spring实战-Spring-security自定义登入登出、防csrf攻击及视图保护

最新推荐文章于 2024-09-16 16:45:51 发布
最新推荐文章于 2024-09-16 16:45:51 发布
阅读量4.2k 收藏 3
点赞数 3
分类专栏: spring 文章标签: Java java web spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tidu2chengfo/article/details/77453996
版权

第十篇:Spring-security自定义登入登出、防csrf攻击及视图保护

这是Spring及SpringMVC的最后一篇,本次主要演示SpringSecurity更使用的示例,如自定义的登录页面,系统登出,防止CSRF跨站攻击,以及视图保护视图保护可以定义到按钮级别的权限

先看自定义的登录页面

1,还是SecurityConfig的configure配置

@Override
	protected void configure(HttpSecurity http) throws Exception {
		whitelistHandler.handle(http)
			.authorizeRequests()
				.anyRequest().authenticated()
		.and()
			.formLogin()
	        .loginPage("/home/login")	/*自定义登录页面地址*/
        .and()
	        .logout()
	        	.logoutUrl("/logout")	/*自定义登出链接*/
        		.logoutSuccessUrl("/home/login") /*如果成功登出,需要跳转的页面*/
		.and()
          	.rememberMe()	/*登录的记住我选项*/
		        .tokenRepository(new InMemoryTokenRepositoryImpl())
		        .tokenValiditySeconds(2419200)/*记住登录状态4周*/
		        .key("idatKey");
	}

2,自定义登录视图,需要注意这里有个 <input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}"/>隐藏域,

security默认启用防CSRF攻击,所以必须有这个,否则会报错。同时注意form的action和username,password

<%@ page language="java" import="java.util.*" pageEncoding="UTF-8"%>
<%@ taglib uri="http://www.springframework.org/tags" prefix="s" %>
<%@ taglib uri="http://java.sun.com/jsp/jstl/core" prefix="c" %>
<%@ taglib uri="http://www.springframework.org/tags/form" prefix="form" %>

<h2>
	<s:message code="idat.login" text="welcome to login" />
</h2>
<c:url value="/home/regist" var="registUrl"/>
<a href="${registUrl }">Register</a>

<form name='form' action='login' method='POST'>
	<input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}"/>
	<table>
		<tr>
			<td>User:</td>
			<td><input type='text' name='username'/></td>
		</tr>
		<tr>
			<td>Password:</td>
			<td><input type='password' name='password' /></td>
		</tr>
		<tr>
			<td colspan='2'><input id="remember_me" path="remember-me" type="checkbox" /> 
				<label for="remember_me" class="inline">Remember me</label></td>
		</tr>
		<tr>
			<td colspan='2'><input name="submit" type="submit" value="Login" /></td>
		</tr>
	</table>
</form>

通过以上方式,我们定义了自己的登录页面,可以在这个页面里面做美化工作,可以不再使用以前那个丑陋的登录页面了

3,登出连接

<!-- spring4 如果开启了scrf需要通过post的方式登出 -->
<c:url value="/logout" var="logoutUrl"/>
<form action="${logoutUrl }" method="post">
<input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}"/>
<input type="submit" value="logout"/>
</form>
4,登录之后,可以在页面展示登录的用户名 

<sec:authentication property="principal" var="authentication"/>
用户名:${authentication.username} <br/>


5,视图保护 

<sec:authorize url="/home/admin">
<c:url value="/home/admin" var="adminUrl"/>
<a href="${adminUrl }">Admin</a>
</sec:authorize>
如果当前登录用户拥有/home/admin的访问权限,则视图会渲染超链接控件<a href="${adminUrl }">Admin</a>,否则不会显示

该方法可以扩展到任何html表单,可以通过这种方式让权限精细到按钮级别


以上关于视图的还需要引用标签

<%@ taglib uri="http://www.springframework.org/security/tags" prefix="sec" %>






乔布斯基
关注
专栏目录
Spring Security-实现自定义退出登录
西京刀客
02-27 220
一般登录后,服务端会给用户发一个凭证。常见有以下的两种: * 基于 Session 客户端会存 cookie 来保存一个 sessionId ,服务端存一个 Session * 基于 token 客户端存一个 token 串,服务端会在缓存中存一个用来校验此 token 的信息。
【稻草人问答项目—Day02】Spring-Security 验证以及授权框架、使用Bcrypt算法加密、自定义登陆页面
qq_44682003的博客
03-15 767
【稻草人问答项目—Day02】Spring-Security 验证以及授权框架、使用Bcrypt算法加密、自定义登陆页面 Day01 项目:【稻草人问答项目—Day01】环境搭建、数据库的连接、LOMBOK框架、MYbatis Plus Generator 代码生成器 接着Day 01项目继续往下进行 一、Spring安全框架的概述以及使用 1. Spring安全框架概述 不是随随便便的一个人就可以访问我们的网站页面,获取数据,那样我们的网站会很不安全,容易被黑客攻击;为此我们要给我们的网站做一些安.
Spring Security 实战干货:实现自定义退出登录
码农小胖哥
10-23 5317
1. 前言 上一篇对 Spring Security 所有内置的 Filter 进行了介绍。今天我们来实战如何安全退出应用程序。 2. 我们使用 Spring Security 登录后都做了什么 这个问题我们必须搞清楚!一般登录后,服务端会给用户发一个凭证。常见有以下的两种: 基于 Session 客户端会存 cookie 来保存一个 sessionId ,服务端存一个 Session 。...
SpringSecurity原理解析(八):CSRF御解析
最新发布
liang8999的博客
09-16 1256
自定义SpringSecurity配置文件中的configure方法中,通过 HttpSecurity 先调用csrf()从 Spring Security 4.0 开始,默认情况下会启用 CSRF 保护,以CSRF 攻击应用程序,2)请求到来时,程序会从请求中获取提交的csrfToken,同时会从HttpSession中获取。之前存储的csrfToken进行比较,如果相同则认为是合法的请求,继续后面的操作,这种办法简单易行,工作量低,仅需要在关键访问处增加一步校验,来检查 Referer字段。
SpringSecurity OAuth2 (10) 自定义: 启用 CsrfToken 保护授权服务器颁发的 AccessToken
O_o
08-15 1791
本文探讨, 在授权服务器和资源服务器分离的架构下, 如何用 csrf-token 保护授权服务器颁发的 JWT Access-Token.
2.SpringSecurity自定义退出
Z17839935459的博客
06-21 437
和上篇帖子一样,这里只叙述具体的思路,如果想具体的学习,可以翻到文章底部 正文: 如果你在之前的帖子里,已经实现了 自定义登陆,那么退出从代码来看就特别简单了 只需要新增两个类,把他加到security的配置类里面就好了 CustomLogoutHandler,这个类的作用是,当你执行退出操作,要执行那些逻辑 @Slf4j public class CustomLogoutHandler implements LogoutHandler { @Override public.
SpringSecurity学习笔记之六:保护视图
jiangziya1221的博客
10-10 171
Spirng Security本身提供了一个JSP标签库,而Thymeleaf通过特定的方言实现了与Spring Security的集成。 Spring Security的JSP标签库很小,只包含是三个标签: 为了使用JSP标签库,需要在JSP中声明它: 访问认证信息的细节 如下是一个简单的示例: 其中property用来标示用户认证对象的一个属性。可用的属性取决于用户认证的方式。但是,...
spring-security-mongodb:Spring Security MongoDB扩展
05-17
Spring Security 是一个强大的且高度可定制的身份验证和访问控制框架,用于保护基于Java的应用程序。在结合MongoDB时,Spring Security MongoDB 扩展提供了一种整合Spring Security与NoSQL数据库MongoDB的方式,使得...
WebIM-for-Spring3开发框架 v2.0
10-06
WebIM-for-Spring3框架需要考虑的安全问题包括:用户认证与授权、数据加密传输、止跨站脚本攻击(XSS)和跨站请求伪造(CSRF)等。框架应该提供相应的安全机制,例如使用Spring Security进行用户认证和授权。 **6. ...
Spring boot Spring security,Thymeleaf使用自己的用户类登陆
weixin_40615418的博客
03-03 2896
Spring boot集成Spring security,Thymeleaf,自定义用户登陆验证 Spring boot集成Spring security,Thymeleaf,自定义用户登陆验证 引言 Spring security 首先,我们得有一个自己的用户类,然后实现UserDetails: Service层 Thymeleaf 中的扩展 和 spring security产生的对...
Spring Security例子源代码
03-09
这个例子源代码提供了从视图层控制到数据库验证的完整流程,旨在帮助开发者理解Spring Security的核心概念和实际应用。 在Spring Security中,身份验证是验证用户身份的过程,这通常涉及到用户名和密码的提交。当...
SpringSecurity框架下实现CSRF跨站攻击御的方法
08-25
CSRF是一种网络攻击方式,也可以说是一种安全漏洞,这种安全漏洞web开发中广泛存在。这篇文章主要介绍了SpringSecurity框架下实现CSRF跨站攻击御,需要的朋友可以参考下
3 Spring Security详解(授权及保护视图
人生智慧的博客
02-03 608
不同用户登录后看到的菜单是不一样的。例如,管理员能够看到系统管理,而普通用户看不到。 实现这一功能需要两步: 给用户不同的权限。 Spring Security使用JSP标签库来渲染视图。 1 保护视图 1.1 Spring Security的JSP标签库 Spring Security的JSP标签库很小,只包含三个标签: 为了使用JSP标签库,我们需要在对应的JSP中声明它: ...
springsecurity oauth2.0 自定义退出9
健康平安的活着的专栏
08-15 3150
security默认的退出 Spring security默认实现了logout退出,访问/logout: 实现逻辑: 点击“Log Out”退出 成功。 退出 后访问其它url判断是否成功退出。 二 自定义退出 2.1 配置文件中配置 在WebSecurityConfifig的protected void confifigure(HttpSecurity http)中配置: .and() .logout() .logoutUrl("/logout") .logoutSucc.
SpringSecurity专题(三)-实现自定义登录界面
刘树之的博客
09-02 705
文章目录1.页面准备1.1.login.jsp页面1.2.home.jsp页面1.3.其他页面2.SpringSecurity相关配置2.1.配置认证信息3.登录测试4.关闭csrf拦截5.csrf护5.1.CsrfFilter源码查看5.2.在认证页面携带token请求6.注销 前面通过入门案例介绍,我们发现在SpringSecurity中如果我们没有使用自定义的登录界面,那么SpringSecurity会给我们提供一个系统登录界面。但真实项目中我们一般都会使用自定义的登录界面,本文我们就来介绍下如何实
Spring Security】005-Spring Security web权限方案(3):用户注销、自动登录、CSRF功能
訾博(ZiBo)的博客
01-04 365
一、用户注销 1、用户注销实现步骤 第一步:在配置类MySecurityConfig中添加退用户注销代码 // 注销:注销访问的地址,注销后跳转到的页面 http.logout().logoutUrl("/logout").logoutSuccessUrl("/test/hello").permitAll(); 第二步:添加success.html作为登录成功页,里面添加退出链接 <!DOCTYPE html> <html lang="en"> <hea.
springboot + security 自定义csrf校验结果
mushuntaosama的博客
12-26 5968
查看csrfFilter源码,会先去HttpSessionCsrfTokenRepository.loadToken加载CsrfToken ,其实就是从session中获取。public CsrfToken loadToken(HttpServletRequest request) { HttpSession session = request.getSession(false);
Spring Security漏洞攻击
分享技术干货和灵感、推荐新书和好玩的项目、分享Java面试题
10-24 1436
了解CSRF攻击的最好方式是通过一个具体的例子。假设您的银行网站提供了一个转账页面,允许从当前的登录用户向另一个账户转账,转账单可能如下:Example 1. 转账表单
SpringSecurity教程】XSS攻击
热门推荐
terrybg
06-11 1万+
XSS是跨站脚本攻击攻击者提交可执行的恶意脚本如(html/js/css),来影响网址的使用。演示如下: 模拟XSS攻击: 测试效果如下:如果攻击者的恶意请求,服务器将结果保存到数据库后,下次用户查询的时候,可想而知影响很大。1.Spring设置过滤器或者拦截器2.后端设置编码转义(将标签转义如将转义成),常见解决方案有Spring的HtmlUtils和Apache Commons3.设置X-XSS-Protection请求头4.前端展示层做处理本文主要描述 Spring设置编码转义,原理是将标签转义如将
SpringSecurity深度解析:CSRF攻击示例与代码
SpringSecurityCSRF攻击实现是Web安全领域的一个重要环节,它在保护网站免受恶意攻击方面扮演着关键角色。CSRF,全称Cross-site request forgery,是一种常见的网络攻击手段,攻击者通过伪装成已登录的用户,向...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值