springSecurity
lcctt
新人
展开
-
Spring Security之CSRF攻击
1.CSRF攻击简介SRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,其攻击原理如下: 1. 用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A; 2. 在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A; 3. 用户未退出网站A之前...原创 2019-12-05 21:48:45 · 610 阅读 · 0 评论 -
Spring Security之跨域和CORS
1.跨域跨域,实质上是浏览器的一种保护处理。如果产生了跨域,服务器在返回结果时就会被浏览器拦截(注意:此时请求是可以正常发起的,只是浏览器对其进行了拦截),导致响应的内容不可用1.1 产生跨域的几种情况也就是请求的URL和页面所在的URL的首部不同时就会产生跨域1.2 解决跨域之JSONP实现原理:浏览器允许一些带src属性的标签跨域,也就是在某些标签的src属性上写url地址是不会...原创 2019-12-05 00:38:27 · 508 阅读 · 0 评论 -
spring security之密码管理
1.spring security的加密机制spring security内置了密码加密机制,只需要一个PasswordEncoder接口public interface PasswordEncoder { // 用数据库存储用户密码时,加密过程使用encode方法 String encode(CharSequence var1); // 用于判断用户登录时输入的密码是否正确 ...原创 2019-12-04 23:29:54 · 403 阅读 · 0 评论 -
spring security之会话管理
1.会话固定攻击会话固定攻击(session fixation attack)是利用应用系统在服务器的会话ID固定不变机制,借助他人用相同的会话ID获取认证和授权,然后利用该会话ID劫持他人的会话以成功冒充他人,造成会话固定攻击。整个攻击流程是:1、攻击者Attacker能正常访问该应用网站;2、应用网站服务器返回一个会话ID给他;3、攻击者Attacker用该会话ID构造...原创 2019-12-03 00:43:48 · 857 阅读 · 0 评论 -
SpringSecurity之注销登录
1. 默认logoutspring security在我们配置HttpSecurity的时候就已经默认注册了一个logoutHandler,其路由为/logout,用户可以访问该路由来安全地注销其登录状态,比如session失效、清空remember-me的cookie、清除SecurityContextHandler等等。2.自定义logout http..... .logout()...原创 2019-12-02 00:23:02 · 853 阅读 · 1 评论 -
SpringSecurity之自动登录
1 散列加密方案在spring security中加入自动登录功能: @Autowired private MyUserDetailsService userDetailsService; protected void configure(HttpSecurity http){ http...... .formLogin() .and() .rememberMe()...原创 2019-11-29 01:01:11 · 483 阅读 · 0 评论 -
SpringSecurity之添加过滤器
案例:实现验证码校验1.使用过滤器实现验证码校验1.1 创建过滤器/***spring security对过滤器没有特别要求,一般继承filter即可。*但是在spring中一般推荐使用OncePerRequestFilter(确保一次请求只会通过一次该过滤器)*/public class VerificationCodeFilter extends OncePerRequestFi...原创 2019-11-28 00:19:50 · 4742 阅读 · 3 评论 -
SpringSecurity权限与认证
1. 默认数据库模型的认证与授权1.1 基于内存的多用户模型在进行测试之前,需要配置一些测试的controller,然后在SpringSecurity配置类中进行配置在springSecurity中,存在一个默认用户user,但是在开发中肯定是不行的,所以我们要配置多个用户,引入多个用户的方式有多种,首先介绍UserDetailsService的配置方法 @Bean publ...原创 2019-11-24 02:18:05 · 408 阅读 · 0 评论 -
SpringSecurity之表单验证
1.默认表单验证首先在config包中新建一个SpringSecurity的配置类 @EnableWebSecurity public webSecurityConfig extends WebSecurityConfigureAdapter{ }在该配置类中有三个常重写的方法: @Override // 配置springSecurity用户和权限 protect...原创 2019-11-23 23:27:08 · 276 阅读 · 0 评论