SpringSecurity认证添加pom.xml依赖,实现MP代码生成,创建配置Controller,自定义MD5加密,BCryptPasswordEncoder密码编码器,以及CSRF防御

最新推荐文章于 2024-04-28 18:00:26 发布
最新推荐文章于 2024-04-28 18:00:26 发布
阅读量1.1k 收藏 28
点赞数 26
分类专栏: SpringSecurity专栏 文章标签: intellij-idea mybatis mybatis-plus SpringSecurity java spring spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_73126462/article/details/135759968
版权

目录

1.前期准备

1.1.添加pom.xml依赖

1.2.配置application.yml

1.3.导入相关数据表

1.4.实现MP代码生成

2.SpringSecurity之认证

2.1.导入依赖

2.2.创建登录页及首页

2.3.创建配置Controller

2.4.用户认证

2.4.1.用户对象UserDetails

2.4.2.业务对象UserDetailsService

2.4.3.SecurityConfig配置

2.5.启动测试

3.密码方式

3.1.自定义MD5加密

3.2.BCryptPasswordEncoder密码编码器

4.RememberMe

5.CSRF防御

5.1.什么是CSRF

5.2.SpringSecurity中如何使用CSRF

1.前期准备

基于Spring Initializr创建SpringBoot项目(基于SpringBoot 2.7.12版本),实现与MyBatisPlus的项目整合。分别导入:CodeGeneratorMyBatisPlusConfig

CodeGenerator:用于MybatisPlus代码生成; MyBatisPlusConfigMyBatisPlus配置类,实现了分页和乐观锁相关配置。

1.1.添加pom.xml依赖

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-freemarker</artifactId>
</dependency>
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-web</artifactId>
</dependency>
<dependency>
    <groupId>mysql</groupId>
    <artifactId>mysql-connector-java</artifactId>
    <scope>runtime</scope>
    <version>5.1.44</version>
</dependency>
<dependency>
    <groupId>org.projectlombok</groupId>
    <artifactId>lombok</artifactId>
    <optional>true</optional>
</dependency>
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-test</artifactId>
    <scope>test</scope>
</dependency>
<dependency>
    <groupId>com.baomidou</groupId>
    <artifactId>mybatis-plus-boot-starter</artifactId>
    <version>3.5.2</version>
</dependency>
<dependency>
    <groupId>com.baomidou</groupId>
    <artifactId>mybatis-plus-generator</artifactId>
    <version>3.5.2</version>
</dependency>
<dependency>
    <groupId>com.alibaba</groupId>
    <artifactId>fastjson</artifactId>
    <version>2.0.32</version>
</dependency>

1.2.配置application.yml

spring:
  datasource:
    type: com.zaxxer.hikari.HikariDataSource
    driver-class-name: com.mysql.jdbc.Driver
    username: root
    password: 1234
    url: jdbc:mysql://localhost:3306/vue?useUnicode=true&characterEncoding=utf8&useSSL=false
  freemarker:
    enabled: true
    suffix: .ftl
    template-loader-path: classpath:/templates/
mybatis-plus:
  # Mybatis Mapper所对应的XML位置
  mapper-locations: classpath:mapper/*.xml
  # 别名包扫描路径
  type-aliases-package: com.zking.spbootauthc.model
  # 是否开启自动驼峰命名规则(camel case)映射
  configuration:
    map-underscore-to-camel-case: true
  global-config:
    db-config:
      logic-delete-field: deleted # 全局逻辑删除的实体字段名
      logic-delete-value: 1       # 逻辑已删除值(默认为 1)
      logic-not-delete-value: 0   # 逻辑未删除值(默认为 0)
logging:
  level:
    com.zking.spbootauthc.mapper: debug

修改数据库相关账号、密码及数据库名。

1.3.导入相关数据表

将课件资料中的sql/db.sql导入到数据库中。

表名说明
sys_user用户信息表
sys_role角色信息表
sys_module模块信息表(权限信息表)
sys_user_role用户角色表
sys_role_module角色模块表

表之间的关系说明:

1.4.实现MP代码生成

直接运行CodeGenerator.java类,生成sys_开头的相关信息表。

2.SpringSecurity之认证

2.1.导入依赖

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

2.2.创建登录页及首页

基于freemarker模板引擎创建登录页login.ftl和首页index.ftl

login.ftl首页部分代码如下:

<h1>用户登录</h1>
<form action="/user/userLogin" method="post">
    <label>账号:</label><input type="text" name="username"/><br/>
    <label>密码:</label><input type="password" name="password"/><br/>
    <input type="submit" value="登 录"/>
</form>

index.ftl代码如下:

<h1>首页</h1>
<div style="position: absolute;top:15px;right:15px;"><a href="/logout">安全退出</a></div>

href="/logout"SpringSecurity配置的退出请求路径。主要完成以下几个操作:

  1. 清除指定 CookieCookieClearingLogoutHandler#logout

  2. 清除 remember-mePersistentTokenBasedRememberMeServices#logout

  3. 使当前 Session无效,清空当前的 SecurityContext 中认证用户信息 Authentication

2.3.创建配置Controller

创建IndexController配置跳转首页和登录页的接口。

@Controller
public class IndexController {
​
    @RequestMapping("/")
    public String toLogin(){
        return "login";
    }
​
    @RequestMapping("/index")
    public String toIndex(){
        return "index";
    }
}

UserController中配置请求登录接口:

@RestController
@RequestMapping("/user")
public class UserController {
​
    @RequestMapping("/userLogin")
    public String userLogin(User user){
        return "login";
    }
}

2.4.用户认证

2.4.1.用户对象UserDetails

修改User并实现UserDetails

@Getter
@Setter
@TableName("sys_user")
public class User implements Serializable, UserDetails {
    ...
​
    /**
     * 用户权限集合
     * @return
     */
    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        return null;
    }
​
    /**
     * 用户没过期返回true,反之则false
     */
    @Override
    public boolean isAccountNonExpired() {
        return true;
    }
    /**
     * 用户没锁定返回true,反之则false
     */
    @Override
    public boolean isAccountNonLocked() {
        return true;
    }
    /**
     * 用户凭据(通常为密码)没过期返回true,反之则false
     */
    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }
    /**
     * 用户是启用状态返回true,反之则false
     */
    @Override
    public boolean isEnabled() {
        return true;
    }
}

UserDetails是Spring Security框架中的一个接口,它代表了应用程序中的用户信息。UserDetails接口定义了一组方法,用于获取用户的用户名、密码、角色和权限等信息,以便Spring Security可以使用这些信息进行身份验证和授权。

以下是UserDetails接口中定义的方法:

  • getUsername():获取用户的用户名。

  • getPassword():获取用户的密码。

  • getAuthorities():获取用户的角色和权限信息。

  • isEnabled():判断用户是否可用。

  • isAccountNonExpired():判断用户的账号是否过期。

  • isAccountNonLocked():判断用户的账号是否被锁定。

  • isCredentialsNonExpired():判断用户的凭证是否过期。

自定义用户信息时,可以实现UserDetails接口并覆盖其中的方法来提供自己的用户信息。

2.4.2.业务对象UserDetailsService

修改UserServiceImpl并实现UserDetailsService,重写loadUserByUsername(String username)方法。

@Service
public class UserServiceImpl extends ServiceImpl<UserMapper, User>
            implements UserService,UserDetailsService {
​
    /**
     * 实现Spring Security内置的UserDetailService接口,重写loadUserByUsername方法实现数据库的身份校验
     * @param username
     * @return
     * @throws UsernameNotFoundException
     */
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        //根据用户名查询数据库中用户信息
        User user = this.getOne(new QueryWrapper<User>().eq("username", username));
        //判断用户是否存在
        if(Objects.isNull(user))
            throw new UsernameNotFoundException("用户不存在");
        //权限校验TODO,后续讲解
        return user;
    }
}

UserDetailsService是Spring Security中的一个接口,它用于从特定数据源(如数据库)中获取用户详细信息,以进行身份验证和授权。实现该接口的类需要实现loadUserByUsername方法,该方法根据给定的用户名返回一个UserDetails对象,该对象包含有关用户的详细信息,例如密码、角色和权限等。在Spring Security中,UserDetailsService通常与DaoAuthenticationProvider一起使用,后者是一个身份验证提供程序,用于验证用户的凭据。

2.4.3.SecurityConfig配置

创建WebSecurityConfig配置类,配置SpringSecurity结合数据库方式进行身份认证和权限鉴定。

@Configuration
@EnableWebSecurity
public class WebSecurityConfig {
​
    /**
     * 基于数据库方式进行身份认证和权限鉴定
     */
    @Autowired
    private UserDetailsService userDetailsService;
    
    /**
     * 配置密码编码器,首次采用明文密码方式进行比对校验
     */
    @Bean
    public PasswordEncoder passwordEncoder(){
        return NoOpPasswordEncoder.getInstance();
    }
    
     /**
     * 获取AuthenticationManager(认证管理器),登录时认证使用(基于数据库方式)
     * @param
     * @return
     * @throws Exception
     */
    @Bean
    public AuthenticationManager authenticationManager() throws Exception {
        //创建DaoAuthenticationProvider
        DaoAuthenticationProvider provider=new DaoAuthenticationProvider();
        //设置userDetailsService,基于数据库方式进行身份认证
        provider.setUserDetailsService(userDetailsService);
        //配置密码编码器
        provider.setPasswordEncoder(passwordEncoder());
        return new ProviderManager(provider);
    }
    
    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
​
        http.authorizeRequests()
                .antMatchers("/").permitAll()
                .anyRequest().authenticated()
            .and()
                .formLogin()
                .loginPage("/")
                .loginProcessingUrl("/user/userLogin")
                .passwordParameter("password")
                .usernameParameter("username")
                // 认证成功 redirect跳转,根据上一保存请求进行成功跳转
                .defaultSuccessUrl("/index")
                // 认证成功 forward跳转,始终在认证成功之后跳转到指定请求
//                .successForwardUrl("/index")
//                .failureForwardUrl("/")
               /* .successHandler((request, response, exception)->{
                    response.sendRedirect("/index");
                })*/
                .failureHandler((request, response, exception) -> {
                    request.setAttribute("msg",exception.getMessage());
                    request.getRequestDispatcher("/").forward(request,response);
                })
            .and()
                .logout()
                .logoutUrl("/logout")
                .logoutSuccessUrl("/")
            .and()
                .csrf().disable()
                ;
        return http.build();
    }
}

这里需要注意的是formLogin认证失败后将不在使用failureForwardUrl()方法转发,而是使用failureHandler处理器方式处理错误信息并跳转页面。

  • 如果使用failureForwardUrl()方式,请到ForwardAuthenticationFailureHandler源码中查看错误信息封装:

SpringSecurity将认证错误信息保存到Request作用域中,并取名为SPRING_SECURITY_LAST_EXCEPTION,所以直接可以到前端页面使用${SPRING_SECURITY_LAST_EXCEPTION}方式进行获取展示。

  • 如果使用failureHandler处理器方式,则可以自定义错误页面及错误信息:

.failureHandler((request, response, exception) -> {
    //将认证错误信息保存到request作用域,取名为msg
    request.setAttribute("msg",exception.getMessage());
    //认证失败后转发到指定页面
    request.getRequestDispatcher("/").forward(request,response);
})

本次案例使用的是自定义failureHandler处理器方式,修改登录页面login.ftl加入错误信息展示区域:

<div>${msg!}</div>

2.5.启动测试

在sys_user表中添加测试用户信息,此处请使用明文密码方式进行身份验证。

修改IndexController中的跳转到首页的方法,加入获取SpringSecurity认证信息并带入前段页面进行展示。

@RequestMapping("/index")
public String toIndex(Model model){
    //获取Spring Security认证成功后的相关信息
    Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
    //将认证信息转换成JSON数据
    String json = JSON.toJSONString(authentication);
    //存入数据模型中带入前端页面进行展示
    model.addAttribute("auth",json);
    return "index";
}
启动项目并
进行登录测试。

index.ftl首页中通过${auth}展示SpringSecurity认证成功的相关信息。

3.密码方式

Spring Security提供了多种密码加密方式,大致可以归类于以下几种:

  • 对密码进行明文处理,即不采用任何加密方式;

  • 采用MD5加密方式;

  • 采用哈希算法加密方式;

3.1.自定义MD5加密

创建自定义MD5加密类并实现PasswordEncoder

public class CustomMd5PasswordEncoder implements PasswordEncoder {
    @Override
    public String encode(CharSequence rawPassword) {
        //对密码进行 md5 加密
        String md5Password = DigestUtils.md5DigestAsHex(rawPassword.toString().getBytes());
        System.out.println(md5Password);
        return md5Password;
    }
​
    @Override
    public boolean matches(CharSequence rawPassword, String encodedPassword) {
        // 通过md5校验
        System.out.println(rawPassword);
        System.out.println(encodedPassword);
        return encode(rawPassword).equals(encodedPassword);
    }
}

修改SecurityConfig配置类,更换密码编码器:

@Bean
public PasswordEncoder passwordEncoder(){
    // 自定义MD5加密方式:
    return new CustomMd5PasswordEncoder();
}

数据库中的用户密码也需要更换成对应自定义MD5加密密码:

//MD5自定义加密方式:
String pwd =  DigestUtils.md5DigestAsHex("123456".getBytes());
System.out.println(pwd);

最后,将生成的MD5加密密码保存到数据库表中。

3.2.BCryptPasswordEncoder密码编码器

BCryptPasswordEncoderSpring Security中一种基于bcrypt算法的密码加密方式。bcrypt算法是一种密码哈希函数,具有防止彩虹表攻击的优点,因此安全性较高。

使用BCryptPasswordEncoder进行密码加密时,可以指定一个随机生成的salt值,将其与原始密码一起进行哈希计算。salt值可以增加密码的安全性,因为即使两个用户使用相同的密码,由于使用不同的salt值进行哈希计算,得到的哈希值也是不同的。

Spring Security中,可以通过在SecurityConfig配置类中添加以下代码来使用BCryptPasswordEncoder进行密码加密:

@Bean
public PasswordEncoder passwordEncoder() {
    return new BCryptPasswordEncoder();
}

这样就可以在Spring Security中使用BCryptPasswordEncoder进行密码加密了。

4.RememberMe

在实际开发中,为了用户登录方便常常会启用记住我(Remember-Me)功能。如果用户登录时勾选了“记住我”选项,那么在一段有效时间内,会默认自动登录,免去再次输入用户名、密码等登录操作。该功能的实现机理是根据用户登录信息生成 Token 并保存在用户浏览器的 Cookie 中,当用户需要再次登录时,自动实现校验并建立登录态的一种机制。

Spring Security提供了两种 Remember-Me 的实现方式:

  • 简单加密 Token:用散列算法加密用户必要的登录系信息并生成 Token 令牌。

  • 持久化 Token:数据库等持久性数据存储机制用的持久化 Token 令牌。

基于持久化Token配置步骤如下:

  • 创建数据库表 persistent_logins,用于存储自动登录信息

CREATE TABLE `persistent_logins` (
  `username` varchar(64) NOT NULL,
  `series` varchar(64) PRIMARY KEY,
  `token` varchar(64) NOT NULL,
  `last_used` timestamp NOT NULL
);

该步骤可以不做,在后续的配置过程中可以交由SpringSecurity自动生成。

  • 基于持久化Token配置,修改SecurityConfig配置类:

Remember-Me 功能的开启需要在configure(HttpSecurity http)方法中通过http.rememberMe()配置,该配置主要会在过滤器链中添加 RememberMeAuthenticationFilter 过滤器,通过该过滤器实现自动登录。

@Configuration
@EnableWebSecurity
public class WebSecurityConfig {
​
    //省略其他配置,参考之前
    
    @Autowired
    public UserDetailsService userDetailsService;
    
    @Resource
    public DataSource dataSource;
    
    /**
     * 配置持久化Token方式,注意tokenRepository.setCreateTableOnStartup()配置
     */
    @Bean
    public PersistentTokenRepository persistentTokenRepository(){
        JdbcTokenRepositoryImpl tokenRepository = new JdbcTokenRepositoryImpl();
        tokenRepository.setDataSource(dataSource);
        // 设置为true要保障数据库该表不存在,不然会报异常哦
        // 所以第二次打开服务器应用程序的时候得把它设为false
        tokenRepository.setCreateTableOnStartup(false);
        return tokenRepository;
    }
    
     @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
​
        http.authorizeRequests()
                .antMatchers("/").permitAll()
                .anyRequest().authenticated()
            .and()
                .formLogin()
                .loginPage("/")
                .loginProcessingUrl("/user/userLogin")
                .passwordParameter("password")
                .usernameParameter("username")
                // 认证成功 redirect跳转,根据上一保存请求进行成功跳转
                .defaultSuccessUrl("/index")
                // 认证成功 forward跳转,始终在认证成功之后跳转到指定请求
                //.successForwardUrl("/index")
                //failureForwardUrl("/")
                /*.successHandler((request, response, exception)->{
                    response.sendRedirect("/index");
                })*/
                .failureHandler((request, response, exception) -> {
                    request.setAttribute("msg",exception.getMessage());
                    request.getRequestDispatcher("/").forward(request,response);
                })
            .and()
                .rememberMe()
                // 指定 rememberMe 的参数名,用于在表单中携带 rememberMe 的值。
                //.rememberMeParameter("remember-me")
                // 指定 rememberMe 的有效期,单位为秒,默认2周。
                .tokenValiditySeconds(30)
                // 指定 rememberMe 的 cookie 名称。
                .rememberMeCookieName("remember-me-cookie")
                // 指定 rememberMe 的 token 存储方式,可以使用默认的 PersistentTokenRepository 或自定义的实现。
                .tokenRepository(persistentTokenRepository())
                // 指定 rememberMe 的认证方式,需要实现 UserDetailsService 接口,并在其中查询用户信息。
                .userDetailsService(userDetailsService)
            .and()
                .logout()
                .logoutUrl("/logout")
                .logoutSuccessUrl("/")
            .and()
                .csrf().disable()
                ;
        return http.build();
    }
}

rememberMe主要方法介绍:

方法说明
rememberMeParameter()指定在登录时“记住我”的 HTTP 参数,默认为 remember-me
tokenValiditySeconds()设置 Token 有效期为 200s,默认时长为 2 星期
tokenRepository()指定 rememberMe 的 token 存储方式,可以使用默认的 PersistentTokenRepository 或自定义的实现
userDetailsService()指定 UserDetailsService 对象
rememberMeCookieName()指定 rememberMecookie 名称

  • 修改登录页面login.ftl,添加remember-Me记住我的checkbox选项框。

<form action="/user/userLogin" method="post">
    <label>账号:</label><input type="text" name="username"/><br/>
    <label>密码:</label><input type="password" name="password"/><br/>
    <input type="checkbox" name="remember-me"/>记住我<br/>
    <input type="submit" value="登 录"/>
</form>

注意:配置的checkbox复选框的name属性名要与上面配置的rememberMeParameter("属性名")一致,默认就叫remember-me

总结:remember-me 只有在 JSESSIONID 失效和SecurityContextPersistenceFilter 过滤器认证失败或者未进行认证时才发挥作用。此时,只要 remember-meCookie 不过期,我们就不需要填写登录表单,就能实现再次登录,并且 remember-me 自动登录成功之后,会生成新的 Token 替换旧的 Token,相应 CookieMax-Age 也会重置。

5.CSRF防御

5.1.什么是CSRF

CSRFCross-Site Request Forgery,跨站请求伪造)是一种利用用户已登录的身份在用户不知情的情况下发送恶意请求的攻击方式。攻击者可以通过构造恶意链接或者伪造表单提交等方式,让用户在不知情的情况下执行某些操作,例如修改密码、转账、发表评论等。

为了防范CSRF攻击,常见的做法是在请求中添加一个CSRF Token(也叫做同步令牌、防伪标志),并在服务器端进行验证。CSRF Token是一个随机生成的字符串,每次请求都会随着请求一起发送到服务器端,服务器端会对这个Token进行验证,如果Token不正确,则拒绝执行请求。

5.2.SpringSecurity中如何使用CSRF

Spring Security中,防范CSRF攻击可以通过启用CSRF保护来实现。启用CSRF保护后,Spring Security会自动在每个表单中添加一个隐藏的CSRF Token字段,并在服务器端进行验证。如果Token验证失败,则会抛出异常,从而拒绝执行请求。启用CSRF保护的方式是在Spring Security配置文件中添加.csrf()方法,例如:

http
    .csrf()
        .csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse());

在上面的配置中,我们使用了CookieCsrfTokenRepository作为CSRF Token的存储方式,并设置了httpOnlyfalse,以便在客户端可以访问到该Token

.csrf()主要方法介绍:

方法说明
disable()关闭CSRF防御
csrfTokenRepository()设置CookieCsrfTokenRepository实例,用于存储和检索CSRF令牌。与HttpSessionCsrfTokenRepository不同,CookieCsrfTokenRepositoryCSRF令牌存储在cookie中,而不是在会话中。
ignoringAntMatchers()设置一组Ant模式,用于忽略某些请求的CSRF保护。例如,如果您想要忽略所有以/api/开头的请求,可以使用.ignoringAntMatchers("/api/**")
csrfTokenManager()设置CsrfTokenManager实例,用于管理CSRF令牌的生成和验证。默认情况下,Spring Security使用DefaultCsrfTokenManager实例来生成和验证CSRF令牌。
requireCsrfProtectionMatcher()设置RequestMatcher实例,用于确定哪些请求需要进行CSRF保护。默认情况下,Spring Security将对所有非GET、HEAD、OPTIONS和TRACE请求进行CSRF保护。

重启项目进行测试。

  • 问题一:开启了SpringSecurityCSRF防御之后导致登录的POST请求失败?

原因分析:使用了 spring-security 后,默认开启了防止跨域攻击的功能,任何 POST 提交到后台的表单都要验证是否带有 _csrf 参数,一旦传来的 _csrf 参数不正确,服务器便返回 403 错误。

解决方案:修改login.ftl页面代码,加入_csrf隐藏域。

<form action="/user/userLogin" method="post">
    <input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}"/>
    <label>账号:</label><input type="text" name="username"/><br/>
    <label>密码:</label><input type="password" name="password"/><br/>
    <input type="checkbox" name="remember-me"/>记住我<br/>
    <input type="submit" value="登 录"/>
</form>

如果针对一些特定的请求接口,不需要进行CSRF防御,可以通过以下配置忽略:

http.csrf().ignoringAntMatchers("/upload"); // 禁用/upload接口的CSRF防御

  • 问题二:SpringSecurity退出登录/logout提示404问题

退出登录logout实现方式:

http.logout().logoutUrl("/logout").
                logoutSuccessUrl("/").permitAll();

结果运行项目,执行安全退出时提示页面404错误。

错误原因:SpringSecurity3.2开始,默认会启动CSRF防护,一旦启动了CSRF防护,“/logout” 需要用post的方式提交,SpringSecurity才能过滤。

  • 方式一:配置文件直接关闭CSRF防护

http.csrf().disable();  //关闭csrf防护

注意:当关闭CSRF防护时,部分的页面可能会无法刷新,甚至报错。这时可以在页面的<header>标签之间加入以下代码:

<meta name="_csrf" content="${_csrf.token}"/>
<meta name="_csrf_header" content="${_csrf.headerName}"/>

  • 方式二:官方建议使用POST请求退出登陆,并携带CRSF令牌

http.logout().logoutRequestMatcher(new AntPathRequestMatcher("/logout")).
                logoutSuccessUrl("/").permitAll();

瑶大头*^_^*
关注
  • 26
    点赞
  • 28
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
SpringSecurity的防Csrf攻击实现代码解析
08-24
主要介绍了SpringSecurity的防Csrf攻击实现代码解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
spring security CSRF防护的示例代码
08-26
主要介绍了spring security CSRF防护的示例代码,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
BCryptPasswordEncoder加密
superxmh的博客
07-05 2万+
一. BCryptPasswordEncoder介绍 BCryptPasswordEncoder是Spring Security中的一个加密方法。BCryptPasswordEncoder方法采用了SHA-256+随机盐+密钥对密码进行加密。 SHA:安全Hash函数(SHA)是使用最广泛的Hash函数 加密算法与hash算法的区别: 加密算法是可逆的,加密算法的基本过程是对原来为明文的数据按某种算法进行处理,使其成为不可读的一段代码为“密文”,但在用相应的密钥进行操作之后就可以得到原来的内容。..
SpringSecurity中的密码加密算法:BCryptPasswordEncoder的使用及原理
Chafferexb的博客
10-16 1694
代码很长,但是真正关键的代码在上面第 43 、44 和 51 行的位置处,43 行处获取真正的 salt ,44 行是使用 base64 进行解码,然后 51 行用 密码、salt 进行处理。这里只有一行代码,但是代码中同样调用了前面的 hashpw 这个方法,传入的参数是 plaintext 和 hashed,plaintext 是我们的密码,即 “123456”, hashed 是加密后的密码。运行上面的代码,查看输出。虽然上面代码很长,其实真正关键的就只有上面我提到的几句,其余的部分不用看。
BCryptPasswordEncoder是什么如何使用(加解密)
最新发布
简单发点工作中用到的,或者记录下小知识点
04-28 1263
我会了!我懂了!!!!BCryptPasswordEncoder加解密,例如用户密码
Spring Security 快速入门
快乐的小三菊的博客
12-13 438
Spring Security 快速入门
SpringSecurity小结
weixin_44226752的博客
07-14 207
认证(Authentication)和授权(Authorization) 认证(Authentication):验证某个用户是否是系统中的合法主体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码,系统通过校验用户名和密码来完成认证过程。 授权(Authorization):发生在认证之后,指的是验证某个用户是否有权限执行某个操作。在一个系统中,不同用户所具有的权限是不同的。比如对于一个文件来说,有的用户只能读取 ,有的用户可以修改。一般来说,系统会为不同的用户分配不同的角色,每个角色会对
密码加密-BCryptPasswordEncoder
liangjiayy的博客
06-13 2120
密码加密-BCryptPasswordEncoder
SpringSecurity框架下实现CSRF跨站攻击防御的方法
08-25
CSRF是一种网络攻击方式,也可以说是一种安全漏洞,这种安全漏洞在web开发中广泛存在。这篇文章主要介绍了SpringSecurity框架下实现CSRF跨站攻击防御,需要的朋友可以参考下
spring_security_management.zip
02-03
认证用户的过程:进入认证页面-->输入用户名和密码-->CSRF-->查询存储的用户数据(用户名、密码以及角色信息)-->认证完成 进行实践的项目源代码。
spring security中的csrf防御原理(跨域请求伪造)
08-25
主要介绍了spring security中的csrf防御机制原理解析(跨域请求伪造),本文通过实例代码详解的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
RSA非对称加密+BCryptPasswordEncoder+DES可逆加密+logback日志脱敏
の博客
03-17 105
Hash算法没有固定的公式,只要符合散列思想的算法都可以被称为Hash算法(SHA1,SHA2,MD5)。简单的说就是一种将任意长度的消息压缩到某一固定长度的消息摘要的函数。这种转换是一种压缩映射,也就是,散列值的空间通常远小于输入的空间,不同的输入可能会散列成相。2、得到解密后的明文后用A的公钥(PUB_A)解签A用A自己的私钥(PRI_A)的签名。1、用自己的私钥(PRI_B)解密A用B的公钥(PUB_B)加密的内容;1、A先用自己的私钥(PRI_A)对信息(一般是信息的摘要)进行签名。
spring security——基本介绍(一)
热门推荐
随笔记
01-16 40万+
一、spring security 简介 spring security 的核心功能主要包括: 认证 (你是谁) 授权 (你能干什么) 攻击防护 (防止伪造身份) 其核心就是一组过滤器链,项目启动后将会自动配置。最核心的就是 Basic Authentication Filter 用来认证用户的身份,一个在spring security中一种过滤器处理一种认证方式...
MP代码自动生成器
酷小亚
08-19 427
MP代码自动生成器。
Spring Boot+Security使用BCryptPasswordEncoder加密用户登录密码
雨云21的博客
01-11 8620
BCryptPasswordEncoder的具体介绍我就不多说了,网上到处都是,比如这个: BCryptPasswordEncoder加密、验证策略 我这里就是记录一下怎么用。 因为它是基于Security的,所以在使用之前,需要在pom.xml导入依赖: <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-securi
Spring bootSpring Security 使用改造5部曲
weixin_30919235的博客
11-17 1372
文章的内容有点长,也是自己学习Spring security的一个总结。如果你从头看到尾,我想你对Spring Security的使用和基本原理应该会有一个比较清晰的认识。 如果有什么理解不对的地方,请留言,谢谢。 一、Spring security 是什么? Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。 它提供...
spring_security安全框架详解
Benjamin
09-05 1万+
本文是在项目中用到Spring Security3来进行登录验证时才进行学习的,写的比较片面,请大家提出问题。 首先要在web.xml中配置 <context-param> <param-name>contextConfigLocation</param-name> <param-value> classpath*:/applicationContext.xml classpath*:/applicationContext-security.xml <!--classpath*:/applicationC
springsecurity整合jwt实现登录认证代码示例
06-09
好的,以下是一个简单的 Spring Security 整合 JWT 实现登录认证的代码示例: 首先,需要添加以下依赖: ```xml <groupId>io.jsonwebtoken <artifactId>jjwt-api <version>0.11.2 <groupId>io.jsonwebtoken...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

瑶大头*^_^*

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值