springsecurity初体验(5.3.5官方文档)-1

最新推荐文章于 2024-07-08 11:33:03 发布
最新推荐文章于 2024-07-08 11:33:03 发布
阅读量1.7k 收藏 5
点赞数
分类专栏: spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tianyadaoke2020/article/details/107984324
版权
本文深入探讨了Spring Security的密码存储机制,包括DelegatingPasswordEncoder的使用和BCryptPasswordEncoder的配置。此外,文章讲解了Spring Security如何防止CSRF攻击,通过同步令牌模式和设置SameSite属性来增强安全性。还提到了HTTP响应头的安全性,如Content Security Policy、X-Frame-Options等,以及如何防止XSS和CSRF攻击。最后,简述了Spring Security的模块划分和启动项目的基本步骤。
摘要由CSDN通过智能技术生成

5.1.2 密码存储
PasswordEncoder,5.0之前默认的NoOpPasswordEncoder ,框架用了DelegatingPasswordEncoder模式,方便将来更新存储方式的时候不用变动框架。
创建委托:

PasswordEncoder passwordEncoder =
    PasswordEncoderFactories.createDelegatingPasswordEncoder();

创建自定义的委托:

String idForEncode = "bcrypt";
Map encoders = new HashMap<>();
encoders.put(idForEncode, new BCryptPasswordEncoder());
encoders.put("noop", NoOpPasswordEncoder.getInstance());
encoders.put("pbkdf2", new Pbkdf2PasswordEncoder());
encoders.put("scrypt", new SCryptPasswordEncoder());
encoders.put("sha256", new StandardPasswordEncoder());

PasswordEncoder passwordEncoder =
    new DelegatingPasswordEncoder(idForEncode, encoders);

DelegatingPasswordEncoder存储方式

{id}encodedPassword

举例:

{bcrypt}$2a$10$dXJ3SW6G7P50lGmMkkmwe.20cQQubK3.HZWzG3YB1tlRy.fqvM/BG 
{noop}password 
{pbkdf2}5d923b44a6d129f3ddf3e3c8d29412723dcbde72445e8ef6bf3b508fbf17fa4ed4d6b99ca763d8dc 
{scrypt}$e0801$8bWJaSu2IKSn9Z9kM+TPXfOc/9bdYSrN1oD9qfVThWEwdRTnO7re7Ei+fUZRJ68k9lTyuTeUp4of4g24hHnazw==$OAOec05+bXxvuu/1qZ6NUR+xQYvYv7BeL1QxwRpY5Pc=  
{sha256}97cde38028ad898ebc02e690819fa220e88c62e0699403e94fff291cfffaf8410849f27605abcbc0

传递给构造函数的idForEncode确定将使用哪个PasswordEncoder编码密码。 在上面我们构造的DelegatingPasswordEncoder中,这意味着编码密码的结果将委派给BCryptPasswordEncoder并以{bcrypt}为前缀。
密码匹配:
默认的调用matches(CharSequence, String)如果不传递{id}会抛出IllegalArgumentException,需要设置默认来解决,DelegatingPasswordEncoder.setDefaultPasswordEncoderForMatches(PasswordEncoder)。建议使用最新的加密算法。
简单起步,不适合生产

User user = User.withDefaultPasswordEncoder()
  .username("user")
  .password("password")
  .roles("user")
  .build();
System.out.println(user.getPassword());
// {bcrypt}$2a$10$dXJ3SW6G7P50lGmMkkmwe.20cQQubK3.HZWzG3YB1tlRy.fqvM/BG

可以复用build构建多个用户,尽管仍然会对密码进行哈希,但是不是安全的。

BCryptPasswordEncoder 设置强度

// Create an encoder with strength 16
BCryptPasswordEncoder encoder = new BCryptPasswordEncoder(16);
String result = encoder.encode("myPassword");
assertTrue(encoder.matches("myPassword", result));

SS(spring security) 默认使用 DelegatingPasswordEncoder ,但是,也可以自定义PasswordEncoder 作为一个bean。如果是老项目迁移,就可以设置一个NoOpPasswordEncoder 的bean。但还是不建议,不安全。

@Bean
public static NoOpPasswordEncoder passwordEncoder() {
   
    return NoOpPasswordEncoder.getInstance();
}

5.2 漏洞保护
尽可能多的提供了默认保护。
5.2.1 Cross Site Request Forgery (CSRF) 跨域请求伪造
例如访问了一个银行网站,没有登出,然后访问一个恶意网站,里面包含转账脚本。这是由于尽管恶意网站看不到你的cookie,但是requet中仍然包含了银行信息。甚至访问一个正常网站时候,如果该网站是XSS攻击受害者,也会发生类似事情。
CSRF攻击的可能原因是受害者网站的HTTP请求与攻击者网站的请求完全相同。为了防御CSRF攻击,我们需要确保恶意站点无法提供请求中的某些内容,以便我们区分这两个请求。
SS提供两种方式防止CSRF攻击
同步token pattern
cookie会话中指明SameSite Attribute
为了使针对CSRF的任何一种保护都起作用,应用程序必须确保“安全” HTTP方法是幂等的。这意味着使用HTTP方法GET,HEAD,OPTIONS和TRACE的请求不应更改应用程序的状态。

最主要,最全面的防御方式就是Synchronizer Token Pattern,该解决方案是为了确保每个HTTP请求除了我们的会话cookie之外,还必须在HTTP请求中包含一个安全的,随机生成的值,称为CSRF令牌。
提交HTTP请求时,服务器必须查找预期的CSRF令牌,并将其与HTTP请求中的实际CSRF令牌进行比较。如果值不匹配,则应拒绝HTTP请求。
这项工作的关键在于,实际的CSRF令牌应该位于浏览器不会自动包含的HTTP请求的一部分中。 例如,在HTTP参数或HTTP标头中要求实际的CSRF令牌将防止CSRF攻击。 在cookie中要求实际CSRF令牌不起作用,因为浏览器会自动将cookie包含在HTTP请求中。
我们不想在HTTP GET中包含随机令牌,因为这可能导致令牌泄漏。
让我们看一下使用同步令牌模式时示例将如何变化。假设实际的CSRF令牌必须位于名为_csrf的HTTP参数中。我们应用程序的转帐表格如下:

<form method="post"
    action="/transfer">
<input type="hidden"
    name="_csrf"
    value="4bfd1575-3ad1-4d21-96c7-4ef2d9f86721"/>
<input type="text"
    name="amount"/>
<input type="text"
    name="routingNumber"/>
<input type="hidden"
    name="account"/>
<input type="submit"
    value="Transfer"/>
</form>

现在,该表单包含具有CSRF令牌值的隐藏输入。外部站点无法读取CSRF令牌,因为同源策略可确保恶意站点无法读取response。相应的HTTP汇款请求如下所示:

POST /transfer HTTP/1.1
Host: bank.example.com
Cookie: JSESSIONID=randomid
Content-Type: application/x-www-form-urlencoded

amount=100.00&routingNumber=1234&account=9876&_csrf=4bfd1575-3ad1-4d21-96c7-4ef2d9f86721

您会注意到,HTTP请求现在包含带有安全随机值的_csrf参数。 恶意网站将无法为_csrf参数提供正确的值(必须在邪恶网站上明确提供),并且当服务器将实际CSRF令牌与预期CSRF令牌进行比较时,传输将失败。

SameSite Attribute
一种防止CSRF攻击的新兴方法是在cookie上指定SameSite属性。设置cookie时,服务器可以指定SameSite属性,以指示从外部站点发出时不应发送该cookie。
Spring Security不直接控制会话cookie的创建,因此不提供对SameSite属性的支持。 Spring Session在基于servlet的应用程序中为SameSite属性提供支持。 Spring Framework的CookieWebSessionIdResolver为基于WebFlux的应用程序中的SameSite属性提供了开箱即用的支持。
一个示例,带有SameSite属性的HTTP响应标头可能类似于:

Set
最低0.47元/天 解锁文章
tianyadaoke2020
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security 5.1 中文 参考手册 中文文档
06-25
Spring Security 5.1 中文 参考手册 中文文档 中文文档都是由软件翻译,翻译内容未检查校对,文档内容仅供参考。
泡泡SpringSecurity5.3SpringBoot整合SpringSecurity-数据库认证】
yubaby
08-19 274
package com.haifei.pojo; import java.io.Serializable; public class User implements Serializable { private Integer id; private String username; private String password; private In...
SpringSecurity中文文档(Servlet Authorization Architecture )
最新发布
znjy111的博客
07-08 987
在确定了用户将如何进行身份验证之后,还需要配置应用程序的授权规则。Spring Security 中的高级授权功能是其受欢迎的最有说服力的原因之一。无论您选择如何进行身份验证(无论是使用 Spring Security 提供的机制和提供者,还是与容器或其他非 Spring Security 身份验证授权机构集成) ,授权服务都可以在您的应用程序中以一致和简单的方式使用。您应该考虑附加授权规则来请求 URI 和方法。在这两种情况下,您都可以侦听并响应每个授权检查发布的授权事件。
Spring Security 5.3 goes GA
BLOG域名:programb.blog.csdn.net
05-14 500
Releases Josh Cummings March 05, 2020 On behalf of the community, it is my pleasure to announce the general availability of Spring Security 5.3. This release is the result of the work that went into 5.3.0.M1, 5.3.0.RC1, and 5.3.0.RELEASE. In combination th
Spring security-包含官方文档
10-24
这里是Spring security 的jar包以及说明文档Spring security可以提供系统安全方面的支持
Spring Security 5
一入爬虫深似海
02-24 4363
target 认证:Authentication 授权:Authorization 基于过滤器和AOP实现 【参考资料】 Spring Security 5 官方文档
spring-security-core-5.3.9.RELEASE-API文档-中文版.zip
07-14
赠送原API文档spring-security-core-5.3.9.RELEASE-javadoc.jar; 赠送源代码:spring-security-core-5.3.9.RELEASE-sources.jar; 赠送Maven依赖信息文件:spring-security-core-5.3.9.RELEASE.pom; 包含翻译后...
spring-security-web-5.3.9.RELEASE.jar中文-英文对照文档.zip
03-09
(1)为了防止解压后路径太长导致浏览器无法打开,推荐在解压时选择“解压到当前文件夹”(放心,自带文件夹,文件不会散落一地); (2)有时,一套Java组件会有多个jar,所以在下载前,请仔细阅读本篇描述,以...
spring-context-5.3.5.jar中文-英文对照文档.zip
03-14
(1)为了防止解压后路径太长导致浏览器无法打开,推荐在解压时选择“解压到当前文件夹”(放心,自带文件夹,文件不会散落一地); (2)有时,一套Java组件会有多个jar,所以在下载前,请仔细阅读本篇描述,以...
lua-5.3.5:Lua-5.3.5版官方
03-24
lua-5.3.5 基本介绍 本工程是Lua必然C扩展的内置工程,用于运行调试 所有Lua源码来自lua官方网站[ ] 增加了二进制注释,扩展了一些功能,支持Debug / Release编译模式 整个工程PC端编译整合采用cmake来管理,支持跨...
spring-framework-5.3.5-dist.zip
03-19
spring-framework-5.3.5-dist SHA-256:c905b99f650e9aa795e71532677788e113b5fbc2c5ef771426987d808923967a (Uploaded: Identical) SHA-1:231b42fc5dd3c85b6c55bfbcc3ea2a8462f4a5b2 (Uploaded: Identical) MD5:e84f...
spring-security 官方文档 中文版
10-12
spring security官方文档 中文版 看了下翻译 还是可以的 比其他查到的专业点 希望可以帮助到大家
csrf 系列之Spring Security中的csrf攻击防护(SameSite属性)
console的博客
05-03 1883
防止CSRF攻击的一种新方法是在cookie上指定`SameSite`属性。服务器可以在设置cookie时指定SameSite属性,以表明当来自外部站点时不应该发送cookie。
【源码】Spring Security 官方文档阅读并查源码解读认证流程
chenghan_yang的博客
01-22 1443
官网及用词说明 官网: Spring Security Reference Version 5.2.15.RELEASE 用词: 开发者 - 项目中的程序员 系统用户 - 项目中数据库表中较为复杂的用户 框架用户 - Spring Security 框架中中定义的用户 1. 获取认证过的用户主体 1.1 借 SecurityContextHolder 从线程中获得与程序交互的主体信息 Authentication 该类内部组合了一个SecurityContextHolderStrategy 也是就存储上
使用SpringSecurity
bluemoon_0的博客
02-20 225
使用SpringSecurity
通过配置修改springsecurity中cookie生效方式(domain + path + secure + samesite)
a1290320893的博客
12-18 4074
我们可以通过配置以下参数来修改默认cookie的生效方式; 一、server.servlet.session.cookie.secure=true(只在访问HTTPS中进行传输cookie) 测试:访问:http://localhost:8080/admin/acl/user/getTitle/smile 需要认证后才可以访问;登录完成后有了cookie,照理说再次访问http://localhost:8080/admin/acl/user/getiphone由于我这边不是https所以不会携带cooki
SpringSecurity学习(一)
行无所至,学无所尽。
05-28 270
认证和授权 认证解决“我是谁的问题” 什么是认证? 授权解决“我能做什么”的问题 Filer和FilterChain Spring Filters 任何Spring Web应用本质上只是一个Servlet; Security Filter在Http请求到达Controller之前过滤每一个传入的Http请求; Filter Chain 常见的内建过滤器 过滤器名称 作用 BasicAuthenticationFilter 如果在请求中找到一个Basic Auth Http头,如
五、SpringSecurity 原理总结
xxx_live_anyd的博客
11-05 246
SpringSecurity 原理总结
易语言-易语言lua5.3.5支持库
05-16
易语言-易语言lua5.3.5支持库是一种很实用的软件技术,它为易语言...总之,易语言-易语言lua5.3.5支持库是一项非常实用的技术,它为易语言用户带来了更加方便和高效的开发体验,也使得易语言程序的功能更加丰富和强大。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值