SpringMVC应用安全机制学习笔记

最新推荐文章于 2022-05-10 13:54:42 发布
最新推荐文章于 2022-05-10 13:54:42 发布
阅读量185 收藏
点赞数
文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yichengjie_c/article/details/113474886
版权
基于basic的安全认证
  1. Basic认证
    @Component
public class BasicAuthenticationFilter extends OncePerRequestFilter {
    @Autowired
    private UserRepository repository ;
    @Override
    protected void doFilterInternal(HttpServletRequest request,
        HttpServletResponse response, FilterChain chain) throws ServletException, IOException {
        String authHeader = request.getHeader("Authorization");
        if (StringUtils.isNoneBlank(authHeader)){
            String token64 = StringUtils.substringAfter(authHeader, "Basic ");
            String token = new String(Base64Utils.decodeFromString(token64)) ;
            String [] items = StringUtils.splitByWholeSeparatorPreserveAllTokens(token, ":") ;
            String username = items[0] ;
            String password = items[1] ;
            User user = repository.findByUsername(username);
            if (user != null && StringUtils.equals(password, user.getPassword())){
                request.setAttribute("user", user);
            }
        }
        chain.doFilter(request, response);
    }
}
基于Acl的授权模式
  1. Acl授权核心代码编写
    @Component
public class AclInterceptor implements HandlerInterceptor {
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        boolean result = true ;
        User user = (User) request.getAttribute("user");
        if (user == null){
            response.setContentType("text/plain");
            response.getWriter().write("need authentication");
            response.setStatus(HttpStatus.UNAUTHORIZED.value());
            response.getWriter().flush();
            result = false ;
        }else {
            String method = request.getMethod();
            if (!user.hasPermission(method)){
                response.setContentType("text/plain");
                response.getWriter().write("request forbidden");
                response.setStatus(HttpStatus.FORBIDDEN.value());
                response.getWriter().flush();
                result = false ;
            }
        }
        return result;
    }
}
  2. 配置Acl拦截器
    @Configuration
public class SecurityConfig implements WebMvcConfigurer {
    @Autowired
    private AclInterceptor aclInterceptor ;

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(aclInterceptor) ;
    }
}
审计日志模块
  1. 编写审计核心代码
    @Component
public class AuditLogInterceptor implements HandlerInterceptor {

    @Autowired
    private AuditLogRepository repository ;

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        AuditLog log = new AuditLog() ;
        log.setMethod(request.getMethod());
        log.setPath(request.getRequestURI());
        User user = (User)request.getAttribute("user");
        if (user != null){
            log.setUsername(user.getUsername());
        }
        log.setCreatedTime(LocalDateTime.now());
        log.setModifyTime(LocalDateTime.now());
        repository.save(log) ;
        request.setAttribute("auditLogId", log.getId());
        return true;
    }

    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
        Integer auditLogId = (Integer)request.getAttribute("auditLogId");
        AuditLog auditLog = repository.findById(auditLogId).get();
        auditLog.setStatus(response.getStatus());
        auditLog.setModifyTime(LocalDateTime.now());
        repository.save(auditLog) ;
    }
}
  2. 添加统一异常处理(默认出错后跳转到/error地址)
    @RestControllerAdvice
public class ErrorHandler {
    @ResponseStatus(HttpStatus.INTERNAL_SERVER_ERROR)
    @ExceptionHandler(Exception.class)
    public Map<String, Object> handle(Exception e){
        Map<String, Object> info = new HashMap<>() ;
        info.put("msg", e.getMessage()) ;
        info.put("time", LocalDateTime.now()) ;
        return info ;
    }
}
yicj
关注
spring MVC 3.1 spring security 注解实现安全机制
06-28
spring MVC 3.1+spring security3.1+mybaits+ 注解 实现安全机制。jar包没有上传。自己补充
传智播客Springmvc+mybatis由浅入深学习笔记
12-12
《传智播客Springmvc+mybatis由浅入深学习笔记》是一套全面解析Springmvc和Mybatis两大主流Java框架的教程,旨在帮助初学者和进阶者深入理解这两个技术的核心概念和应用。该资源包括了四部分课堂笔记,分别是...
asp.net MVC 常见安全问题及解决方案
weixin_30512785的博客
04-15 182
一.CSRF Example : 在登陆状态下进入了攻击网站向安全站点发送了请求。 Solution: 在view 中使用 @Html.AntiForgeryToken(), 在Action 上加上 [ValidateAntiForgeryToken] 特性。 再次点到跨域请求的时候就会显示 : “The required anti-forge...
mvc 与 前端的数据交互安全机制
随记
04-26 412
通过一些代码过滤验证,与前端使用交互token实现限制访问端,避免使用非正常工具访问,应可满足一些等保需求。 控制器代码: /// <summary> /// 所有方法只支持post方式 /// </summary> public class StunController : BaseController { #reg...
spring mvc 安全
weixin_30572613的博客
04-03 62
1,使用 spring form 标签 防 csrf 攻击 2,标明请求方法:RequestMethod.GET,RequestMethod.POST, PATCH, POST, PUT, and DELETE 如果不标明,默认以上所有请求类型都会接受处理(面太广),给黑客留下伪造请求的隐患。 3,防 XSS 1)web.xml中添加 <context-para...
SpringMVC总结和初识JSON
qq_55946115的博客
08-09 290
初识JSON 概念:json是一种类似于xml的文件,但是它比xml更小,传输更快,更容易被解析,而且json在JavaScript中可以直接转化为js对象。非常适合前端去读取到我们后端传递过来的数据。 JSON 指的是 JavaScript 对象表示法(JavaScript Object Notation) JSON 是轻量级的文本数据交换格式 JSON 独立于语言:JSON 使用 Javascript语法来描述数据对象,但是 JSON 仍然独立于语言和平台。JSON 解析器和 JSON 库支持许多不同
SpringMVC学习笔记学习路线,详细
08-11
SpringMVC 学习笔记涵盖了从基础到高级的多个方面,如源码分析、实例代码、Maven 配置、Web.xml 配置以及注解驱动的编程。对于初学者来说,理解 SpringMVC 的工作流程至关重要。SpringMVC 的工作流程通常始于浏览器...
springmvc学习笔记.zip
08-10
这个“springmvc学习笔记.zip”文件很可能包含了关于如何理解和使用SpringMVC的详细教程或个人学习记录。以下是一些核心知识点的详细说明: 1. **MVC架构**:MVC是一种设计模式,将应用程序分为三个主要组件:模型...
Spring+SpringMVC基础学习笔记(b站课程学习笔记
03-24
SpringMVC学习则需要掌握请求处理流程,包括DispatcherServlet的调度机制,以及如何通过注解和配置文件定义控制器、模型属性和视图解析。同时,理解ModelAndView类的作用,以及如何进行模型数据的传递和视图的跳转...
深入解析SpringMVC与Mybatis学习笔记
资源摘要信息:"SpringMVC学习笔记.zip" SpringMVCJava EE企业应用开发中常用的MVC框架之一,它基于Servlet API,与Spring框架无缝集成,支持RESTful风格的应用程序开发。本学习笔记详细记录了SpringMVC的核心概念...
基于springmvc的轻量级安全认证框架
08-08
抛弃Shiro、Spring Security等安全框架繁琐的配置,改为注解实现权限管理,配合Spring MVC的RequestMapping注解,完美实现细粒度的权限控制。
spring-boot-basic-auth:使用基本身份验证的安全Spring Boot REST API
02-04
弹簧启动基本认证 使用基本身份验证来保护Spring Boot REST API
MVC中 数据底层联合JQUERY实现动态的安全的验证机制
weixin_33738982的博客
12-06 96
实体的验证分部类定义如下 前台controller里进行数据有效性的验证,成功就进行数据处理,不成功就返回错误 前台页面配合JQuery强大的验证功能,实现动态验证 MVC集成表单验证输出单元,显示验证错误消息 怎么样,MVC够酷吧,呵呵! 本文转自博客园张占岭(仓储大叔)的博客,原文链接:MVC中 数据底层联合JQUERY实现动态的安全的验证...
Spring的安全机制
weixin_30667301的博客
10-16 338
Spring Security:它提供全面的安全性解决方案,同时在Web请求和方法调用处理身份确认和授权,利用依赖注入和aop技术。主要名词: 1,安全拦截器:相当应用的一把锁,能够阻止对应用程序中保护资源的访问(通常是用户名和密码 正确才能打开锁)。 2,认证管理器:通过用户名和密码来做到这点的,负责确定用户的身份。 3,访问决策管理器:根据你的身份来确定你是否拥有对资源的访问,即授权管理...
Spring MVC框架安全浅析
weixin_50464560的博客
05-10 495
转载至https://xz.aliyun.com/t/10590?tt_prefers_color_scheme=light&share_token=6c52dbcd-46a5-445e-a7a3-190602fc1231#toc-0 以下内容均为笔者粗陋的见解,如有误解之处,请您批评指正。 Spring框架安全 Spring简介 Spring是目前Java应用最广泛的框架之一,是拥有着IoC和AOP的优秀机制的容器框架。 而Spring MVC,则是Spring提
asp.net mvc中的安全
weixin_30315723的博客
07-30 230
1.重复提交攻击:通过Bind特性指定要绑定和不绑定的值。 2.Cookie盗窃:阻止脚本对站点中Cookie的访问,webconfig文件中添加<HttpCookies domain="" httpOnlyCookies="true" requireSSL="false"> 3.开放重定向:登录重定向是开放重定向攻击的一个目标,用Url.IsLocalURl()方法验证重定向地址...
Spring学习笔记之Spring MVC的工作机制
薛小强Forever
03-05 1303
目前市场上主流的MVC框架是Spring MVC和Struts。前面我们介绍了Spring框架的设计理念,这一篇我们介绍Spring MVC。Spring MVC与Spring框架是无缝结合的。本文基于Spring2.3.6版本介绍Spring MVC 的总体设计,然后再介绍其对应的M、V、 C分别是什么。
ASP.NET MVC – 安全简介
Free雅轩的博客
02-25 155
为了学习 ASP.NET MVC,我们将构建一个 Internet 应用程序:添加安全。 MVC 应用程序安全 Models 文件夹包含表示应用程序模型的类。 Visual Web Developer 自动创建 AccountModels.cs 文件,该文件包含用于应用程序认证的模型。 AccountModels 包含 LogOnModel、ChangePasswordModel 和 RegisterModel: Change Password 模型 public class Chang
Spring Security安全框架
Lamb_quan的博客
02-13 451
一、Spring Security 的原理介绍 Spring Security 是基于spring和Servlet规范中的Filter实现的,使用Filter保护web请求并心智URL级别的访问,为企业应用系统提供声明式的安全访问控制的安全框架,它提供了一组可以在spring应用上下文配置的Bean,充分利用了Spring IOC 、DI和AOP的功能,为应用系统提供声明式的安全访问控制功能,减...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值