springboot保护web应用的安全

最新推荐文章于 2023-06-14 19:16:23 发布
最新推荐文章于 2023-06-14 19:16:23 发布
阅读量642 收藏 1
点赞数

文章来源:https://spring.io/guides/gs/securing-web/

一、创建一个简单的maven工程spring-boot-security,pom.xml依赖如下:

 <parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>2.1.4.RELEASE</version>
    </parent>

    <dependencies>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-thymeleaf</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
            <scope>test</scope>
        </dependency>
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-test</artifactId>
            <scope>test</scope>
        </dependency>
    </dependencies>

    <properties>
        <java.version>1.8</java.version>
    </properties>


    <build>
        <plugins>
            <plugin>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-maven-plugin</artifactId>
            </plugin>
        </plugins>
    </build>

二、创建springmvc配置类MvcConfig.java,并添加视图控制器

package com.szcatic.configurations;

import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.ViewControllerRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

@Configuration
public class MvcConfig implements WebMvcConfigurer {

    public void addViewControllers(ViewControllerRegistry registry) {
        registry.addViewController("/home").setViewName("home");
        registry.addViewController("/").setViewName("home");
        registry.addViewController("/hello").setViewName("hello");
        registry.addViewController("/login").setViewName("login");
    }

}

三、创建安全配置类WebSecurityConfig.java

package com.szcatic.configurations;

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.provisioning.InMemoryUserDetailsManager;

@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
	@Override
	protected void configure(HttpSecurity http) throws Exception {
		http.authorizeRequests().antMatchers("/", "/home").permitAll().anyRequest().authenticated().and()
			.formLogin().loginPage("/login").permitAll().and()
			.logout().permitAll();
	}

	@SuppressWarnings("deprecation")
	@Bean
	@Override
	public UserDetailsService userDetailsService() {
		UserDetails user = User.withDefaultPasswordEncoder().username("user").password("password").roles("USER")
				.build();
		return new InMemoryUserDetailsManager(user);
	}
}

四、在资源src/main/resources目录下新建文件夹templates,并分别创建文件home.html、hello.html、login.html

<!DOCTYPE html>
<html xmlns="http://www.w3.org/1999/xhtml" xmlns:th="http://www.thymeleaf.org" xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity3">
    <head>
        <title>Spring Security Example</title>
    </head>
    <body>
        <h1>Welcome!</h1>

        <p>Click <a th:href="@{/hello}">here</a> to see a greeting.</p>
    </body>
</html>
<!DOCTYPE html>
<html xmlns="http://www.w3.org/1999/xhtml" xmlns:th="http://www.thymeleaf.org"
      xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity3">
    <head>
        <title>Hello World!</title>
    </head>
    <body>
        <h1 th:inline="text">Hello [[${#httpServletRequest.remoteUser}]]!</h1>
        <form th:action="@{/logout}" method="post">
            <input type="submit" value="Sign Out"/>
        </form>
    </body>
</html>
<!DOCTYPE html>
<html xmlns="http://www.w3.org/1999/xhtml" xmlns:th="http://www.thymeleaf.org"
      xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity3">
    <head>
        <title>Spring Security Example </title>
    </head>
    <body>
        <div th:if="${param.error}">
            Invalid username and password.
        </div>
        <div th:if="${param.logout}">
            You have been logged out.
        </div>
        <form th:action="@{/login}" method="post">
            <div><label> User Name : <input type="text" name="username"/> </label></div>
            <div><label> Password: <input type="password" name="password"/> </label></div>
            <div><input type="submit" value="Sign In"/></div>
        </form>
    </body>
</html>

 五、创建引导类Application.java

package com.szcatic;

import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;

@SpringBootApplication
public class Application {

    public static void main(String[] args) throws Throwable {
        SpringApplication.run(Application.class, args);
    }

}

六、启动程序,运行引导类


  .   ____          _            __ _ _
 /\\ / ___'_ __ _ _(_)_ __  __ _ \ \ \ \
( ( )\___ | '_ | '_| | '_ \/ _` | \ \ \ \
 \\/  ___)| |_)| | | | | || (_| |  ) ) ) )
  '  |____| .__|_| |_|_| |_\__, | / / / /
 =========|_|==============|___/=/_/_/_/
 :: Spring Boot ::        (v2.1.4.RELEASE)

2019-04-21 20:48:12.323  INFO 19004 --- [           main] com.szcatic.Application                  : Starting Application on zsx with PID 19004 (F:\workspace4.11\spring-boot-security\target\classes started by admin in F:\workspace4.11\spring-boot-security)
2019-04-21 20:48:12.325  INFO 19004 --- [           main] com.szcatic.Application                  : No active profile set, falling back to default profiles: default
2019-04-21 20:48:13.361  INFO 19004 --- [           main] o.s.b.w.embedded.tomcat.TomcatWebServer  : Tomcat initialized with port(s): 8080 (http)
2019-04-21 20:48:13.390  INFO 19004 --- [           main] o.apache.catalina.core.StandardService   : Starting service [Tomcat]
2019-04-21 20:48:13.391  INFO 19004 --- [           main] org.apache.catalina.core.StandardEngine  : Starting Servlet engine: [Apache Tomcat/9.0.17]
2019-04-21 20:48:13.398  INFO 19004 --- [           main] o.a.catalina.core.AprLifecycleListener   : An older version [1.2.16] of the APR based Apache Tomcat Native library is installed, while Tomcat recommends a minimum version of [1.2.21]
2019-04-21 20:48:13.398  INFO 19004 --- [           main] o.a.catalina.core.AprLifecycleListener   : Loaded APR based Apache Tomcat Native library [1.2.16] using APR version [1.6.3].
2019-04-21 20:48:13.399  INFO 19004 --- [           main] o.a.catalina.core.AprLifecycleListener   : APR capabilities: IPv6 [true], sendfile [true], accept filters [false], random [true].
2019-04-21 20:48:13.399  INFO 19004 --- [           main] o.a.catalina.core.AprLifecycleListener   : APR/OpenSSL configuration: useAprConnector [false], useOpenSSL [true]
2019-04-21 20:48:14.436  INFO 19004 --- [           main] o.a.catalina.core.AprLifecycleListener   : OpenSSL successfully initialized [OpenSSL 1.0.2m  2 Nov 2017]
2019-04-21 20:48:14.659  INFO 19004 --- [           main] o.a.c.c.C.[Tomcat].[localhost].[/]       : Initializing Spring embedded WebApplicationContext
2019-04-21 20:48:14.659  INFO 19004 --- [           main] o.s.web.context.ContextLoader            : Root WebApplicationContext: initialization completed in 2292 ms
2019-04-21 20:48:14.824  WARN 19004 --- [           main] o.s.security.core.userdetails.User       : User.withDefaultPasswordEncoder() is considered unsafe for production and is only intended for sample applications.
2019-04-21 20:48:15.052  INFO 19004 --- [           main] o.s.s.web.DefaultSecurityFilterChain     : Creating filter chain: any request, [org.springframework.security.web.context.request.async.WebAsyncManagerIntegrationFilter@2d691f3d, org.springframework.security.web.context.SecurityContextPersistenceFilter@5f574cc2, org.springframework.security.web.header.HeaderWriterFilter@5fa05212, org.springframework.security.web.csrf.CsrfFilter@15b986cd, org.springframework.security.web.authentication.logout.LogoutFilter@ceb4bd2, org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter@62d0ac62, org.springframework.security.web.savedrequest.RequestCacheAwareFilter@7a9c84a5, org.springframework.security.web.servletapi.SecurityContextHolderAwareRequestFilter@2f6bbeb0, org.springframework.security.web.authentication.AnonymousAuthenticationFilter@1bdbf9be, org.springframework.security.web.session.SessionManagementFilter@5c09d180, org.springframework.security.web.access.ExceptionTranslationFilter@50b1f030, org.springframework.security.web.access.intercept.FilterSecurityInterceptor@325f7fa9]
2019-04-21 20:48:15.154  INFO 19004 --- [           main] o.s.s.concurrent.ThreadPoolTaskExecutor  : Initializing ExecutorService 'applicationTaskExecutor'
2019-04-21 20:48:15.391  INFO 19004 --- [           main] o.s.b.w.embedded.tomcat.TomcatWebServer  : Tomcat started on port(s): 8080 (http) with context path ''
2019-04-21 20:48:15.394  INFO 19004 --- [           main] com.szcatic.Application                  : Started Application in 3.422 seconds (JVM running for 4.398)

七、打开浏览器

7.1查看请求http://localhost:8080/

7.2 点击here链接(http://localhost:8080/login),进入登录页面

7.3输入用户名:user,密码:password,点击登录,进入登录成功问候界面

八、项目目录结构显示如下:

禅剑一如
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SpringBoot 如何防护 XSS 攻击 ??
doxopcsdn的博客
06-12 1628
跨站脚本攻击XSS是指攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被解析执行,从而达到恶意攻击用户的目的。XSS攻击针对的是用户层面的攻击!SQL注入(SQLi)是一种注入攻击,可以执行恶意SQL语句。它通过将任意SQL代码插入数据库查询,使攻击者能够完全控制Web应用程序后面的数据库服务器。攻击者可以使用SQL注入漏洞绕过应用程序安全措施;可以绕过网页或Web应用程序的身份验证和授权,并检索整个SQL数据库的内容;
实现SpringBoot应用安全性与防护
禅与计算机程序设计艺术
01-25 997
1.背景介绍 在现代软件开发中,安全性和防护是至关重要的。SpringBoot是一个流行的Java框架,它提供了许多功能来帮助开发者实现应用程序的安全性和防护。在本文中,我们将探讨如何实现SpringBoot应用程序的安全性和防护。 1. 背景介绍 SpringBoot是一个用于构建新型Spring应用程序的框架。它提供了许多功能来简化开发过程,包括自动配置、依赖管理、应用程序启动等。然而,...
Spring Boot 安全管理
weixin_68651384的博客
06-14 976
针对项⽬的安全管理,Spring家族提供了安全框架Spring Security,它是⼀个基于Spring⽣态圈的,⽤于提供安全 访问控制解决⽅案的框架。为了⽅便Spring Boot项⽬的安全管理,Spring Boot对Spring Security安全框架进⾏了 整合⽀持,并提供了通⽤的⾃动化配置,从⽽实现了Spring Security安全框架中包含的多数安全管理功能,下⾯针 对常⻅的安全管理功能进⾏介绍,具体如下。
springboot安全
2301_78145669的博客
05-27 1343
由于 Spring Boot 官方提供了大量的非常方便的开箱即用的 Starter ,包括 Spring Security 的 Starter ,使得在 Spring Boot 中使用 Spring Security 变得更加容易,甚至只需要添加一个依赖就可以保护所有的接口,所以,如果是 Spring Boot 项目,一般选择 Spring Security。它只需要很少的代码。我们使用cookie存放用户登录的信息,在spring拦截器进行权限控制,当权限不符合时,直接返回给用户固定的json结果。
Spring boot与安全
我爱小小怪的博客
08-07 585
一、Spring boot与安全 1、安全应用程序的两个主要区域是“认证”和“授权”(或者访问控制),这两个主要区域是安全的两个目标。 身份验证意味着确认您自己的身份,而授权意味着授予对系统的访问权限 认证 身份验证是关于验证您的凭据,如用户名/用户ID和密码,以验证您的身份。系统确定您是否就是您所说的使用凭据。在公共和专用网络中,系统通过登录密码验证用户身份。身份验证通常通过用户名和密码完成, 授权 另一方面,授权发生在系统成功验证您的身份后,最终会授予您访问资源(如信息,文件,数据库,资
springboot-jwt-security:Spring Boot示例应用程序,使用JWT(Json Web令牌)安全性身份验证来保护Rest Web Services
05-18
springboot-jwt-security Spring Boot示例应用程序,使用JWT(Json Web令牌)安全性身份验证来保护Rest Web Services 登录(获取令牌) 访问Echo API 访问用户API 越权存取
SpringBoot项目基于web的音乐网站.zip
04-13
SpringBoot项目基于Web的音乐网站是一个为音乐爱好者和艺术家设计的网络应用程序,旨在提供一个集音乐发现、分享和交流于一体的平台。该系统通过集成音乐播放器、歌曲库、用户社区等功能,实现了一个全面的音乐娱乐...
面向REST API的高性能认证鉴权框架,致力于管理保护API安全
06-08
面向 REST API 的认证鉴权,基于 RBAC (用户-角色-资源)主要关注于对 API 的安全保护。无特定Web框架依赖。无特定Web框架依赖(已有SpringBoot,Quarkus,Javalin,Ktor,Micronaut,Jfinal,Solon 等集成样例)。支持动态...
JAVA毕业设计之基于springboot的多媒体素材库的开发与应用(springboot+mysql)完整源码.zip
最新发布
06-14
Spring Security:这是一个提供身份验证和授权功能的框架,用于保护Web应用安全。 在功能方面,项目主要包括以下几个部分: 用户管理:包括用户的注册、登录、注销等功能。 素材管理:用户可以上传、下载、删除...
SpringBoot项目基于web的电影院购票系统.zip
04-13
SpringBoot项目基于Web的电影院购票系统是一个为电影爱好者设计的网络应用程序,旨在提供一个方便、快捷的电影票预订和购买平台。该系统通过集成电影信息展示、座位选择、在线支付和用户评论等功能,实现了一个全面...
SpringBoot-Web应用安全策略实现
月月鸟先森的博客
12-04 796
背景 近期项目上线,甲方要求通过安全检测才能进行验收,故针对扫描结果对系统进行了一系列的安全加固,本文对一些常见的安全问题及防护策略进行介绍,提供对应的解决方案 跨站脚本攻击 XSS常发生于论坛评论等系统,现在富文本编辑器已对XSS进行了防护,但是我们任需要在后端接口进行数据过滤, 常见防护策略是通过过滤器将恶意提交的脚本进行过滤与替换 public class XSSFilter implements Filter { @Override public void init(FilterCo
基于SpringBootWEB API项目的安全设计
anmishi2025的博客
05-21 411
SpringBoot的开箱即用功能,大大降低了上手一个WEB应用的门槛,友好的REST接口支持,在SpringCloud微服务体系中可编程性大大提高,本篇基于一个面向企业调用方用户的WEB API项目,基于SpringBoot来构建,简单看下接口的安全性模块设计。主要借助于基于AOP技术来进行接口的安全防护,在SpringBoot下直接引入spring-boot...
SpringBoot安全
小马亦识途
07-05 1470
如果Spring Security在classpath中,那么web应用默认对所有的HTTP端点使用’basic’认证。为了给web应用添加方法级别(method-level)的安全性,你还可以添加@EnableGlobalMethodSecurity和你想要的设置,额外的信息可以在Spring Security Reference中找到。
Springboot安全管理(一)
weixin_44044929的博客
08-19 1145
安全框架的介绍 在 Web 开发中,安全一直是非常重要的一个方面。安全虽然属于应用的非功能性需求,但是应该在应用开发的初期就考虑进来。 如果在应用开发的后期才考虑安全的问题,就可能陷入一个两难的境地:一方面,应用存在严重的安全漏洞,无法满足用户的要求,并可能造成用户的隐私数据被攻击者窃取;另一方面,应用的基本架构已经确定,要修复安全漏洞,可能需要对系统的架构做出比较重大的调整,因而需要更多的开发时间,影响应用的发布进程。因此,从应用开发的第一天就应该把安全相关的因素考虑进来,并在整个应用的开发过程中。 而安
Spring Boot 2.x实战91 - 响应式编程6 - 响应式安全控制(Reactive Spring Security)
汪云飞记录本
07-08 3275
5. Reactive Spring Security 5.1 Reactive Spring Security原理 Spring MVC的Security是通过Servlet的Filter实现的,而WebFlux的响应式Security是基于WebFilter实现的,由一些列的WebFilter形成的过滤器链。 认证 Spring WebFlux下的响应式安全和Spring MVC下的安全认证机制也是有概念对应的: Spring WebFlux Security Spring Web MVC
尝试Spring Boot2 WebFlux(启动失败了?不要怕)
明月阁
09-22 6556
原文链接:http://www.dubby.cn/detail.html?id=9030代码地址:https://github.com/dubby1994/web-flux-demo 已经迫不及待的要试试刚刚出炉的WebFlux了?哈哈,那你就来对了 pom.xml:<parent> <groupId>org.springframework.boot</groupId>
SpringSecurity系列之入门案例
kenewstar的博客
06-28 1321
一、创建一个普通Java项目 1. 修改pom.xml文件 <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.0.0
面试积累-SpringBoot-如何实现SpringBoot应用程序的安全性?
Rick1024
03-17 1638
为了实现 Spring Boot 的安全性,我们使用 spring-boot-starter-security 依赖项,并且必须添 加安全配置。它只需要很少的代码。配置类将必须扩展 WebSecurityConfigurerAdapter 并覆 盖其方法。 ...
SpringBoot安全
张议的博客
06-20 2105
文章目录一、安全 一、安全 Spring Security是针对Spring项目的安全框架,也是Spring Boot底层安全模块默认的技术选型。他可以实现强大的web安全控制。对于安全控制,我们仅需引入spring-boot-starter-security模块,进行少量的配置,即可实现强大的安全管理。几个类: WebSecurityConfigurerAdapter:自定义Security...
基于springbootweb项目
06-06
### 回答1: 答:Spring Boot是一个开源框架,它可以快速、方便地创建独立的Spring应用程序,可以从独立的Tomcat容器中运行,也可以作为一个WAR文件部署到外部的应用服务器中。它提供了一种简单的方法,可以搭建基于web应用程序,并且提供丰富的功能,可以满足现代Web应用程序的需求。好的,我可以使用中文回答有关基于Spring Boot的Web项目的问题。 Spring Boot是一个流行的Java框架,它使得开发Web应用程序变得更加简单和快速。以下是一些基于Spring Boot的Web项目的基本概念和组件: 1. 控制器(Controller): 控制器是Web应用程序中的一个组件,它处理来自Web浏览器的请求并发送响应。在Spring Boot中,我们可以使用`@RestController`注解来创建控制器类。 2. 视图(View): 视图是Web应用程序中的另一个组件,它负责显示数据和UI元素。在Spring Boot中,我们可以使用`Thymeleaf`或`Freemarker`等模板引擎来创建视图。 3. 路由(Router): 路由是一个将URL请求映射到相应的控制器方法的组件。在Spring Boot中,我们可以使用`@RequestMapping`或其他相关注解来配置路由。 4. 数据库访问: 大多数Web应用程序需要与数据库进行交互,以存储和检索数据。在Spring Boot中,我们可以使用JPA或MyBatis等ORM框架来简化数据库访问。 5. 安全性: Web应用程序需要保护用户数据和敏感信息。在Spring Boot中,我们可以使用Spring Security框架来实现身份验证和授权等安全性功能。 以上是基于Spring Boot的Web项目的一些基本概念和组件,当然还有很多其他的组件和功能可以使用。如果您有任何其他问题或需要更详细的解释,请随时问我。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值