javaweb基础登陆到security

最新推荐文章于 2024-01-13 11:54:11 发布
最新推荐文章于 2024-01-13 11:54:11 发布
阅读量149 收藏
点赞数
分类专栏: java 文章标签: security javaweb 登陆
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39452753/article/details/102987701
版权

javaweb基础登陆到security

1.一个简单的HTML例子看看用户信息安全

初学者常用操作就是写一个form然后将请求后端的接口,代码如下。

<form action = "sign-in" method = "POST">
    用户名:<input id="username" name="username" type="text" />
    密码:<input id="password" name="password" type="password" />
    <button type="submit">登陆</button>
</form>

form表单会在提交请求时,会获取form中input标签中存在name的属性,作为HTTP请求的body中的参数传递给后台,进行登录校验。
form
这种方式会会暴露我传输的密码,假设我们的账号信息如下:

账号密码
jack123456

当点击登陆后,按F12即可看到你请求的内容,就可以看出密码是明文的。
在这里插入图片描述

2.改进添加密文
于是我们就想到了给密码加密后在通过http请求传输,常见的加密算法有:对称加密和非对称加密
	2.1.对称加密算法
		A与 B 之间之间的通讯数据都用同一套的密钥来进行加密解密。
	2.2.非对称加密算法
		用公钥和私钥来加解密的算法。打个比方,A 的公钥加密过的东西只能通过 A 的私钥来解密;同理,A 的私钥加密过的东西只能通过 A 的公钥来解密。顾名思义,公钥是公开的,别人可以获取的到;私钥是私有的,只能自己拥有。
详情可以查看文章:

加密方法博文.    视频 请自行使用

2.3使用对称加密算法

  加密解密在前后台协商后,似乎是个不错的办法,比如,前台使用一个字符串位移+字符串反转的简单方法
例如:qweasd123 -> 123qweasd
然后传给服务器,服务器就将前面3位移动到最后面:123qweasd -> qweasd123
这个方法虽然可以实现加密,但是前后端加密解密需要同时修改代码,所以不采用这种方法.

2.4采用非对称加密算法

  利用不可逆加密散列函数MD5(string),用户在注册输入密码的时候,就存储MD5(password)值,并且在WEB端先进行MD5(password),然后将密码传输至后台,与数据库中的密文进行比较。
代码入下

	<form action = "http://localhost:8080/sign-in" method = "POST">
			用户名:<input id="username" name="username" type="text" />
			密码:<input id="password" name="password" type="password" />
			<input type="submit" onclick="md5_encryption()" />
	</form>	
	<!--这里需要直接引入md5.js 和 jquery.js-->
	<script type="text/javascript">
		function md5_encryption(){
			document.getElementById('password').value = hex_md5(
				document.getElementById('password').value
			)
		}
	</script>

再来看看我们的请求的内容
在这里插入图片描述

2.5后端对前端传输的信息进行验证

  思路:后端将正确的密码通过MD5生成字符串,然后和前端通过MD5加密的信息进行比对,如果不一样就说明,密码错误,代码如下。
1.MD5Utils

import java.security.MessageDigest;
import java.security.NoSuchAlgorithmException;

public class MD5Utils {
    public static String getMd5(String str) {

        try{
            MessageDigest md = MessageDigest.getInstance("MD5");
            md.update(str.getBytes());
            byte hash[] = md.digest();
            StringBuffer sb = new StringBuffer();
            int i = 0;
            for (int offset = 0; offset < hash.length; offset++) {
                i = hash[offset];
                if (i < 0) {
                    i += 256;
                }
                if (i < 16) {
                    sb.append("0");
                }
                sb.append(Integer.toHexString(i));
            }

            return sb.toString();
        }catch (NoSuchAlgorithmException e){
           e.printStackTrace();
        }
        return null;
    }
}

Controller

@RestController
public class LoginCtroller {
    @PostMapping("/sign-in")
    public String login(LoginParam loginParam){
        User user = new User("Jack","123456"); 	//模拟用户,你也可以改成通过数据库查询
        if(loginParam == null){		//判断参数是否为空
            throw new NullPointerException();
        }

        String protoMd5 = MD5Utils.getMd5(user.getPassword());
        if(user.getUsername().equals(loginParam.getUsername())&& protoMd5.equals(loginParam.getPassword())){
            return "欢迎"+loginParam.getUsername();
        }else{
            return "账号或密码错误";
        }
    }
}

实体类User

import lombok.AllArgsConstructor;
import lombok.Data;

@Data
@AllArgsConstructor
public class User {
    private String username;

    private String password;
}

登陆参数类LoginParam

@Data
@AllArgsConstructor
@NoArgsConstructor
public class LoginParam {
    private String username;

    private String password;
    /**
     * 记住我
     */
    private String remenberMe;

}

另外还还有情况就是前后端的MD5加密结果不一致,请读者自行百度。

3.token令牌

前后端分离场景。现在非常流行的前后端分离的开发模式大大提高了项目的开发效率。职责、分工明确。

但是由于HTTP是无状态的(就是这一次请求并不知道上一次请求的内容),当用户登录时,根据用户的username作为key,生成随机令牌(例如UUID)作为value缓存在Redis中,并且将token返回给客户端,当客户端登录时,将完成校验,并且删除Redis中的那条缓存记录。

那么每次从服务器中获取认证的token,确实能保证HTTP请求是由前端传回来的了,因为token在每次登陆后都会删除并被重置,会导致黑客尝试重放账号密码数据信息来登陆的时候导致无法成功登陆。

总而言之,就是我拿到了账号以及密码的密文也登陆不了,因为,如果请求不包含后台认证的令牌token,是个非法请求。
持续更新中。。。。

4.Security登陆
blalala...
5.Security实现短信/OAuth登陆
blalala...
6.Security核心源码分析
blala...

参考文章:https://www.javazhiyin.com/36974.html

weixin_39452753
关注
专栏目录
java 用户登陆原理_Spring Security自定义登录原理及实现详解
weixin_31616935的博客
02-16 968
1. 前言前面的关于 Spring Security 相关的文章只是一个预热。为了接下来更好的实战,如果你错过了请从 Spring Security 实战系列 开始。安全访问的第一步就是认证(Authentication),认证的第一步就是登录。今天我们要通过对 Spring Security 的自定义,来设计一个可扩展,可伸缩的 form 登录功能。2. form 登录的流程下面是 form 登...
security登录流程
weixin_48100716的博客
12-15 1139
用户发起登陆请求AdminController,然后调用我们自己的登录业务实现类AdminServiceImpl的登录方法去处理,调用security框架的核心接口方法authenticate开始认证,他会自动去调用我们实现security框架的UserDetailsService接口的登录认证方法,若是认证成功则向前端返回JWT数据,注:AuthenticationManager(接口是认证的核心接口),也是认证的出发点.我们通过security框架认证登录信息,若登陆成功,最终返回的是JWT数据。
springboot 整合 security(二) 使用数据库账号密码实现登录流程
TT_QY的博客
10-09 3081
上篇讲了如何简单实现security功能,但只能使用框架指定的账号密码,不符合我们的应用场景。这篇讲一下如何使用数据库账号密码实现登录流程 首先,还是创建我们的项目 然后是数据库的设计 然后是用户controller层的代码 UserController.java @RestController @RequestMapping("user") public class UserController { @Autowired UserService userService; .
java 集成Security安全框架 获取登录用户代码
最新发布
qq_33240556的博客
01-13 357
【代码】java 集成Security安全框架 获取登录用户代码。
security实现多种登录方式 1
eugene03的博客
03-22 1258
​ 1.自定义MyUsernamePasswordFilter/*** 10:30// 自定拦截路由 private static final AntPathRequestMatcher DEFAULT_ANT_PATH_REQUEST_MATCHER = new AntPathRequestMatcher("/user/login" , "POST");} else {// 获取登录表单 getUser(request);= null?= null?
JavaWeb开发之Spring+SpringMVC+MyBatis+SpringSecurity+EhCache+JCaptcha 完整Web基础框架
08-31
JavaWeb开发中,构建一个完整的Web基础框架是非常重要的,因为它可以提高开发效率,提供良好的架构,便于维护和扩展。本篇文章将详细讲解基于Spring、SpringMVC、MyBatis、SpringSecurity、EhCache和JCaptcha这六...
狂神说java系列笔记(java基础+javaweb+ssm+微服务)全套
04-26
【描述】:这套笔记以“狂神说”为特色,提供了详细的讲解和实例,让学习者能够从Java基础开始,逐步进阶到Java Web开发,再深入到Spring、MyBatis等主流框架的应用,最后涉及微服务技术,如Spring Boot和Dubbo的...
Javaweb用户登录注册
01-02
JavaWeb开发中,用户登录注册是常见的功能模块,它涉及到前端界面设计、后端数据处理以及数据库交互等多个环节。本项目作为一个入门级的实践,将帮助初学者掌握这一核心技能。 首先,我们要理解JavaEE(Java ...
34个经典javaweb项目实例
03-14
7. **Web安全**:实例可能涵盖用户认证与授权,如使用Spring Security实现登录验证和权限控制,以及防止SQL注入和XSS攻击的策略。 8. **Ajax异步通信**:通过jQuery、 Prototype等库或XMLHttpRequest对象,实现页面...
SpringBoot+Mybatis快速搭建的一个JavaWeb基础的电商秒杀项目-miaosha.zip
11-06
【标题】: 使用SpringBoot和Mybatis构建的JavaWeb电商秒杀系统 【描述】: 本项目基于SpringBoot和Mybatis技术栈,快速搭建了一个基础的电商秒杀平台。秒杀系统是电商中常见的功能模块,用于在短时间内处理大量用户...
Java Security 总纲
Sabrina & Joshua Java Ivory Tower
02-16 1070
导读: 这是一篇介绍Java Security能做什么的文章。很遗憾,它不会告诉你怎么去做。 本文相关的JDK版本是JDK7,当然,仍适用于JDK6。   Java平台(Java运行时环境,即JVM + Java API) 在多个层面上提供了security机制。   Java Language Security and Bytecode Verification Java语...
Java登录的逻辑_Spring security登录过程逻辑详解
weixin_35795512的博客
03-02 577
1. 新建项目引入web和security包完整的pom.xml文件如下xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd">4.0.0org.springframework.bootspring-boot-starter-parent2.2.6....
Spring Security登录
最佳 Java 编程
05-15 609
1.简介 本文将重点介绍使用Spring Security登录 。 我们将在前面的简单Spring MVC示例的基础上构建,因为这是设置Web应用程序和登录机制的必要部分。 2. Maven依赖 要将Maven依赖项添加到项目中,请参阅Spring Security with Maven文章 。 标准的spring-security-web和spring-security-config都...
java security 详解_Java-Security(四):用户认证流程源码分析
weixin_42407606的博客
02-16 1053
让我们带着以下3个问题来阅读本篇文章:1)在Spring Security项目中用户认证过程中是如何执行的呢?2)认证后认证结果如何实现多个请求之间共享?3)如何获取认证信息?在《Java-Security(二):如何初始化springSecurityFilterChain(FilterChainProxy)》中可以发现SpringSecurity的核心就是一系列过滤链,当一个请求进入时,首先会被...
web前端 | 博客(二)登录功能
让黛马跑起来
01-05 1216
实现登录功能 创建用户集合,初始化用户 连接数据库 创建用户集合 初始化用户 为登录表单项设置请求地址,请求方式(GET方法会将参数放到地址栏中,不隐蔽,要用POST方法,它将参数放到消息体中,比较隐蔽)以及表单name属性 当用户点击登录按钮时,客户端验证用户是否填写了登录表单 如果其中一项没有输入,则阻止表单提交 服务器端请求接收参数,验证用户是否填写了登录表单(有时候客户端的js代码...
启用springboot security后登录web页面需要用户名和密码之默认的用户名和密码
qq_41340666的博客
07-15 2113
转自:https://blog.csdn.net/russle/article/details/82454921 问题 注意:本人使用的Spring Boot 2.0.2, 对1.5.x系列未必有用。官方文档在这里 直接解决办法 0, 移除spring-boot-starter-security依赖 如果没有实际使用security的功能,可以直接移除spring-boot-starter-security依赖 1, 使用默认用户和密码登录 默认用户名是user 密码是程序启动时自动生成...
Spring Security打造一个简单Login登录页面,实现登录+跳转+注销+角色权限功能,核心代码不到100行!
m0_59562547的博客
10-20 5407
#Spring Security简介 信息安全可以说是任何公司的红线,一般项目都会有严格的认证和授权操作。Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架,来自于Spring家族,专注于为 Java 应用程序提供身份验证和授权,它是保护基于Spring应用程序的事实上的行业标准。 就我理解和使用而言,Spring Security配置即用、功能强大、非常灵活,能将开发人员从大量安全协议和开发中解脱出来,更加专注于业务。 #Login登录页面设计思路和流程图: 认证和授
Spring Boot+Spring Security 实现自动登录功能(实战+源码分析)
weixin_47083537的博客
04-28 860
自动登录是我们在软件开发时一个非常常见的功能,例如我们登录 QQ 邮箱: 很多网站我们在登录的时候都会看到类似的选项,毕竟总让用户输入用户名密码是一件很麻烦的事。 自动登录功能就是,用户在登录成功后,在某一段时间内,如果用户关闭了浏览器并重新打开,或者服务器重启了,都不需要用户重新登录了,用户依然可以直接访问接口数据。 作为一个常见的功能,我们的 Spring Security 肯定也提供了相应...
java web 工程中实现登录和安全验证
dianlu5775的博客
06-21 353
登录验证代码 package security; import java.io.IOException; import javax.servlet.ServletException; import javax.servlet.annotation.WebServlet; import javax.servlet.http.Cookie; import javax.se...
JavaWeb用户权限控制基础实现教程
7. **使用工具库**:为了简化开发,可以考虑使用Spring Security或Shiro等现成的权限管理框架,它们提供了丰富的权限控制API和易于理解的配置机制。 JavaWeb用户权限控制的实现涉及前后端配合、数据库设计以及权限...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值