微信小程序EMOS -- 前期准备(软件安装、HbuilderX配置、封装返回对象、配置Swagger3、添加后端验证、抵御XXS攻击、shiro、JWT))

已于 2023-11-13 16:29:00 修改
阅读量131 收藏
点赞数
文章标签: 微信小程序 小程序
于 2023-11-09 17:28:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44828735/article/details/134283971
版权
  1. List item

一 安装相关软件

二 关于HbuilderX,需要配置微信开发者工具安装路径
1.在这里插入图片描述
2 选择右侧浏览按钮,选择即可
在这里插入图片描述
三 利用Idea 创建Springboot项目

四 封装返回对象

五 配置Swagger3
1.第一步:引入依赖

 <!--SpringDoc-->
    <dependency>
      <groupId>org.springdoc</groupId>
      <artifactId>springdoc-openapi-spring-boot-2-webmvc</artifactId>
      <version>3.1.5</version>
    </dependency>

2.第二步:配置文件


import io.swagger.v3.oas.annotations.OpenAPIDefinition;
import io.swagger.v3.oas.annotations.enums.SecuritySchemeIn;
import io.swagger.v3.oas.annotations.enums.SecuritySchemeType;
import io.swagger.v3.oas.annotations.info.Info;
import io.swagger.v3.oas.annotations.security.SecurityRequirement;
import io.swagger.v3.oas.annotations.security.SecurityScheme;
import org.springframework.context.annotation.Configuration;

@Configuration
@OpenAPIDefinition(
        info = @Info(
                title = "wx-api",
                description = "后端Java小程序项目",
                version = "1.0"
        ),
        security = @SecurityRequirement(name = "token")
)
@SecurityScheme(
        name = "token",
        type = SecuritySchemeType.APIKEY,
        in = SecuritySchemeIn.HEADER,
        bearerFormat = "JWT",
        scheme = "bearer"
)
public class SpringDocConfig {


}

3.第三步:添加注解
1)类上添加

@Tag(name = "UserController", description = "用户Web接口")

2)方法上添加

@Operation(summary = "测试swagger3")

4.访问

http://localhost:项目端口号/wx-api(配置文件中的title)/swagger-ui/index.html?configUrl=/wx-api(配置文件中的title)/doc-api.html/swagger-config

六 后端验证
1.添加依赖

<dependency>
      <groupId>org.springframework.boot</groupId>
      <artifactId>spring-boot-starter-validation</artifactId>
    </dependency>

2.添加相关注解

3.若需要分组,可参考https://editor.csdn.net/md/?articleId=134157296

七 抵御XSS攻击

1.重写方法


import cn.hutool.core.util.StrUtil;
import cn.hutool.http.HtmlUtil;
import cn.hutool.json.JSONUtil;
import java.io.BufferedReader;
import java.io.ByteArrayInputStream;
import java.io.IOException;
import java.io.InputStream;
import java.io.InputStreamReader;
import java.nio.charset.Charset;
import java.util.LinkedHashMap;
import java.util.Map;
import javax.servlet.ReadListener;
import javax.servlet.ServletInputStream;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {
    public XssHttpServletRequestWrapper(HttpServletRequest request) {
        super(request);
    }

    @Override
    public String getParameter(String name) {
        String value= super.getParameter(name);
        if(!StrUtil.hasEmpty(value)){
            value=HtmlUtil.cleanHtmlTag(value);
        }
        return value;
    }

    @Override
    public String[] getParameterValues(String name) {
        String[] values= super.getParameterValues(name);
        if(values!=null){
            for (int i=0;i<values.length;i++){
                String value=values[i];
                if(!StrUtil.hasEmpty(value)){
                    value=HtmlUtil.cleanHtmlTag(value);
                }
                values[i]=value;
            }
        }
        return values;
    }

    @Override
    public Map<String, String[]> getParameterMap() {
        Map<String, String[]> parameters = super.getParameterMap();
        LinkedHashMap<String, String[]> map=new LinkedHashMap();
        if(parameters!=null){
            for (String key:parameters.keySet()){
                String[] values=parameters.get(key);
                for (int i = 0; i < values.length; i++) {
                    String value = values[i];
                    if (!StrUtil.hasEmpty(value)) {
                        value = HtmlUtil.cleanHtmlTag(value);
                    }
                    values[i] = value;
                }
                map.put(key,values);
            }
        }
        return map;
    }

    @Override
    public String getHeader(String name) {
        String value= super.getHeader(name);
        if (!StrUtil.hasEmpty(value)) {
            value = HtmlUtil.cleanHtmlTag(value);
        }
        return value;
    }

    @Override
    public ServletInputStream getInputStream() throws IOException {
        InputStream in= super.getInputStream();
        InputStreamReader reader=new InputStreamReader(in, Charset.forName("UTF-8"));
        BufferedReader buffer=new BufferedReader(reader);
        StringBuffer body=new StringBuffer();
        String line=buffer.readLine();
        while(line!=null){
            body.append(line);
            line=buffer.readLine();
        }
        buffer.close();
        reader.close();
        in.close();
        Map<String,Object> map=JSONUtil.parseObj(body.toString());
        Map<String,Object> result=new LinkedHashMap<>();
        for(String key:map.keySet()){
            Object val=map.get(key);
            if(val instanceof String){
                if(!StrUtil.hasEmpty(val.toString())){
                    result.put(key,HtmlUtil.cleanHtmlTag(val.toString()));
                }
            }
            else {
                result.put(key,val);
            }
        }
        String json=JSONUtil.toJsonStr(result);
        ByteArrayInputStream bain=new ByteArrayInputStream(json.getBytes());
        return new ServletInputStream() {
            @Override
            public int read() throws IOException {
                return bain.read();
            }

            @Override
            public boolean isFinished() {
                return false;
            }

            @Override
            public boolean isReady() {
                return false;
            }

            @Override
            public void setReadListener(ReadListener readListener) {

            }
        };
    }
}

2.增加过滤器


import cn.hutool.core.util.StrUtil;
import cn.hutool.http.HtmlUtil;
import cn.hutool.json.JSONUtil;
import java.io.BufferedReader;
import java.io.ByteArrayInputStream;
import java.io.IOException;
import java.io.InputStream;
import java.io.InputStreamReader;
import java.nio.charset.Charset;
import java.util.LinkedHashMap;
import java.util.Map;
import javax.servlet.ReadListener;
import javax.servlet.ServletInputStream;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {
    public XssHttpServletRequestWrapper(HttpServletRequest request) {
        super(request);
    }

    @Override
    public String getParameter(String name) {
        String value= super.getParameter(name);
        if(!StrUtil.hasEmpty(value)){
            value=HtmlUtil.cleanHtmlTag(value);
        }
        return value;
    }

    @Override
    public String[] getParameterValues(String name) {
        String[] values= super.getParameterValues(name);
        if(values!=null){
            for (int i=0;i<values.length;i++){
                String value=values[i];
                if(!StrUtil.hasEmpty(value)){
                    value=HtmlUtil.cleanHtmlTag(value);
                }
                values[i]=value;
            }
        }
        return values;
    }

    @Override
    public Map<String, String[]> getParameterMap() {
        Map<String, String[]> parameters = super.getParameterMap();
        LinkedHashMap<String, String[]> map=new LinkedHashMap();
        if(parameters!=null){
            for (String key:parameters.keySet()){
                String[] values=parameters.get(key);
                for (int i = 0; i < values.length; i++) {
                    String value = values[i];
                    if (!StrUtil.hasEmpty(value)) {
                        value = HtmlUtil.cleanHtmlTag(value);
                    }
                    values[i] = value;
                }
                map.put(key,values);
            }
        }
        return map;
    }

    @Override
    public String getHeader(String name) {
        String value= super.getHeader(name);
        if (!StrUtil.hasEmpty(value)) {
            value = HtmlUtil.cleanHtmlTag(value);
        }
        return value;
    }

    @Override
    public ServletInputStream getInputStream() throws IOException {
        InputStream in= super.getInputStream();
        InputStreamReader reader=new InputStreamReader(in, Charset.forName("UTF-8"));
        BufferedReader buffer=new BufferedReader(reader);
        StringBuffer body=new StringBuffer();
        String line=buffer.readLine();
        while(line!=null){
            body.append(line);
            line=buffer.readLine();
        }
        buffer.close();
        reader.close();
        in.close();
        Map<String,Object> map=JSONUtil.parseObj(body.toString());
        Map<String,Object> result=new LinkedHashMap<>();
        for(String key:map.keySet()){
            Object val=map.get(key);
            if(val instanceof String){
                if(!StrUtil.hasEmpty(val.toString())){
                    result.put(key,HtmlUtil.cleanHtmlTag(val.toString()));
                }
            }
            else {
                result.put(key,val);
            }
        }
        String json=JSONUtil.toJsonStr(result);
        ByteArrayInputStream bain=new ByteArrayInputStream(json.getBytes());
        return new ServletInputStream() {
            @Override
            public int read() throws IOException {
                return bain.read();
            }

            @Override
            public boolean isFinished() {
                return false;
            }

            @Override
            public boolean isReady() {
                return false;
            }

            @Override
            public void setReadListener(ReadListener readListener) {

            }
        };
    }
}

3.主启动类上添加注解,@ServletComponentScan//确保新添加的过滤器能够被spring项目扫描到

八 Shiro
1.主要功能
1)做认证:拦截请求,判断是否登录
2)做授权:判断用户是否有权限
3)使用http Session技术存储在服务器端,不合适负载均衡的项目,那么此时就需要JWT技术,JWT是将用户的认证授权等信息保存在客户端,同时可以兼容更多的客户端,例如小程序等

2.Shiro 简单原理
用户登录之后,调用Shiro 保存用户的登录凭证以及对应的角色【Shiro 利用HttpSession 或者 Redis进行存储】,然后利用过滤器,对每个http请求过滤,检查请求对应的HttpSession 或者 Redis中的认证与授权信息,如果未登录或者权限不够,则向客户端发送错误消息。

九 JWT
1.简单原理
JWT是一种将用户认证授权等信息以token的形式保存在客户端的一种技术。将用户的认证和授权信息保存在了客户端,可以做单点登录。同时也兼容更多的客户端。

没有bug了
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Emos是一个前后端分离的在线办公系统,项目采用 SpringBoot+Uniapp 开发,前端采用微信小程序展示.zip
02-22
Emos是一个前后端分离的在线办公系统,项目采用 SpringBoot+Uniapp 开发,前端采用微信小程序展示.zip
多人在线协同小程序开发
weixin_48829840的博客
09-23 530
在这里,我想记录一些我之前学习的小程序开发和springboot开发方面的知识 这是我的目录结构 我的配置类,在这里我习惯了yml格式的配置样式 server: tomcat: uri-encoding: utf-8 threads: max: 200 min-spare: 30 connection-timeout: 5000ms port: 8080 servlet: context-path: /emos-wx-api spri
Swagger-UI 反射型 XSS
最新发布
2401_84466325的博客
06-16 834
Swagger UI 的入口页面,是一个用于与API进行交互和可视化的工具。Swagger UI 是一个开源项目,提供了一个直观的用户界面来查看API文档,并允许用户直接从文档中发送请求,查看响应,从而测试和调试API,可以通过看到有关更多的XSS漏洞。
渗透技巧基于Swagger-UI的XSS
网安君的博客
08-25 8585
swagger-ui是一个允许 API 交互和可视化的库,Swagger-UI有一个特性它允许您向 API 规范提供URL一个yaml或json文件,它将被获取并显示给用户。该漏洞产生的原因是swagger-ui使用了一个过时的库DomPurify(DOMPurify是一个开源的基于DOM的快速XSS净化工具。输入HTML元素,然后通过DOM解析递归元素节点,进行净化,输出安全的HTML。),结合库的特性允许获得由查询参数控制的DOM型XSS。
运行后端SpringBoot项目
chengbo_eva的博客
06-11 910
运行后端SpringBoot项目
swagger xss漏洞复现
一个努力学习网安的小牛马
04-26 895
没漏洞? 不存在的
渗透测试——漏洞扫描工具
wuli1024的博客
11-20 517
然后还要将all这个压缩包里的plugin_feed_info.inc提取出来,命令行是 tar -zxvf all-2.0.tar.gz plugin_feed_info.inc,然鹅,我提取不出来。将下载好的插件移动到Nessus目录下,然后输入sudo /opt/nessus/sbin/nessuscli update all-2.0.tar.gz。用户名和密码随便写写就好,随后将会更新补丁,OK,这样Nessus可以使用了。将会获得一串数字,然后去激活码的这个网站,输入自己的邮箱获取激活码。
3-7 获取临时授权和微信基本信息 - EMOS小程序1
08-04
微信小程序授权和信息获取 本节课主要讲解如何在 uni-app 框架中获取微信临时授权字符串和微信基本信息,这部分内容非常简单。uni-app 框架中包含了原生微信小程序wx 对象,但推荐使用 uni 对象,因为它是跨平台...
3-1 申请微信开发者账号 - EMOS小程序1
08-04
一、特殊声明 二、申请微信开发者账号 三、获取AppID和密钥
emos-wx-api:微信迷你应用程序的EMOS API后端
02-09
emos-wx-api:微信迷你程序的EMOS API后端)】 EMOS-WX-API 是一个专为微信迷你程序设计的后端服务,它提供了一系列API接口,以支持微信迷你程序的功能实现和数据交互。这个项目的核心目标是构建一个稳定、高效...
emos-wx-api
02-19
emos-wx-api
漏洞挖掘小技巧(一)
Ba1_Ma0的博客
04-16 1216
漏洞挖掘小技巧
HBuilder X运行项目到微信开发者工具调试和发布Uniapp小程序
bobozai86的博客
04-21 3312
在代码编辑界面,点击“预览”按钮,就可以在模拟器中看到小程序的界面。在代码编辑界面,点击“真机调试”按钮,可以将小程序的预览版发送到微信客户端,然后在真机上进行调试。在微信开发者工具中,点击“上传”按钮,输入版本号和项目描述,就可以将小程序的代码上传到服务器。第一次使用必须注册用户,登录才可以,这是它的硬性要求。审核通过后,就可以在管理后台操作发布小程序,用户就可以在微信中搜索或扫码访问小程序了。在微信公众平台中,进入“小程序管理”->“版本管理”,点击“提交审核”按钮,填写相关信息,并提交审核申请。
项目搭建+swagger2+dozer+validator+xss
zhouhe_的博客
05-29 6630
这里写目录标题项目搭建pd-tools-swagger2pd-tools-dozerpd-tools-validatorpd-tools-xsspd-tools-logpd-tools-jwtpd-tools-userpd-tools-corepd-tools-commonpd-tools-databasepd-tools-j2cache数据模型认证和鉴权流程 项目搭建 pd-tools-swagger2 pd-tools-dozer pd-tools-validator pd-tools-xss pd-t
渗透测试常见漏洞
Fzuim的博客
05-31 1460
渗透测试常见漏洞,XSS,CSRF
一、创建SpringBoot项目
weixin_39309918的博客
10-15 179
三、在application.yml文件配置Tomcat。五、配置application.yml所有文件。2、勾选所需要的依赖库。
HBuilderX安装+配置教程
Siobhan_Mxin的博客
09-08 4624
HBuilderX是当前最快的HTML开发工具,强大的代码助手帮你快速完成开发,最全的语法库和浏览器兼容性数据让浏览器碎片化不再头痛! 进入官网后,我们可以看到HBuilder目前有两个版本,一个是windows版,一个是mac版。 使用HBuilder新建项目. 依次点击文件→新建→选择Web项目 (按下Ctrl+N,W可以触发快速新建 (MacOS请使用Command+N,然后左键点击Web项目)) 如上图
[项目实战篇] Emos在线办公小程序--环境搭建
weixin_51338804的博客
03-13 3543
一: 零基础搭建项目 1.安装Mysql数据库; 2.安装MongoDBshu'ju
EMOS 1.2快速安装配置全攻略
- 安装准备,包括检查硬件环境和操作系统支持。 - 通过CD介质进行系统初始化和启动过程。 - 使用anacoda程序引导安装,涉及磁盘分区、GRUB boot loader配置、网络设置等。 - 用户交互界面,选择语言、键盘布局...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值