微服务中的用户会话管理(二)

最新推荐文章于 2022-07-18 14:20:59 发布
最新推荐文章于 2022-07-18 14:20:59 发布
阅读量100 收藏
点赞数
分类专栏: 会话管理 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_28011629/article/details/120183031
版权

使用Spring Security防御CSRF攻击

  • 解决方案就是提交表单加hash串
    在这里插入图片描述
  • 坑:表单提交携带csrf
    <input th:name="${_csrf.parameterName}" th:value="${_csrf.token}">
    在这里插入图片描述
  • 配置csrf
    在这里插入图片描述
  • 关闭csrf
    在这里插入图片描述

用户存储位置

配置文件

spring.security.user.name=aaa
spring.security.user.password=123

内存

  • 不加密在这里插入图片描述
  • 或者
    @Bean
public UserDetailsService userDetailsService() {
	
	
	InMemoryUserDetailsManager manager = new InMemoryUserDetailsManager();

	User user = new User("a", new BCryptPasswordEncoder().encode("1"), true, true, true, true, Collections.singletonList(new SimpleGrantedAuthority("xx")));
	manager.createUser(user);
	manager.createUser(User.withUsername("yiming").password(new BCryptPasswordEncoder().encode("xx")).roles("xxz").build());
	return manager;

}

Security中的User对象

private String password;
private final String username;
private final Set<GrantedAuthority> authorities;
private final boolean accountNonExpired;
private final boolean accountNonLocked;
private final boolean credentialsNonExpired;
private final boolean enabled;

Session中存储的对象

		Enumeration<String> attributeNames = request.getSession().getAttributeNames();
		
		
//		while (attributeNames.hasMoreElements()) {
//			String string = (String) attributeNames.nextElement();
//			System.out.println(string);
//			System.out.println(request.getSession().getAttribute(string));
//			
//		}
		
		SecurityContext attribute = (SecurityContext)request.getSession().getAttribute("SPRING_SECURITY_CONTEXT");
		System.out.println(attribute.getAuthentication().getAuthorities());

忽略静态请求

@Override
public void configure(WebSecurity web) throws Exception {
	// TODO Auto-generated method stub
	web.ignoring().antMatchers("/img/**","/js/**");
//	super.configure(web);
}

自定义登录页面

@Override
protected void configure(HttpSecurity http) throws Exception {
	// TODO Auto-generated method stub
	http.authorizeRequests()
	//所有请求都需要验证
	.anyRequest().authenticated()
	.and()
	//permitAll 给没登录的 用户可以访问这个地址的权限
	.formLogin().loginPage("/login.html").permitAll();
}

自定义表单属性

@Override
protected void configure(HttpSecurity http) throws Exception {
	// TODO Auto-generated method stub
	http.authorizeRequests()
	//所有请求都需要验证
	.anyRequest().authenticated()
	.and()
	//permitAll 给没登录的 用户可以访问这个地址的权限
	.formLogin().loginPage("/login.html")
	//自定义表单
	.usernameParameter("xx")
	.passwordParameter("oo")
	
	.loginProcessingUrl("/login")
	.failureUrl("/login.html?error")
	.defaultSuccessUrl("/").permitAll()
	.and()
	.csrf().csrfTokenRepository(new HttpSessionCsrfTokenRepository())
	
	;
}

密码安全:暴力破解/字典/彩虹表

明文存储

  • 网络中被偷窥:可以用https避免,但是电脑被黑了还是会泄露;
    提交之前,就做加密,防止网络偷窥和程序员偷窥;
  • 持久化到数据库:暴露

摘要算法:快、不可逆、相同的源加密结果一样

  • MD5,快就不健壮,穷举破解;

字典

  • 每个人破解一小段,大家合并起来就是字典,就比如合买彩票;

彩虹表

  • 分段碰撞

注册阶段/校验阶段

固定盐(不安全)

在这里插入图片描述

随机盐

  • 固定不变的用户名
    在这里插入图片描述
  • 随机数(拼接在hash完的密钥后)
    在这里插入图片描述
  • 多次加密(秒级别,性能比较差)
    递归式的多次加密;
    sha1 - sha256 区块链加密
    在这里插入图片描述
    在这里插入图片描述

Spring Security自定义配置

Spring Security处理器

权限控制

Fat春
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
用户Session 会话机制
program_red的专栏
06-15 2447
博由 Session策略 1个站点 Cookie 保存会话 Session Sticky粘性会话 Session ReplicationSession复制 集存储 总结博由 本文针对:用户Session在不同的系统场景如何解决?进行分析和记录。Session策略1个站点在展开话题之前,先看看一个普通的分布式站点是咋样的? Cookie 保存会话[1] 发生位置:用户侧(例如:浏览器)
微服务架构的身份验证问题 :JSON Web Tokens( JWT)
灯塔的CSDN博客
12-07 6万+
本文翻译自:http://www.svlada.com/jwt-token-authentication-with-spring-boot/ 场景介绍软件安全是一件很负责的问题,由于微服务系统每个服务都要处理安全问题,所以在微服务场景下会更加复杂,一般我们会四种面向微服务系统的身份验证方案。 在传统的单体架构,单个服务保存所有的用户数据,可以校验用户,并在认证成功后创建HTTP会话。在微服务
微服务会话管理
TankyZhang的博客
03-14 579
微服务会话管理 ​ HTTP是无状态的协议,因此服务器无法确认用户的信息。W3C就提出了:给每一个用户都发一个通行证,无论谁访问的时候都需要携带通行证,这样服务器就可以从通行证上确认用户的信息。通行证就是Cookie。如果说Cookie是检查用户身上的”通行证“来确认用户的身份,那么Session就是通过检查服务器上的”客户明细表“来确认用户的身份的。Session相当于在服务器建立了一份“客户明细表”。HTTP协议是无状态的,Session不能依据HTTP连接来判断是否为同一个用户。于是:服务器向用户
你的微服务在用 OAuth2 却不知道 CSRF 和 PKCE ?
q1472750149的博客
12-04 1580
前言 在微服务实战:基于Spring Cloud Gateway + AWS Cognito 的BFF案例一文, 介绍了基于Amazon Cognito的OAuth授权码模式的认证流程。本文,我们将研究可能针对此流程的恶意攻击以及如何防止它们。你将了解如何使用状态随机数(state nonce)来防止可能的 CSRF 攻击,以及 OAuth 推荐的用于防止重定向拦截攻击的 PKCE(Proof Key for Code Exchange)机制。最后将附上基于Spring Security的代码实现。
常见Web安全漏洞--微服务及解决思路
仰望飞机的博客
11-05 760
XSS攻击 什么是XSS攻击手段 XSS攻击使用Javascript脚本注入进行攻击 例如在提交表单后,展示到另一个页面,可能会受到XSS脚本注入,读取本地cookie远程发送给黑客服务器端。 <script>alert('sss')</script> <script>window.location.href='http://www.baidu.com';&l...
微服务架构下分布式Session管理
02-02
Session一词直译为“会话”,意指有始有终的一系列动作/消息。Session是Web应用蓬勃发展的产物之一,...Session管理正是上述问题的解决方案,把用户的信息与状态保存在Session,弥补了Web应用HTTP协议的不足。Sessi
微服务架构下的分布式会话管理.pptx
10-11
微服务架构下的分布式会话管理.pptx
微服务精选:用户微服务设计理念.pdf
09-29
用户心设计理念是微服务架构的一个重要组件,它负责管理用户的身份验证、授权和会话管理。在本文档,我们将详细介绍用户心设计理念的发展史、用户心的令牌、多种场景下的认证解决方案、用户心衍生的相关...
shiro的session会话管理
02-06
在分布式系统或微服务架构会话管理成为一个关键问题,因为默认情况下,Shiro的session管理是基于单个服务器的,无法在多台服务器之间共享用户会话信息。 在传统的Web应用,session信息通常存储在服务器的内存...
微服务用户会话管理(一)
tom春的博客
09-08 682
Session与Cookies&Token cookies是由作用域的; Session与Cokies可以自动保持会话,UA提交的服务器但服务器没法标记这个人是谁,所以不管来的是谁,服务器给你生成个唯一字符串,针对当前来的用户绑定住,存在服务器端,管理服务器字符串的技术叫session,并且发给浏览器就叫cookies; 每次访问都是一个轨迹,就知道是同一个用户,和登录无关; token是服务器直接下发给客户端,客户端请求服务器时可以放到header里,也可以放到uri,每次请求都加上token字
微服务加密与授权:SpringSecurity
weixin_43516093的博客
01-30 846
1.导包:spring-boot-starter-security 2.添加配置类 注释: 3.添加加密方法如 BCryptPasswordEncoder 4.根据登陆密码进行匹配 由于相同的密码加密后不相同,所以先根据用户名查询出用户信息,然后再跟输入的密码进行匹配,代码如下 认证: 常见的认证机制 1.HTTP Basic Auth:每次发送请求时都会带上用户名和密码 2Cookie Au...
跨站点请求伪造 (CSRF):影响、示例和预防
allway2的博客
07-18 1297
在此设置,攻击者可以使用应用程序的预期格式创建一个包含令牌的cookie,将其放置在用户的浏览器,然后执行CSRF攻击。然后网站将在处理发送的请求之前验证此令牌的出现,如果令牌丢失或值不正确,则请求将被拒绝,攻击者将无法发起CSRF攻击。如果受感染的用户在应用程序具有特权角色,攻击者可能能够完全控制应用程序的所有功能和数据,这对企业和用户来说都是毁灭性的。然而,这个假设并不总是正确的。颁发令牌后,当客户端发出请求时,服务器会检查请求是否包含预期的令牌,如果令牌丢失或无效,则拒绝它。......
微服务架构如何保证安全性?
Java技术栈,分享最主流的Java技术
05-31 4504
Java技术栈www.javastack.cn优秀的Java技术公众号网络安全已成为每个企业都面临的关键问题。几乎每天都有关于黑客如何窃取公司数据的头条新闻。为了开发安全...
微服务用户会话管理 第五节
啦啦啦的博客
07-10 159
Spring Security的CSRF token攻击防护 首先,我们要先开启防护功能,在用户登陆操作之后,生成的CSRF Token就保存在cookies。 使用CookieCsrfTokenRepository生成CSRF Token放入cookie,并设置cookie的HttpOnly=false,允许js读取该cookie。 使用ignoringAntMatchers开放一些不需要进行CSRF防护的访问路径,比如:登录授权。 至此,我们生成了CSRF token保存在了cookies,浏览器向
松哥手把手教你在 SpringBoot 防御 CSRF 攻击!so easy!
江南一点雨的专栏
05-19 1万+
CSRF 就是跨域请求伪造,英文全称是 Cross Site Request Forgery。 这是一种非常常见的 Web 攻击方式,其实是很好防御的,但是由于经常被很多开发者忽略,进而导致很多网站实际上都存在 CSRF 攻击的安全隐患。 今天松哥就来和大家聊一聊什么是 CSRF 攻击以及 CSRF 攻击该如何防御。 本文是本系列第 18 篇,阅读本系列前面文章有助于更好的理解本文: 挖一个大坑,Spring Security 开搞! 松哥手把手带你入门 Spring Security,别再问密码怎么解密
【CSRF 攻击】【API 设计】【Redis】【微服务框架】| Chat · 预告
技术杂谈
12-13 839
1Web 安全:CSRF 攻击深入浅出作者简介:蓬蒿,白帽子,信安从业者。2013-2016某杭州信息安全院安全研发部负责人,负责《网站安全监测服务平台》(Web漏洞、敏感词、挂马、暗链等)的架构、设计与实现,熟悉常见 web 漏洞的渗透方式与防御方式。现为某财税平台的安全团队负责人,负责业务安全开发、安全体系建设、业务风控、API Gateway 等工作。熟悉常见 dubbo、hsf、sprin
CSRF攻击与防御(写得非常好)
热门推荐
认知 行动 坚持
12-08 25万+
转载地址:http://www.phpddt.com/reprint/csrf.html CSRF概念:CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解: 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,
微服务实战(一)基于OAUTH2.0统一认证授权的微服务基础架构
仰望星空 脚踏实地
06-04 16万+
1.架构图 技术团队通过一段时间的积累后,我们打算对往后的一些新项目采用Spring Cloud技术栈来实现。大概微服务的架构如下: Euraka注册心集群 Zuul网关集群 各模块微服务集群 Nginx实现负载均衡 Spring Cloud Config 统一配置心 Monitor微服务监控 代码传送:https://github.com/babylikebird/Micro-
微服务--分布式事务的实现方法及替代方案
congyh的专栏
04-16 6万+
微服务–分布式事务的实现方法及替代方案这两天正在研究微服务架构分布式事务的处理方案, 做一个小小的总结, 作为备忘. 如有错误, 欢迎指正!概念澄清 事务补偿机制: 在事务链的任何一个正向事务操作, 都必须存在一个完全符合回滚规则的可逆事务. CAP理论: CAP(Consistency, Availability, Partition Tolerance), 阐述了一个分布式系统的三个主要方面
领域驱动设计在微服务的实战解析
"领域驱动与微服务实践,领域驱动设计(DDD)在微服务架构的应用,适合高级工程师和架构师学习,涵盖DDD落地、微服务拆分、工程实践和代码展示等内容。" 本文将深入探讨领域驱动设计(DDD)在微服务架构的实践应用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值