一、CORS 跨域
1、cors
- CORS是一个W3C标准,全称是"跨域资源共享"(Cross-origin resource sharing)。
- 它允许浏览器向跨源服务器,发出XMLHttpRequest(ajax)请求,从而克服了AJAX只能
同源使用的限制。
2、同源策略
同源策略[same origin policy]是浏览器的一个安全功能,不同源的客户端脚本在没有明确授权的情况下,不能读写对方资源。 同源策略是浏览器安全的基石。
3、源
源[origin]就是协议、域名和端口号。例如:http://www.baidu.com:80这个URL。
4、同源
- 若地址里面的
协议、域名和端口号均相同则属于同源。(协议 http/https) 域名 www.com/aaa.com 端口号: 80/ 8081 只要这三个是相同的那么就是同源;列如:http://127.0.0.1:8080 和 http://localhost:8080 就是非同源
# 同源举例
- 例如判断下面的URL是否与 http://www.a.com/test/index.html 同源
http://www.a.com/dir/page.html --------->同源
http://www.child.a.com/test/index.html ->不同源,域名不相同
https://www.a.com/test/index.html ------>不同源,协议不相同
http://www.a.com:8080/test/index.html -->不同源,端口号不相同
5、哪些操作不受同源限制
页面中的链接,重定向以及表单提交是不会受到同源策略限制的;
跨域资源的引入是可以的。如嵌入到页面中的
<script src="..."></script>,<img>,<link>,<iframe>等。
6、哪些操作受同源限制
- 在浏览器中发起一个AJAX请求,会受到同源策略限制。
出现错误:Access-Control-Allow-Origin
7、同源限制案例演示
利用springboot 后台启动一个程序,端口为9008,我们访问的时候 通过 http://127.0.0.1:9008/demo 跳转到 demo.html页面,在html的页面我们放一个发送ajax 的按钮,地址为 http://localhost:9008/demo/hello 两个域名不同,这个时候就会出现跨域错误了
1、controller 代码
@Controller
@RequestMapping("/demo")
public class DemoController {
private final Logger logger = LoggerFactory.getLogger(this.getClass());
@RequestMapping()
public String index(Model model) {
model.addAttribute("msg", "hello springboot cors ");
return "demo";
}
@GetMapping("/hello")
public ResponseEntity<String> hello(Model model) {
return new ResponseEntity<>("hello springboot cors ajax ", HttpStatus.OK);
}
}
2、html 代码演示
<!DOCTYPE html>
<html lang="en" xmlns:th="http://www.thymeleaf.org">
<head>
<meta charset="UTF-8">
<title>Title</title>
</head>
<body>
<!--th:text 为 Thymeleaf 属性,用于在展示文本-->
<h1 th:text="迎您来到Thymeleaf">测试跨域静态页面</h1>
<h2><span th:text="${msg }"/> </h2>
<button type="button" value="点我发送ajax请求" onclick="testAjax()">点我发送ajax请求</button>
<h4 id="msgId"></h4>
</body>
<script>
function testAjax() {
// 创建对象
var xhr = new XMLHttpRequest();
// 处理请求
xhr.onreadystatechange = function (ev) {
if (xhr.status == 200 && xhr.readyState == 4) {
console.log(xhr.responseText);
document.getElementById("msgId").innerText = "ajax返回结果:"+xhr.responseText
}
}
// 发送请求
xhr.open("get","http://localhost:9008/demo/hello");
xhr.send();
}
</script>
</html>
3、效果演示
8、如何解决
- 在对应的controller 上面加上注解 @CrossOrigin,需要每一个controller 都设置
- 在配置类中使用全局的bean,只需要设置一次
1、 @CrossOrigin
@Controller
@RequestMapping("/demo")
@CrossOrigin
public class DemoController
2、全局配置一个跨域的过滤器
@Configuration
public class MvcConfig implements WebMvcConfigurer {
/**
* 配置 springmvc 跨域请求全局过滤器方案
* @return
*/
@Bean
public CorsFilter corsFilter() {
UrlBasedCorsConfigurationSource urlSourceConfig = new UrlBasedCorsConfigurationSource();
CorsConfiguration corsConfiguration = new CorsConfiguration();
corsConfiguration.addAllowedOrigin("*"); // 1允许任何域名使用
corsConfiguration.addAllowedHeader("*"); // 2允许任何头
corsConfiguration.addAllowedMethod("*"); // 3允许任何方法(post、get等)
urlSourceConfig.registerCorsConfiguration("/**", corsConfiguration);//4处理所有请求的跨域配置
return new CorsFilter(urlSourceConfig);
}
@Override
public void addViewControllers(ViewControllerRegistry registry) {
}
}
二、Jasypt 加密
Jasypt 也即Java Simplified Encryption是Sourceforge.net上的一个开源项目。在当地时间11月23号的通告中,Jasypt 1.4的新特征包括:加密属性文件(encryptable properties files)、Spring Framework集成、加密Hibernate数据源配置、新的命令行工具、URL加密的Apache wicket集成以及升级文档。
Jasypt的设计理念是简化加密操作,使其对开发者更加友好。它采用密码学强度的加密算法,支持多种加密算法,从而平衡了性能和安全性。其中,Jasypt的核心思想之一是基于密码的加密(Password Based Encryption,PBE),通过用户提供的密码生成加密密钥,然后使用该密钥对数据进行加密和解密。此外,Jasypt还引入了盐(Salt)的概念,通过添加随机生成的盐值,提高了加密的安全性,防止相同的原始数据在不同的加密过程中产生相同的结果,有效抵御彩虹表攻击。
在Spring Boot应用中,Jasypt Spring Boot Starter是一个方便的集成工具,可以简化加密功能的配置。它支持多种加密算法,包括对称加密和非对称加密,可以根据实际需求选择合适的加密方式。通过使用Jasypt Spring Boot Starter,可以轻松地将加密功能集成到Spring Boot应用中,无需手动配置复杂的加密相关的代码和配置文件。
整合springboot
1、导入依赖
<dependency>
<groupId>com.github.ulisesbocchio</groupId>
<artifactId>jasypt-spring-boot-starter</artifactId>
<version>2.1.0</version>
</dependency>
<dependency>
<groupId>com.alibaba</groupId>
<artifactId>druid</artifactId>
<version>1.2.18</version>
</dependency>
<dependency>
<groupId>mysql</groupId>
<artifactId>mysql-connector-java</artifactId>
<version>5.1.47</version>
</dependency>
<dependency>
<groupId>org.mybatis.spring.boot</groupId>
<artifactId>mybatis-spring-boot-starter</artifactId>
<version>2.2.0</version>
</dependency>
<dependency>
<groupId>org.projectlombok</groupId>
<artifactId>lombok</artifactId>
<version>1.18.30</version>
</dependency>
2、配置文件
- 指定加密算法
- 指定自己的秘钥,后期可以手动通过jvm设置,不需要放到配置文件中
# 加密配置
jasypt:
encryptor:
algorithm: PBEWithMD5AndDES
#password: 1232323sdds #使用加密秘钥
property:
prefix: jasEnc(
suffix: )
3、测试加密结果
我们使用root 字符串进行10次加密,但是每一次的结果都不一样,但是解密后还能得到密文
加密结果:rOpdwoepdL9VPYoRikFB7A==
5ZM8/cDBQMm6w1ad5JS7Kg==
0G+cQhAq8xTHEiskyr5llw==
CiwMMkQ2J+eajGUR8iC2OA==
SHkw5L6LdxSAkG9+fBj8tw==
pbJA2iifJ28QXPS1jBSZ9g==
x0m/p36RYF9eeRwDsY0vIQ==
doqPv+koOxmW8VWD6Q0l8g==
ECkOHsy6R1xpCdQ8d7fpYA==
WLp6FGscjAuPJ83gzljBrw==
X80q2/bXYvGs7lP1bN2HKw==
OebJ2wAgkICNMK2BDZzCNQ==
解密结果:root
@SpringBootTest
class SpringbootJasyptApplicationTests {
@Autowired
private StringEncryptor encryptor;
@Test
public void testEncry() {
String username = "root";
String encrypt = encryptor.encrypt(username);
System.out.println("加密结果:"+encrypt);
IntStream.rangeClosed(0, 10)
.forEach(num -> {
System.out.println(encryptor.encrypt(username));
});
String decrypt = encryptor.decrypt(encrypt);
System.out.println("解密结果:"+decrypt);
}
}
4、我们如何使用
我们在配置文件中配置了加密的前缀和后缀为 jasEnc(xx 加密的字符串 ),我们在需要加密的地方使用这个方法即可;
数据库连接使用
#thymeleaf 配置 spring: thymeleaf: cache: false prefix: classpath:/templates/ suffix: .html ## 数据源配置 datasource: password: jasEnc(7FE+i7Z7mKV9JPmDurx7DA==) username: jasEnc(IU5mwd7eRVnX+zn0aIhIVg==) url: jdbc:mysql://${mysql.host}:3306/test_rbac?characterEncoding=UTF-8 type: com.alibaba.druid.pool.DruidDataSource driver-class-name: com.mysql.jdbc.Driver ## mybatis 配置 mybatis: mapper-locations: classpath:/mybatis/mapper/com/fashion/*.xml
5、测试数据库能否正常获取到结果
[{“id”:3,“loginId”:“admin”,“nickName”:“管理员账号”,“password”:“$2a$10$5VUHUT6UJG1zrSWTbMMn5O0Hie3Qh0Q5kZ9wpDRm.VOOFNoYiOFdm”}]
6、实际生产环境如何使用
我们如果将秘钥直接配置到配置文件中,有暴露的风险,这个时候我们可以通过jvm 参数动态传进去设置,这样就可以避免参数泄露了
-
idea 设置方式
-
生产环境使用
java -jar xxx.jar -Djasypt.encryptor.password=对应的秘钥
-Djasypt.encryptor.password=对应秘钥
扫一扫
3163
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
