算法),保护数据的安全性,如密码加密存储到数据库,而不是明文存储;
Web Support:Web支持,可以非常容易的集成到Web环境;
Caching:缓存,比如用户登录后
,其用户信息、拥有的角色/权限不必每次去查
,这样可以提高效率;
Concurrency:shiro支持多线程应用的并发验证,即如在一个线程中开启另一个线程,能把权限自动传播过去;
Testing:提供测试支持;
Run As:允许一个用户假装为另一个用户
(如果他们允许)的身份进行访问;模拟切换角色权限
;
Remember Me:记住我
,这个是非常常见的功能,即一次登录后,下次再来的话不用登录了。设置session永不过期,下发cookies永不过期
;
组件(下边3个组件组成了shiro)
Subject:主体,代表了当前“用户
”,这个用户不一定是一个具体的人,与当前应用交互的任何东西都是Subject,如网络爬虫,机器人等;即一个抽象概念;所有Subject都绑定到SecurityManager,与Subject的所有交互都会委托给SecurityManager;可以把Subject认为是一个门面;SecurityManager才是实际的执行者;
SecurityManager:安全管理器;即所有与安全有关的操作都会与SecurityManager交互
;且它管理着所有Subject
;可以看出它是Shiro的核心
,它负责与后边介绍的其他组件进行交互
,如果学习过SpringMVC,你可以把它看成DispatcherServlet前端控制器
;
Realm:域,Shiro从从Realm获取安全数据(如用户、角色、权限
),就是说SecurityManager要验证用户身份,那么它需要从Realm获取相应的用户进行比较以确定用户身份是否合法
;也需要从Realm得到用户相应的角色/权限
进行验证用户是否能进行操作;可以把Realm看成DataSource,即安全数据源
。
Spring security
Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。
它是一个轻量级的安全框架,它确保基于Spring的应用程序提供身份验证和授权支持。
它与Spring MVC有很好地集成,并配备了流行的安全算法实现捆绑在一起。安全主要包括两个操作“认证”与“验证”(有时候也会叫做权限控制)。
“认证”是为用户建立一个其声明的角色的过程,这个角色可以一个用户、一个设备或者一个系统。“验证”指的是一个用户在你的应用中能够执行某个操作。在到达授权判断之前,角色已经在身份认证过程中建立了。
Spring Security 前身是Acegi Security
JWT
SSO
SSO 是英文 Single Sign On 的缩写,翻译过来就是单点登录
Session共享
session复制
- 同步不及时
- 浪费资源过大
session放到第三方里
- redis
统一网关
oauth
相同一套系统网关可以放前边
所以请求先打到统一网关实现统一鉴权,下发token,在发送到真实服务器;
不同一套系统网关可以放后边
- 鉴权运行在网关里的;
- 客户端和服务端之间又建立了一套服务;
- 服务器不直接和第三方存储服务器交互,session管理不由服务器,单独交给一套系统也叫网关,服务器把会话扔给网关系统由网关系统完成鉴权以及token下发,只是网关在前边和在后边的概念;
- 都是用token令牌鉴权的;
CAS
中心认证服务(Central Authentication Service)SSO 仅仅是一种架构,一种设计,而 CAS 则是实现 SSO 的一种手段
- 鉴权专用服务器,鉴权独立出来成为一个应用;
- 网关只管理token,鉴权在CAS;
OpenID
让别人的网站登录我的系统拿到一部分信息的
;- 用户不愿意在weto.top注册,拿别人家的账号来登录:微博、QQ、支付宝;
- 在weto.top通过微博的接口,登录完能拿到必要信息;
SCRF XSS攻击安全与防御
用户授权拒绝用户时候为的是系统安全,账号安全,浏览器安全,
XSS流量攻击正常请求(CC/DDOS流量攻击非法请求)
跨站点脚本攻击
- 流量比较大的新浪网站,在html里嵌入违规的代码(发起外站百度请求的能力);
- 把新浪
服务器黑了
,在里面写js img iframe,在标签里写请求百度; - 海量的流量就流入百度了,百度并发量就增大了,浪费百度的流量;
- 黑不进去服务器,
利用漏洞
,富文本编辑器引入网络图片的url填写成一个网址;
- 漏洞被修复(修补bug转义)
CSRF(XSRF) 跨站攻击伪装请求
- 一个浏览器开启多个页签,zfb.com登录了,wx.com在html嵌入
<img src="http://zfb.com/hi">
,就不需要登录也可以访问zfb.com,因为浏览器有zfb.com的cookie; - 怎么防?
- 敏感操作加验证码
- 全站POST;GET请求下次请求带服务器下发的hash码,下次请求校验有没有这个hash,hash都是一次性使用,hash不能放在cookie;/add?hash=a1b2c3
Spring Security使用
官网
https://spring.io/projects/spring-security
HelloWorld
pom
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-test</artifactId>
<scope>test</scope>
</dependency>
启动项目
启动成功后会生成一个默认密码
接下来访问系统使用用户名 user
自定义账号密码
spring.security.user.name=lichun
spring.security.user.password=123