安科网

Spring Security

neweastsun

neweastsun

2020-06-04

关注 关注

Spring Security

Spring家族的安全管理框架,竞品是Shiro。

虽然Security功能比Shiro强大,但Spring Boot出现之前,Security的整合比较麻烦,使得大部分项目选择使用Shiro。

Spring Boot对于Spring Security提供了自动化配置方案,常常配合使用。

Bcrypt加密

BCryptPasswordEncoder类实现了Bcrypt加密。

Bcrypt加密使用单向hash算法,每次加密结果不一样,因此无解密功能,即使数据库泄漏也很难破解密码。

BCryptPasswordEncoder可以加密(encode)和匹配(matches)。

实验

添加依赖

<!--security -->
<dependency>
	<groupId>org.springframework.boot</groupId>
	<artifactId>spring-boot-starter-security</artifactId>
</dependency>

编写配置类

添加Spring Security依赖后,访问任何URL都会进入自带的Login Page页面。

为了查看BCrypt加密效果,需要添加一个配置类,使得所有地址都可以匿名访问。

package com.ah.security;

import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.*;

@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

	@Override
	protected void configure(HttpSecurity http) throws Exception {
		// authorize:授权
		// authenticated:验证
		// csrf跨站点请求伪造(Cross—Site Request Forgery)
		http.authorizeRequests().antMatchers("/**").permitAll()
		.anyRequest().authenticated().and().csrf().disable();
	}
}

编写启动类,配置BCryptPasswordEncoder的@Bean

package com.ah;

import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;
import org.springframework.context.annotation.Bean;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;

@SpringBootApplication
public class Application {
	public static void main(String[] args) {
		SpringApplication.run(Application.class, args);
	}

	@Bean
	public BCryptPasswordEncoder encoder() {
		return new BCryptPasswordEncoder();
	}
}

测试加密(regist)和密码匹配(login)

package com.ah.security;

import javax.servlet.http.HttpServletRequest;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.web.bind.annotation.*;
import io.jsonwebtoken.Claims;

@RestController
public class UserController {
	@Autowired
	BCryptPasswordEncoder encoder;
	static String DUMMY_DB_PWD = "";

	@GetMapping("/BCrypt/regist/{pwd}")
	public String regist(@PathVariable String pwd) {
		pwd = encoder.encode(pwd);
		// DUMMY:存入数据库
		DUMMY_DB_PWD = pwd;
		return "pwd = " + DUMMY_DB_PWD;
		// http://127.0.0.1:8080/BCrypt/regist/123
	}

	@GetMapping("/BCrypt/login/{pwd}")
	public String login(@PathVariable String pwd) {
		// DUMMU:从数据库根据用户名,取登录用户信息
		if (encoder.matches(pwd, DUMMY_DB_PWD)) {
			return "login Success";
		} else {
			return "login Fail";
		}
		// http://127.0.0.1:8080/BCrypt/login/123
	}
}

JWT

Json Web Token,是一种规范,定义了基于Json和Token的身份验证机制

JWT使得信息可以在客户端和服务器之间可靠传递,适用于分布式站点的单点登录。

JWT基于Token验证,在服务端不存储用户的登录记录,流程如下:

  1. 客户端发送登录请求
  2. 服务器验证成功后,发送一个Token给客户端。
  3. 客户端存储Token,可以存在Cookie里。
  4. 客户端每次向服务器发送请求时,都要携带该Token。
  5. 服务器收到请求,对Token进行验证,验证成功就继续处理。

Token机制的好处:

  • 支持跨域访问(Cookie不支持)
  • 支持多平台(移动平台支持Cookie)
  • 不用考虑scrf(跨站点请求伪造)。
  • 无状态,即服务器不存储登录信息
  • 解耦
  • 性能:相对session存储登录信息的形式,JWT性能更好。
  • 标准化:JWT已被多种技术所支持(Java、.NET、Python、PHP、Ruby等)

JWT是字符串,由三部分组成:头部header、载荷playload、签名signature。如:

eyJhbGciOiJIUzI1NiJ9.
eyJqdGkiOiIwMDciLCJzdWIiOiLpgqblvrciLCJpYXQiOjE1OTEyMDE0MjMsImV4cCI6MTU5MTIwNTAyMywicm9sZSI6ImFkbWluIn0.
Rd0IOiEoLodeZDDikS7to4JakThtYOCUtCJ3alCHjQM

  • header:描述基本信息,如类型或签名算法等。

  • playload:载荷,存放有效信息,包括标准声明、公共声明、私有声明。

  • signature:签名。

JJWT实现JWT

<!-- JJWT:Token认证 -->
<dependency>
	<groupId>io.jsonwebtoken</groupId>
	<artifactId>jjwt</artifactId>
	<version>0.9.1</version>
</dependency>
<!-- 如果测试出错,则加入此包 -->
<dependency>
	<groupId>javax.xml.bind</groupId>
	<artifactId>jaxb-api</artifactId>
</dependency>

编写测试类(其实就是工具类,后面用)

  • 新建JWT字符串
    • 注意自定义属性(claim:声明)
  • 解析JWT字符串
package com.ah.security;
import java.util.Date;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.context.annotation.Configuration;
import io.jsonwebtoken.*;
@Configuration
public class JWTUtil {
	@Value("andy")
	private String key;
	@Value("3600000") // 60min*60s*1000ms
	private long ttl;// time to live,生存时间

	public String createJWT(String _id, String _subject, String _role) {
		JwtBuilder builder = Jwts.builder();
		builder.setId(_id);
		builder.setSubject(_subject);
		builder.setIssuedAt(new Date());// 发行时间
		builder.signWith(SignatureAlgorithm.HS256, key);// 签名
		long nowMillis = System.currentTimeMillis();
		builder.setExpiration(new Date(nowMillis + ttl));// 失效时间
		// 自定义属性(claim:声明)
		builder.claim("role", _role);
		String strJWT = builder.compact();// 把…紧压在一起
		return strJWT;
	}

	public Claims parserJWT(String strJWT) {
		JwtParser parser = Jwts.parser();
		parser.setSigningKey(key);
		Jws<Claims> parseClaimsJws = parser.parseClaimsJws(strJWT);
		Claims body = parseClaimsJws.getBody();
		return body;
	}

	public static void main(String[] args) {
		JWTUtil jwt = new JWTUtil();
		jwt.key = "andy";
		jwt.ttl = 3600000;
		String str = jwt.createJWT("007", "邦德", "admin");
		System.out.println(str);
		Claims body = jwt.parserJWT(str);
		System.out.println("Id=" + body.getId());
		System.out.println("Subject=" + body.getSubject());
		System.out.println("IssuedAt=" + body.getIssuedAt());
		System.out.println("Expiration=" + body.getExpiration());
		System.out.println("role=" + body.get("role"));
	}
}

应用:鉴权

  • 使用拦截器对用户进行鉴权。
  • 登录页面不拦截。
  • 用户登录,获得token。
  • 用户发送一个Delete请求,该请求被鉴权。

拦截器

package com.ah.security.interceptor;
import javax.servlet.http.*;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Component;
import org.springframework.web.servlet.HandlerInterceptor;
import com.ah.security.JWTUtil;
import io.jsonwebtoken.Claims;

@Component
public class JWTInterceptor implements HandlerInterceptor {

	@Autowired
	private JWTUtil jwtUtil;

	@Override
	public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler)
			throws Exception {
		System.out.println("---preHandle---拦截---" + request.getRequestURI());

		String jwt = request.getHeader("Authorization");
		if (jwt != null) {
			System.out.println(jwt);
			// 解析JWT
			Claims claims = jwtUtil.parserJWT(jwt);
			// 根据role,设置属性
			String role = (String) claims.get("role");
			if ("admin".equalsIgnoreCase(role)) {
				request.setAttribute("role_admin", claims);
			} else if ("user".equalsIgnoreCase(role)) {
				request.setAttribute("role_user", claims);
			}
		}
		return true;
	}
}

拦截器配置类

package com.ah.security.interceptor;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurationSupport;

@Configuration
public class ApplicationConfig extends WebMvcConfigurationSupport {
	@Autowired
	private JWTInterceptor jwtInterceptor;

	@Override
	protected void addInterceptors(InterceptorRegistry registry) {
		InterceptorRegistration registration = registry.addInterceptor(jwtInterceptor);
		registration.addPathPatterns("/**");// 全部拦截
		registration.excludePathPatterns("/**/login/**");// 不拦截
	}
}

配置器中加两个方法

@Autowired
	private JWTUtil jwtUtil;

	@GetMapping("/jwt/login/{pwd}")
	public String jwt_login(@PathVariable String pwd) {
		// DUMMU:从数据库根据用户名,取登录用户信息
		DUMMY_DB_PWD = encoder.encode(pwd);
		if (encoder.matches(pwd, DUMMY_DB_PWD)) {
			System.out.println("登录成功");
			// 登录成功后,返回给用户jwt(这里直接返回字符串,但实际项目中一般会封装到结果对象中)
			String jwt = jwtUtil.createJWT("DUMMY_ID", pwd, "admin");
			return jwt;
		} else {
			System.out.println("登录失败");
			return "login Fail(JWT)";
		}
		// http://127.0.0.1:8080/jwt/login/123
	}

	@GetMapping("/jwt/delete")
	public String adminDelete(HttpServletRequest request) {
		Claims claims = (Claims) request.getAttribute("role_admin");
		if (claims == null) {
			return "Permission denied";
		}
		// do something
		return "Delete Success";
		// http://127.0.0.1:8080/jwt/delete
        // postman测试,Headers中新建Authorization,value=jwt
	}

shiro spring框架 bcrypt

neweastsun

neweastsun

0 关注 0 粉丝 0 动态

关注 关注

相关推荐

不用 Spring Security 可否?试试这个小而美的安全框架

写在前面在一款应用的整个生命周期,我们都会谈及该应用的数据安全问题。用户的合法性与数据的可见性是数据安全中非常重要的一部分。但是,一方面,不同的应用对于数据的合法性和可见性要求的维度与粒度都有所区别;另一方面,以当前微服务、多服务的架构方式,如何共享Ses

MicroBoy 2020-08-02

Spring Security 从入门到实战

Spring Security 和 Apache Shiro 都是安全框架,为Java应用程序提供身份认证和授权。本片文章将讲述Security入门到项目实战使用。其中包括简单的登录和项目常用的权限管理,权限校验有两种方式、角色资源校验、URL校验,如果有

MicroBoy 2020-07-05

shiro配合druid使用下URL拦截权限设置为anno时遇到的问题

在使用shiro做权限控制的一个系统中,其中有一个页面需要配置为无需登录就能访问,配置方法如下。这里配置的意思就是所有人都能直接访问 /test 这个路径,但是实际访问时,却报如下错误:

杜鲁门 2020-11-05

springboot windows10风格 工作流 整合项目框架源码 shiro 安全框架

此项目为Springboot工作流版本 windows 风格,浏览器访问操作使用,非桌面应用程序。

luckyxl0 2020-08-16

windows10风格 springboot mybatis 项目框架源码 shiro flowable工作流

此项目为Springboot工作流版本 windows 风格,浏览器访问操作使用,非桌面应用程序。

Dullonjiang 2020-08-09

Apache Shiro 反序列化(CVE-2016-4437)复现

shiro默认使用CookieRememberMeManager,对rememberMe的cookie做了加密处理,在CookieRememberMeManaer类中将cookie中rememberMe字段内容先后进行序列化、AES加密、Base64编码操

xclxcl 2020-08-03

Apache Shiro 反序列化(CVE-2016-4437)复现

shiro默认使用CookieRememberMeManager,对rememberMe的cookie做了加密处理,在CookieRememberMeManaer类中将cookie中rememberMe字段内容先后进行序列化、AES加密、Base64编码操

zmzmmf 2020-08-03

springboot windows10风格 工作流 整合项目框架源码 shiro

此项目为Springboot工作流版本 windows 风格,浏览器访问操作使用,非桌面应用程序。

ganjing 2020-08-02

【Shiro】05 自定义Realm认证实现

Shiro默认使用自带的IniRealm,IniRealm从ini配置文件中读取用户的信息,大部分情况下需要从系统的数据库中读取用户信息,所以需要自定义realm。public abstract class CachingRealm implements

likesyour 2020-08-01

springboot windows10风格 工作流 整合项目框架源码 shiro 安全框架

此项目为Springboot工作流版本 windows 风格,浏览器访问操作使用,非桌面应用程序。

zmzmmf 2020-07-09

springcloud vue.js 微服务 分布式 flowable 工作流 前后分离 shiro权限

三:系统服务 -----------------------------------------------------------------------------------------------------1. 权限管理:点开二级菜单进入三级菜单

zzhao 2020-06-26

springcloud vue.js 微服务分布式 activiti工作流 前后分离 集成代码生成器 shiro权限

三:系统服务 -----------------------------------------------------------------------------------------------------1. 权限管理:点开二级菜单进入三级菜单

子云 2020-06-18

shiro java 反序列漏洞复现

返回值中能在set-cookie很明显看到rememberme=deleteme 这个的字段,那么很有可能存在shiro漏洞。运行shiro.py根据域名生成payload,后面的网址就是上一步生成的域名,前面自己加上http://头。复制payload,

visionzheng 2020-06-07

SpringBoot11:集成Shiro

Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。Cryptography:加密,使用密码学

ErixHao 2020-06-03

Shiro+JWT 实现权限管理(一)--Shiro

再后来的工作过程中,发现了shiro的一些不足之处--对于多端登录支持不是很友好,需要自己去实现具体功能.在大致研究了JWT功能后,决定对之前写的权限管理做一些优化--使用JWT做认证,配合Shrio强大的授权功能,实现更加全面、轻量化的权限管理.之前那篇

GDreams0 2020-06-01

springboot整合shiro

Shiro是Apache下的一个开源项目。shiro属于轻量级框架,相对于SpringSecurity简单的多,也没有SpringSecurity那么复杂。

ganjing 2020-05-29

Java项目源码 考试系统 springboot mybaits vue.js 前后分离跨域 shiro 权限

34. 成绩管理:可以根据条件检索考生成绩,分值排序逆序,查看排名,查看考生试卷信息,查看试题统计图。列表动态滑动放大展示。

zmzmmf 2020-05-28

shiro配置登录验证(前后端分离项目)

本次只是记录一下启用shiro配置过程遗忘掉的几个关键点,首先项目是前后端分离的后台,提供json格式的接口数据,但又是一个web项目,现在要控制登录之后才能使用1、ShiroFilterFactoryBean我这里是一个自定义的,继承ShiroFilte

nullcy 2020-05-26

30分钟学会如何使用Shiro

要学习如何使用Shiro必须先从它的架构谈起,作为一款安全框架Shiro的设计相当精妙。Shiro的应用不依赖任何容器,它也可以在JavaSE下使用。但是最常用的环境还是JavaEE。下面以用户登录为例:。token可以理解为用户令牌,登录的过程被抽象为S

ganjing 2020-05-22

springcloud vue.js 微服务分布式 activiti工作流 前后分离 集成代码生成器 shiro权限

三:系统服务 -----------------------------------------------------------------------------------------------------1. 权限管理:点开二级菜单进入三级菜单

shixiaoguo0 2020-05-06
neweastsun

neweastsun

W3CSchool教程
HTML 教程
CSS 教程
Bootstrap 教程
Javascript 教程
jQuery 教程
后端教程
C 教程
Java 教程
PHP 教程
Python 教程
Go 教程
移动开发
Android 教程
Swift 教程
Kotlin 教程
jQuery Mobile 教程
ionic 教程
关于我们
新闻动态
联系方式
招聘英才
安科实验室
帮助与反馈

安科网(Ancii),中国第一极客网

Copyright © 2013 - 2019 Ancii.com

京ICP备18063983号 京公网安备11010802014868号