Day40:安全开发-JavaEE应用&SpringBoot框架&JWT身份鉴权&打包部署JAR&WAR

最新推荐文章于 2024-04-17 10:23:43 发布
最新推荐文章于 2024-04-17 10:23:43 发布
阅读量1.6k 收藏 21
点赞数 39
分类专栏: 安全开发 文章标签: Web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61553520/article/details/136618246
版权

目录

SpringBoot-身份鉴权-JWT技术

SpringBoot-打包部署-JAR&WAR

思维导图

Java知识点

功能:数据库操作,文件操作,序列化数据,身份验证,框架开发,第三方组件使用等.

框架库:MyBatis,SpringMVC,SpringBoot,Shiro,Log4j,FastJson等

技术:Servlet,Listen,Filter,Interceptor,JWT,AOP,反射机制待补充

安全:SQL注入,RCE执行,反序列化,脆弱验证,未授权访问,待补充

安全:原生开发安全,第三方框架安全,第三方组件安全等,架构分析,待补充

SpringBoot-身份鉴权-JWT技术

JWT ( JSON  Web Token ) 是由服务端用加密算法对信息签名来保证其完整性和不可伪造;

Token里可以包含所有必要信息,这样服务端就无需保存任何关于用户或会话的信息;

JWT用于身份认证、会话维持等。由三部分组成,header、payload与signature。

参考:https://cloud.tencent.com/developer/article/2101634

Header、Payload 和 Signature 是 JSON Web Token(JWT)的三个主要组成部分。
Header(头部): JWT 的头部通常包含两部分信息:声明类型(typ)和使用的签名算法(alg)。这些信息以 JSON 格式存在,然后进行 Base64 编码,形成 JWT 的第一个部分。头部用于描述关于该 JWT 的元数据信息。
 

{
  "alg": "HS256",
  "typ": "JWT"
}

Payload(负载): JWT 的负载包含有关 JWT 主题(subject)及其它声明的信息。与头部一样,负载也是以 JSON 格式存在,然后进行 Base64 编码,形成 JWT 的第二个部分。

{
  "sub": "1234567890",
  "name": "John Doe",
  "iat": 1516239022
}

Signature(签名): JWT 的签名是由头部、负载以及一个密钥生成的用于验证 JWT 的真实性和完整性。签名是由指定的签名算法对经过 Base64 编码的头部和负载组合而成的字符串进行签名生成的。

例如,使用 HMAC SHA-256 算法生成签名:

HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret
)

最终,JWT 是由这三个部分组成的字符串,形如header.payload.signature。JWT 通常用于在网络上安全地传输信息,例如在身份验证过程中传递令牌。

创建项目引入依赖

引入依赖:

<dependency>
    <groupId>com.auth0</groupId>
    <artifactId>java-jwt</artifactId>
    <version>3.4.0</version>
</dependency>

项目目录如下:

创建JWT并配置JWT,对应目录下创建JwtController.java

package cn.xiaodi.testjwt.demos.web;

import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTVerifier;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.interfaces.DecodedJWT;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.PostMapping;
import org.springframework.web.bind.annotation.ResponseBody;


@Controller
public class JwtController {
    //模拟用户的jwt身份创建 数据的jwt加密

    @PostMapping("/jwtcreate")
    @ResponseBody
    public static String main(Integer id,String user,String pass) {
        String jwttoken = JWT.create()
                //设置创建的header部分
                //.withHeader()

                //设置创建的payload部分
                .withClaim("userid", id)
                .withClaim("username", user)
                .withClaim("password", pass)
                //设置时效(JWT过期时间)
                //.withExpiresAt()

                //创建设置的signature部分 算法和密匙
                .sign(Algorithm.HMAC256("xiaodisec"));

        System.out.println(jwttoken);
        return jwttoken;
    }


    //模拟JWT身份的检测 jwt数据解密

    @PostMapping("/jwtcheck")
    @ResponseBody
    public static String  jwtcheck(String jwtdata){
        //String jwtdata="eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJwYXNzd29yZCI6ImExMjM0NTYiLCJ1c2VyaWQiOjEsInVzZXJuYW1lIjoiYWRtaW4ifQ.nkMIxHJKyGAHa3aDtTAy5_9j51yWDTQHEL8n-dqE33w";

        //构建解密注册
        JWTVerifier jwt = JWT.require(Algorithm.HMAC256("xiaodisec")).build();

        //解密注册数据
        DecodedJWT verify = jwt.verify(jwtdata);

        //提取注册解密数据 payload部分
        Integer userid = verify.getClaim("userid").asInt();
        String username=verify.getClaim("username").asString();
        String password=verify.getClaim("password").asString();

        System.out.println(userid+username+password);
        return "admin page";


//        if(username.equals("admin")){
//            return "admin";
//        }else {
//            return "gay?";
//        }


        //攻击者要模拟使用xiaodi用户去登录




        //提取header部分
        //verify.getHeader();
        //提取sign签名部分
        //verify.getSignature();



    }

}

配置前端提交数据访问客户端页面,在resources→static→index.html创建如下的前端页面

<html>
<body>
<h1>hello word!!!</h1>
<p>this is a html page</p>

<form action="../jwtcreate" method="post">
    id:<input type="text" name="id"><br>
    user:<input type="text" name="user"><br>
    pass:<input type="text" name="pass"><br>
    <input type="submit" value="create">
</form>

<form action="../jwtcheck" method="post">
    jwtdata:<input type="text" name="jwtdata"><br>
    <input type="submit" value="check">
</form>

</body>
</html>

对应输入id,用户名,密码,点击创建得到token

在官网进行解密,在页面对应输入对应jwtdata,进行解密

跳转至解密成功页面,回显admin page

为什么说jwt是安全的?

因为token解密加密需要密钥,密钥都保存在服务端里。你可以轻易伪造出用户信息但是得不到密钥,就无法通过服务端token解密,鉴权失败。

所以很多开发者往往是密文能被解密,就认定通过。

安全问题:

 

SpringBoot-打包部署-JAR&WAR

参考:https://mp.weixin.qq.com/s/HyqVt7EMFcuKXfiejtfleg
SpringBoot项目打包在linux服务器中运行:
①jar类型项目
        jar类型项目使用SpringBoot打包插件打包时,会在打成的jar中内置tomcat的jar。
        所以使用jdk直接运行jar即可,jar项目中功能将代码放到其内置的tomcat中运行。
②war类型项目
        在打包时需要将内置的tomcat插件排除,配置servlet的依赖和修改pom.xml,
        然后将war文件放到tomcat安装目录webapps下,启动运行tomcat自动解析即可。

Jar打包运行方式:

  1. 在 IDEA 中右侧打开 Maven,点击生命周期,一般需双击 clean 清除一下缓存。
  2. 然后双击 package,等待运行完毕,目录下会多一个 target 目录
  3. 复制其中的.jar 文件到目标服务器,运行以下命令即可

报错解决:

https://blog.csdn.net/Mrzhuangr/article/details/124731024

https://blog.csdn.net/wobenqingfeng/article/details/129914639

War类型项目

1、pom.xml加入或修改:<packaging>war</packaging>

若无则直接添加,若有 packaging 但是为 jar,则修改为 war 即可
 

2、启动类里面加入配置

@SpringBootApplication
// @SpringBootApplication 注解用于标识这是一个Spring Boot应用程序的主类,它会自动扫描并加载与主类同包或子包下的组件。
public class TestJwtApplication **extends SpringBootServletInitializer** {

    public static void main(String[] args) {
        // SpringApplication.run() 用于启动Spring Boot应用程序。
        SpringApplication.run(TestJwtApplication.class, args);
    }

    **@Override
    protected SpringApplicationBuilder configure(SpringApplicationBuilder builder) {
        // configure() 方法用于配置Spring Boot应用程序的构建,主要用于支持WAR文件的部署。
        return builder.sources(TestJwtApplication.class);
    }**
}

3、maven-clean-package

4、war放置tomcat的G:\develop\apache-tomcat-9.0.27\webapps 文件夹后启动

G:\develop\apache-tomcat-9.0.27\bin运行该文件夹下的tomcat的startup.bat启动程序

JAVAEE 源码架构:无源码下载泄漏风险;源码泄漏也需反编译

无源码下载泄漏风险:网站应用是运行jar的形式,类似exe客户端

没有泄露的风险

源码泄漏也需反编译

最简单的 jar 包反编译方法:解压缩直接将 jar 包解压出来后使用 IDEA 直接打开项目,会自动反编译得到源码,不过项目里面的注释会消失。

思维导图

Dao-道法自然
关注
  • 39
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Java安全框架-Springboot整合JWT
09-19 227
文章目录1.JWT案列使用1.1.pom.xml 导入依赖1.2.生成token1.3.验证token1.4.常见的异常2.Springboot整合JWT2.1.封装JWT工具类2.2.导入依赖2.3.appliaction.properties2.4.数据库配置2.5.Dao层2.6.UserDaoMapper.xml2.7.Service层2.8. Controller层2.9 使用拦截器进行优化2.10 添加自定义拦截器到项目中2.11. 登录页面2.12. 首页页面 1.JWT案列使用 1.1.po
spring boot java jwt,Spring boot中使用jwt(示例代码)
weixin_30039311的博客
03-11 183
spring boot 使用 jwt本文旨在介绍如何在spring boot中使用jwt,不会介绍什么是jwt。一、导入依赖1. spring-boot依赖org.springframework.bootspring-boot-starter-parent2.2.6.RELEASEorg.springframework.bootspring-boot-starter-weborg.projectl...
Java - SpringBoot整合JWT
Zong_0915的博客
11-10 1091
Java - JWT的简单介绍和使用。
Springboot +JWT
justlpf的专栏
06-05 1100
参考文章:Springboot +JWT
SpringBoot集成JWT(极简版)
热门推荐
程序员青戈
09-30 1万+
话不多说,直接上代码。
JavaEE课程设计-----基于SpringBoot、Maybatis实现网上书城.zip
12-29
【标题】"JavaEE课程设计-----基于SpringBoot、Mybatis实现网上书城"是一个实践...通过这个项目,学习者不仅可以深入理解SpringBoot和Mybatis框架的用法,还能掌握完整的JavaEE应用开发流程,提升自己的实际开发能力。
spring-all:JavaEE开发颠覆者SpringBoot实战
05-13
【>>>SpringBoot<<<】 【11-SpringBoot——Spring MVC基础-常用注解>>>】 【12-SpringBoot——Spring MVC基础-常用配置>>>】 【13-SpringBoot——Spring MVC基础-高级配置-文件上传>>>】 【14-SpringBoot...
day03-常用API&异常&Collection;.pdf
08-23
1.常用API 2.异常 3.Collections 小车穿沿在蜿蜒曲折的盘山公路上
JavaEE框架应用开发教学课件 工作单元十 任务2 实现菜单新增功能.pdf
06-24
JavaEE框架应用开发教学课件 工作单元十 任务2 实现菜单新增功能.pdfJavaEE框架应用开发教学课件 工作单元十 任务2 实现菜单新增功能.pdfJavaEE框架应用开发教学课件 工作单元十 任务2 实现菜单新增功能.pdfJavaEE...
springboot中整合JWT
weixin_60376559的博客
01-31 1444
springboot使用jwt
springboot+jwt做登录鉴权(附完整代码)
qq_45821255的博客
09-06 2399
jwt做登录鉴权
SpringBoot 开发 -- JWT 认证教程
rain67的博客
09-11 3275
session最开始 我们登陆的时候,是将 对象存到session当中,每次请求的时候,取session中是否存在该对象进而判断是否通过认证。然后是 token+redis 的方式,将seesionID 作为 token,存储到redis中(token:user),并设置过期时间,同时将 token 通过响应传回给 浏览器,存储到 localstory,每次请求的时候把token放到请求的header中,查询redis一致的话,通过认证。
JWT
m0_46487331的博客
12-14 799
Author:Allen_Huang Version:1.0.0 一. JWT简介 什么是JWTJWT(JSON Web Token)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。 它将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证;应用场景如用户登录。JWT详细讲解请见 github:https://github.com/jwtk/jjwt 为什么使用JWT? 随着技术的发展,分布式web应用的普.
SpringBoot整合Shiro(Java安全框架)案例(含源码)
最新发布
2401_84048225的博客
04-17 828
在这里,由于面试中MySQL问的比较多,因此也就在此以MySQL为例为大家总结分享。但是你要学习的往往不止这一点,还有一些主流框架的使用,Spring源码的学习,Mybatis源码的学习等等都是需要掌握的,我也把这些知识点都整理起来了《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!” />在这里,由于面试中MySQL问的比较多,因此也就在此以MySQL为例为大家总结分享。
SpringBoot整合JWT
m0_71467744的博客
04-17 2093
JWT 就是上述痛点的解决方案之一,客户端在请求服务端进行登录操作时,服务端验证用户的账号和密码,验证成功后生成 token 返回给客户端,之后浏览器的每一次操作都会在请求头中带上这个 token,服务器会验证该 token 信息,验证成功后才会返回资源给浏览器。JWT 的开销非常小,可以轻松在不同的域名中传递,所以在单点登录(SSO)中用到比较广泛,信息交换在通信的双方之间使用JWT对数据进行编码是一种非常安全的方式,由于它的信息是经过签名的,可以确保发送者发送的信息是没有经过伪造的。
简单的鉴权登录-java后端实现部分(JWT令牌+拦截器Interceptor)
WWX19990724的博客
04-11 2884
拦截器的主要是基于Java的反射机制,属于面向切面编程(AOP)的一种运用,就是在Service或者一个方法前调用一个方法,或者在方法后调用一个方法,甚至在抛出异常的时候做业务逻辑的操作。拦截器的作用类似于Servlet中的Filter,都可以用于对处理器进行预处理和后处理。在Spring MVC 与Spring Boot 中使用拦截器一般是实现接口。拦截器的作用:拦截请求,在指定方法调用前后,根据业务需要执行预先设定的代码。
SpringBoot + jwt 详解+使用案例
zkcJava的博客
08-26 9170
JSON Web Token(缩写 JWT)是目前最流行的跨域认证解决方案
SpringBoot集成JWT(概念篇)
Wdoing的博客
11-01 2893
JWT的基本概念
Springboot整合SpringSecurity实现登录认证和鉴权
weixin_44068320的博客
08-12 9773
springboot整合springsecurity实现用户登录认证和鉴权
SpringBoot:简化JavaEE开发的轻量级框架
SpringBoot宝典是一份全面介绍和深度探讨Spring Boot框架的指南,Spring Boot作为Spring框架的一个重要分支,诞生于2013年,旨在解决传统Java EE开发中面临的配置繁琐、部署复杂的问题。在当时,随着技术发展,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Dao-道法自然

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值