前后端连接完后的各种安全问题

最新推荐文章于 2024-07-22 01:18:32 发布
最新推荐文章于 2024-07-22 01:18:32 发布
阅读量391 收藏 3
点赞数 6
文章标签: 前端 java servlet
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45576281/article/details/138000418
版权

前后端连接完后的各种安全问题:

当我们完成前后端链接后,这只是第一步,接下来各种安全问题才是前后端交互的重中之重。

后端:

一.管理员

当前端把账号密码之类的用户信息传来后端后,我们还需要一个管理员来保存这些数据,而我们要返回给前端保存在浏览器的数据是管理员的数据,这样把数据封装到类里,方便我们进行各种操作。

Admin:

public class Admin {
    private int id;
    private String account;
    private String password;
    private String gender;
    private String phone;
    private String name;

    public String getName() {
        return name;
    }

    public void setName(String name) {
        this.name = name;
    }

    public Admin(){};
    public Admin(int id,String account,String password,String gender,String phone,String name){
        this.account=account;
        this.id=id;
        this.password=password;
        this.phone=phone;
        this.gender=gender;
        this.name=name;
    }

    public int getId() {
        return id;
    }

    public void setId(int id) {
        this.id = id;
    }

    public String getAccount() {
        return account;
    }

    public void setAccount(String account) {
        this.account = account;
    }

    public String getPassword() {
        return password;
    }

    public void setPassword(String password) {
        this.password = password;
    }

    public String getGender() {
        return gender;
    }

    public void setGender(String gender) {
        this.gender = gender;
    }

    public String getPhone() {
        return phone;
    }

    public void setPhone(String phone) {
        this.phone = phone;
    }
}

二.dao层

Dao中查到数据后把其交给管理员:

			ResultSet rs=ps.executeQuery();
            //查到后把数据交给管理员
            while(rs.next()){
                admin=new Admin();
                admin.setId(rs.getInt("id"));
                admin.setAccount(rs.getString("account"));
                admin.setGender(rs.getString("gender"));
                admin.setPassword(rs.getString("password"));
                admin.setPhone(rs.getString("phone"));
                admin.setName(rs.getString("name"));
            }
            return admin;

这里返回一个管理员类,这是因为最终返回前端的信息一般都有一个格式就是

(code,desc,result),code表示当前链接状况,desc表示要提示的信息,result里面是要返回的保存数据的类,也就是管理员类

三.Servlet

所以Servlet中接收到前端的数据后然后交给dao层判断,如果dao层返回了一个admin说明在数据库查到了该用户,如果返回admin是空说明没查到:

        //接收前端提交的数据
        String account=req.getParameter("account");
        String password=req.getParameter("password");
        //调用其他的java程序处理 例如调用dao层 与数据库交互
        LoginDao loginDao=new LoginDao();
        Result<Admin> result=null;
        try {
            Admin admin=loginDao.login(account,password);
            //向前端做出相应
            if(admin!=null){
                result=new Result<>(200,"登录成功",admin);
            }else {
                result=new Result<>(201,"账号或密码错误",null);
            }
        } catch (SQLException throwables) {
            throwables.printStackTrace();
            result=new Result<>(500,"系统忙",null);
        }
resp.getWriter().print(newObjectMapper().writeValueAsString(result));

四.Result

其中Result就是保存code,desc,result的:

public class Result<T> {
    private int code;
    private String desc;
    private T result;

    public Result(){};

    public Result(int code,String desc,T result){
        this.code=code;
        this.desc=desc;
        this.result=result;
    }

    public int getCode() {
        return code;
    }

    public void setCode(int code) {
        this.code = code;
    }

    public String getDesc() {
        return desc;
    }

    public void setDesc(String desc) {
        this.desc = desc;
    }

    public T getResult() {
        return result;
    }

    public void setResult(T result) {
        this.result = result;
    }
}

前端:

一.接收后端的响应:

我们需要把后端的数据送到session(会话)或者cookie里,(cookie可以一直保存,会话会随着浏览器关闭而消失)。然后前端就可以随时从cookie或者会话中得到这些数据

		   //与后端进行交互
		   this.$http.post("login","account="+this.form.account+"&password="+this.form.password).then((resp)=>{
			   //根据后端响应回来的结果进行处理
			   if(resp.data.code==200){
				   //登陆成功
				sessionStorage.setItem("account",resp.data.result.account);
				sessionStorage.setItem("gender",resp.data.result.gender);
				sessionStorage.setItem("name",resp.data.result.name);
				sessionStorage.setItem("phone",resp.data.result.phone);
				sessionStorage.setItem("id",resp.data.result.id);
				this.$router.push("/viewmain");
			   }else if(resp.data.code==201){
				   this.$message({message:resp.data.desc,type:'warning'});
				   return;
			   }else if(resp.data.code==500){
				   this.$message({message:resp.data.desc,type:'warning'});
				   return;
			   }
		   });

二.从会话中获得信息显示在浏览器:

		        <span>{{form.user_name}}</span>

 export default{
	 data(){
		 return{
			 form:{
			 	user_name:"",
			 }
		 }
	 },
	 methods:{
	 },
	 mounted(){
		this.form.user_name=sessionStorage.getItem("name");
	 }
 }

三.路由导航卫士:

为了防止未登录便进入到主菜单等vue,我们需要路由导航卫士检测如果会话中没有保存登陆账户说明没有登录上,所以不可以进入到除login组件以外的组件。0

//每发生一次路由跳转时,自动触发beforeEach()
rout.beforeEach((to,from,next)=>{
	if(to.path=='/login'){	//如果访问登陆组件,不需要任何判断,直接放行
		return next();
	}else{
		var account=window.sessionStorage.getItem("account");
		if(account==null){	//用户信息为空,说明用户没有登录
			return next("/login");
		}else{	//说明用户以及登录
			next();
		}
	}
})
刘zy_9527
关注
前后端交互如何确保数据安全性?
独行侠的守望の博客
06-29 2570
前言 前后端分离的开发方式,我们以接口为标准来进行推动,定义好接口,各自开发自己的功能,最后进行联调整合。无论是开发原生的APP还是webapp还是PC端的软件,只要是前后端分离的模式,就避免不了调用后端提供的接口来进行业务交互。 网页或者app,只要抓下包就可以清楚的知道这个请求获取到的数据,这样的接口对爬虫工程师来说是一种福音,要抓你的数据简直轻而易举。 数据的安全性非常重要,特别是用户相关的信息,稍有不慎就会被不法分子盗用,所以我们对这块要非常重视,容不得马虎。 如何保证API调用时数据的安全
前后端安全规范
06-12
公司内部使用的安全文档,喜欢的同学可以下载去看看,还是值得研究的。
SpringBoot 如何保证接口安全?(后端API防篡改)
最新发布
weixin_43133237的博客
07-22 1549
因为一次正常的HTTP请求,从发出到达服务器一般都不会超过60s,所以服务器收到HTTP请求之后,首先判断时间戳参数与当前时间比较,是否超过了60s,如果超过了则认为是非法请求。这种方案nonce和timestamp参数都作为签名的一部分传到后端,基于timestamp方案可以让黑客只能在60s内进行重放攻击,加上nonce随机数以后可以保证接口只能被调用一次,可以很好的解决重放攻击问题。步骤2:服务端接收到客户端的请求,然后使用约定好的秘钥对请求的参数再次进行签名,得到签名值sign2。
前后端安全总集
大鸡腿的博客
12-23 501
xss    跨站脚本攻击  反射型--url带代码     存储型--存储到DB,攻击 转义     html  &lt; 转义&amp;lt   &gt;转义&amp;gt "转义&amp;quot;  '转义&amp;apos; 富文本     过滤     黑名单:&lt;script&gt;     白名单:保留部分标签 后端拦截器 CSRF    跨站请求伪造 cookie保存用...
前后端安全
weixin_30568715的博客
10-11 127
一、xss 攻击 1、url注入脚本攻击 http://localhost:8087/?from=%3Cscript%3Ealert(1)%3C/script%3Eare%20you%20ok?? 2、存储型xss攻击 在动态生成的html中进行script注入,如留言版等注意在图片属性编辑的时候添加onerror可以执行脚本语言 <!--在执行的时候就会弹出1,那么同...
前后端数据安全问题参考
小印丶的笔记
09-30 165
C#: public int AddCart(string cityname, string count) { int int01 = -1; try { int01 = Convert.ToInt32(count); } catch (Exception) { // 返给前端的状态码 HttpContext.Response.StatusCode = 205;
thinkphp+jwt实现前后端分离
03-15
在现代Web开发中,前后端分离是一种常见的架构模式,它提高了开发效率,增强了系统的可维护性和可扩展性。本项目是基于Thinkphp6框架和JWT(Json Web Token)技术实现的前后端分离示例,旨在帮助开发者理解如何在...
SpringBoot + Shiro实现前后端全分离接口安全框架
09-02
SpringBoot与Shiro的结合为开发者提供了一个高效、便捷的实现前后端全分离接口安全的框架。本文将深入探讨如何利用这两个强大的工具构建安全的Web服务。 首先,SpringBoot是Spring框架的一个轻量级版本,它简化了...
SpringBoot集成WebSocket实现前后端消息互传的方法
08-25
在SpringBoot集成WebSocket实现前后端消息互传的方法中,需要注意的一些问题,例如WebSocket的协议升级、长连接的维护、数据传输的加密等问题。在实现时需要详细考察这些问题,确保系统的安全和稳定。 SpringBoot...
超级简单的酒店管理系统 运用eclipse 前后端交接 Navicat连接数据库
03-16
本项目以“超级简单的酒店管理系统”为主题,运用Eclipse作为开发工具,实现前后端的数据交互,并通过Navicat进行数据库连接与管理,旨在提供一个基础但实用的解决方案。 1. **Eclipse前后端交互**: Eclipse是一...
C#MVC控制器前后端传值
03-11
在C# MVC(Model-View-Controller)框架中,...总结,C# MVC控制器在前后端数据传递中扮演了关键角色,通过各种机制确保数据在正确的时间和地点被正确处理。理解并熟练掌握这些技巧,将有助于构建高效、安全的Web应用。
Web安全前后端基础
Greedy Hat的博客
08-02 1723
Web安全前后端基础
(转)前后端交互如何保证数据安全
jackyrongvip的专栏
12-12 2117
前言 web与后端,andorid与后端,ios与后端,像这种类型的交互其实就属于典型的前端与后端进行交互。在与B端用户进行交互的过程中,我们通常忽略了其安全性(甚至从未考虑安全性)。比如,请求和响应数据的明文传输,对接口并没有做严格的身份校验。如果我们还是按照这种思路去做C端用户的交互,那么等待着必将是血淋淋的教训。接下来,我带领大家如何在与C端用户安全的进行交互。 保证安全性的几...
SpringBoot 如何保证接口安全?老鸟们都是这么玩的!
m0_71777195的博客
02-02 1266
因为一次正常的HTTP请求,从发出到达服务器一般都不会超过60s,所以服务器收到HTTP请求之后,首先判断时间戳参数与当前时间比较,是否超过了60s,如果超过了则认为是非法请求。这种方案nonce和timestamp参数都作为签名的一部分传到后端,基于timestamp方案可以让黑客只能在60s内进行重放攻击,加上nonce随机数以后可以保证接口只能被调用一次,可以很好的解决重放攻击问题。我们知道http 是一种无状态的协议,服务端并不知道客户端发送的请求是否合法,也并不知道请求中的参数是否正确。
实现前后端分离,保障安全性:探索Spring Security与JSON交互的最佳实践
Reische的博客
11-10 592
我们知道,当用户登录时,用户名或者密码输入错误,我们一般只给一个模糊的提示,即「用户名或者密码输入错误,请重新输入」,而不会给一个明确的诸如“用户名输入错误”或“密码输入错误”这样精确的提示,但是对于很多不懂行的新手小伙伴,他可能就会给一个明确的错误提示,这会给系统带来风险。但是在前后端分离中,这个逻辑明显是有问题的,如果用户没有登录就访问一个需要认证后才能访问的页面,这个时候,我们不应该让用户重定向到登录页面,而是给用户一个尚未登录的提示,前端收到提示之后,再自行决定页面跳转。官方这样做的好处是什么呢?
前后端分离 , 如何保证接口安全性 ?
热门推荐
沈光阳的博客
01-23 1万+
1. 完整的代码 前端vue代码 后端java代码 2. Api有哪些安全问题?http接口—前后端分离mvvm 3. Token授权机制 用户使用用户名密码登录后服务器给客户端返回一个Token(通常是UUID),并将Token-UserId以键值对的形式存放在缓存服务器中。服务端接收到请求后进行Token验证,如果Token不存在,说明请求无效。 4. 时间戳超时机制 时间戳,是客户端调用接口时对应的当前时间戳,时间戳用于防止DoS攻击。当黑客劫持了请求的url去DoS攻击,每次调用接口时接口都会判
前后端通信安全RSA+AES混合加密
weixin_43120962的博客
11-16 3764
前后端安全通信一直是头疼的问题,如何保证前后端安全通信?读完这偏文章教你学会前后端安全通信。
前后端API接口安全问题,防止抓包恶意请求
songziqi_的博客
09-17 4226
API接口恶意请求问题 抓包
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值