springBoot(十一)Spring-Security应用回顾

最新推荐文章于 2022-10-24 20:20:59 发布
最新推荐文章于 2022-10-24 20:20:59 发布
阅读量207 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: springSecurity springBoot 文章标签: spring-security springboot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/CoffeeAndIce/article/details/118860744
本文详细介绍Spring Security的不同应用场景,包括基于内存的身份验证、权限控制、Session管理等,并介绍JWT的实现原理及其在Spring Security中的应用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录

一、环境基础

中间件/编程语言版本
java1.8+ (1.8建议用291版本)
springboot2.5.0.REKASE

某些名词概念信息,可以参考链接文章,主要是对Spring-cloud-oauth2中内容的描述

二、示例工程

之所以出现基于内存示例描述,是因为可以以sql或nosql等方式去存储

(1)(内存)入门示例

主要了解Spring-Security的用户校验功能
示例链接:https://github.com/CoffeeAndIce/spring-security/tree/master/security-demo-1

默认上,如果都不设置,一旦配置了依赖并启动
就会生成基于user为用户名,利用UUID.randomUUID().toString()生成随机 密码的
一个基本用户让你登陆校验。

其中,密码会在控制台中输出

(2)(内存)权限控制示例

(1)了解权限注解的具体使用
(2)了解自定义编码器的定义方式
示例链接:https://github.com/CoffeeAndIce/spring-security/tree/master/security-demo-2

 一般来说,定义的用户拥有什么权限,我们是需要定义的。
同时,用户能基于这个权限,能访问我们什么端点(接口/URL),端点上如何限制访问又是一个问题


我们除了使用Spring-Security自带的密码编码器外,还可以自定义编码器吗?

(3)整合Spring-Session

主要针对多台机器Session问题方案处理,利用集群机制之外的处理方案,避免宕机后交互数据不正常
示例:https://github.com/CoffeeAndIce/spring-security/tree/master/security-demo-3

基于Redis 存储方案

(1)需要基于redis 2.8+ 以上的中间件
示例链接:https://github.com/CoffeeAndIce/spring-security/tree/master/security-demo-3/RedisHandler

基于MongoDB存储方案

示例链接:https://github.com/CoffeeAndIce/spring-security/tree/master/security-demo-3/MongoDBHandler

(4)(内存)oauth2-授权与资源分离

(1)授权服务器与资源服务器分离搭建
(2)基础测试模型搭建
(3)相关接口的postMan 脚本是基于2.0的格式的,在链接同目录下
示例链接 https://github.com/CoffeeAndIce/spring-security/tree/master/security-demo-4

测试端点描述原生模型
密码模式(password)
授权码模式(authorization_code)
简化模式(implicit)
客户端模式(client_credentials)
校验令牌
刷新令牌
删除令牌

(5) 基于jwt自定义登陆方式的处理

(1) 利用WebSecurityConfigurerAdapter定义自己的鉴权方式
(2) 分析WebSecurityConfigurerAdapter的基于表单及自定义的鉴权流程
示例链接: https://github.com/CoffeeAndIce/spring-security/tree/master/security-demo-5

什么是JWT(JSON WEB TOKEN)

适用于分布式站点传递信息的一个标准(本身不保证安全)【简单对称算法】
整体来说就就是将标识部分信息内容部分进行加密处理,以最后一部分进行加密验证

通常现在整体结构分为三个部分:header、playload、signature,以圆点.组合拼接构成

1、header(头部信息)

对头部内容进行base64编码

{
  'typ': 'JWT', //这个基本不需要变化,用于统一标准辨识,当然有个人需要也可以改变
  'alg': 'HS256' //举例子都用默认的,当然这里可以自定义算法,用于自辨析
}
2、playload(信息载体)

对内容进行base64编码【尽量不要将涉密信息写在里面】

{
  "expire": "1234567890", //设置过期时间是为了更好使用令牌
  "name": "Ringo",
}
3、signature(签名验证)

这部分开始组装,将1、2部分的内容以圆点.连接,设为X

将X以声明的方式HS256(上方假定的加密方式)加密 X与自定义盐(自定义的salt)组合的内容,形成第三部分

// 伪代码如下
let X = base64UrlEncode(header) + '.' + base64UrlEncode(payload);

let signature = HMACSHA256(X, 'secret');// secret指代自定义加盐

最后jwt为:

X+‘.’+signature ==> jwt
Spring Boot-搭建SpringSecurity(保姆级别)
2301_82242204的博客
04-09 3504
看完美团、字节、腾讯这三家的一二三面试问题,是不是感觉问的特别多,可能咱们真的又得开启面试造火箭、工作拧螺丝的模式去准备下一次的面试了。开篇有提及我可是足足背下了Java互联网工程师面试1000题,多少还是有点用的呢,换汤不换药,不管面试官怎么问你,抓住本质即可!能读到此处的都是真爱Java互联网工程师面试1000题。
Springboot +spring security,认证方式---Form表单认证的实现()
weixin_40991408的博客
05-29 949
Springboot +spring security,认证方式---Form表单认证的实现()
10-SpringBoot工程中Spring Security应用实践
雨田说码
09-09 3457
SpringSecurity 应用 简介 Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。 认证授权分析 用户在进行资源
SpringBoot中简单使用Spring Security(随笔)
guo_jun_123的博客
04-29 183
SpringBoot中简单使用Spring Security(随笔) 导入相关依赖 ; <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> 定义一个Spring Security配置类继承自WebSec
SpringBootSpringSecurity的使用
岁月平添了我的愁
01-20 242
SpringSecurity 简介: ​ Spring Security是针对Spring项目的安全框架,也是Spring Boot底层安全模块默认的技术选型,他可以实现强大的Web安全控制,对于安全控制,我们仅需要引入spring-boot-starter-security模块,进行少量的配置,即可实简介现强大的安全管理! 记住几个类: WebSecurityConfigurerAdapter:自定义Security策略 AuthenticationManagerBuilder:自定义认证策
SpringBoot中简单使用SpringSecurity
qq_33945802的博客
05-24 334
1.SpringSecurity简介 Spring 是一个非常流行和成功的 Java 应用开发框架。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分。用户认证指的是验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过程。用户授权指的是验证某个用户是
Spring Security应用详解(集成SpringBoot)
mry6的博客
10-24 1946
基于Session的认证方式认证流程认证流程认证流程认证流程认证流程认证流程 认证流程 认证流程 认证流程 认证流程 认证流程 认证流程
Java 之SpringBoot+SpringSecurity+Vue实现后台管理系统的开发【二、后端】
m0_67265464的博客
07-27 2039
从零开始搭建一个项目骨架,最好选择合适熟悉的技术,并且在未来易拓展,适合微服务化体系等。所以一般以Springboot作为我们的框架基础,这是离不开的了。然后数据层,我们常用的是Mybatis,易上手,方便维护。但是单表操作比较困难,特别是添加字段或减少字段的时候,比较繁琐,所以这里我推荐使用MybatisPlus(https),为简化开发而生,只需简单配置,即可快速进行CRUD操作,从而节省大量时间。SpringSecurity,使用security作为我们的权限控制和会话控制的框架。...
Spring-Security的Password Encoding
小木公会
01-11 1309
  详细文档参考官方说明https://docs.spring.io/spring-security/site/docs/5.0.9.RELEASE/reference/htmlsingle/#core-services-password-encoding     PasswordEncoder是spring-security的一个接口,主要用于对密码进行编码或加密,它有什么用途呢?说白了就是...
SpringBoot整合Spring Security【超详细教程】
m0_52789121的博客
06-12 8706
Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。提供了完善的认证机制和方法级的授权功能。是一款非常优秀的权限管理框架。它的核心是一组过滤器链,不同的功能经由不同的过滤器。这篇文章就是想通过一个小案例将Spring Security整合到SpringBoot中去。要实现的功能就是在认证服务器上登录,然后获取Token,再访问资源服务器中的资源。什么叫做单点登录呢。就是在一个多应用系统中,只要在其中一个系统上登录之后,不需要在其它系统上登录也可以访问其内容。举个例子,京东那么复
(五)Spring Securityspring-boot-starter-security应用详解
大佬味的小男孩的博客https://www.yuque.com/dalaoweidexiaonanhai
01-29 5241
前提:在看完这两篇文章的基础上再进行本篇文章的开发 (三)Spring Security 应用详解 (四)spring-boot-starter-security 工作原理 连接数据库认证 前边的例子我们是将用户信息存储在内存中,实际项目中用户信息存储在数据库中,本节实现从数据库读取用户信息。根据前边对认证流程研究,只需要重新定义UserDetailService即可实现根据用户账号查询数据库。 创建数据库 我这里MySQL版本是5.7.31 创建user_db数据库 CREATE DATABASE `us
(三)Spring Securityspring-boot-starter-security应用详解
大佬味的小男孩的博客https://www.yuque.com/dalaoweidexiaonanhai
01-28 2492
如何通过Spring Boot开发Spring Security应用Spring Boot提供spring-boot-starter-security用于开发Spring Security应用。 创建maven工程 创建maven工程 security-spring-boot,工程结构如下: 引入以下依赖: <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0"
SpringBoot 中使用Security安全框架
技术无止境
04-25 2万+
网上有很多关于SpringBoot中使用SpringSecurity安全框架的教程,但是都是讲的不够清晰易懂,首先来讲,为什么我们要使用SpringSecurity,以前没有这个框架的时候,我们要想实现权限页面拦截,都采用的拦截器(interceptor)或者过滤器(filter),特别的麻烦,在使用SpringSecurity后,一切都变的很简单,只需要几个简单的配置就能实现权限身份认证已经对数...
springboot集成spring security初探
iamletian
11-09 2233
很重要的一点:登录页面的 url和登录按钮提交的 url 要一致。否则,是不会进入到UserDetailService 的loadUserByUsername 方法中的。 第一步:引入 security 到项目中 org.springframework.boot spring-boot-starter-security 第二步:实现 自己的Security
SpringBoot + Spring Security 基本使用及个性化登录配置
热门推荐
whyalwaysmea
03-18 15万+
Spring Security 基本介绍 这里就不对Spring Security进行过多的介绍了,具体的可以参考官方文档 我就只说下SpringSecurity核心功能: 认证(你是谁) 授权(你能干什么) 攻击防护(防止伪造身份) 基本环境搭建 这里我们以SpringBoot作为项目的基本框架,我这里使用的是maven的方式来进行的包管理,所以这里先给出集成Spring S...
springboot+security实现权限管理
zhaoxichen_10的博客
03-21 8万+
Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为...
springBoot()整合之整合阿里druid数据库连接池
CoffeeAndIce的博客
12-04 3万+
         当时是基于C3P0处理数据库,然后偶发性出现连接超时,然后加上需要查看连接次数以及访问次数,我就想到采用druid数据库连接池,话不多说,先上代码 官网传送门:https://github.com/alibaba/druid/wiki/%E5%B8%B8%E8%A7%81%E9%97%AE%E9%A2%98 其实下面的部分出于演示,用硬编码,其实完全可以通过配置属性,来进行动...
springBoot()整合之整合logging-logback(切割多个日志)
CoffeeAndIce的博客
12-04 3515
最近有用到了springboot下需要日志的需求,然后就顺带做个笔记,正常操作,直接上代码 借鉴:http://blog.youkuaiyun.com/tianyaleixiaowu/article/details/73321610 1、pom.xml commons-logging commons-logging 1.1.1 2、打开哥们的spring-boot-...
poc-yaml-springboot-env-unauth
最新发布
04-02
<think>好的,我现在需要帮助用户解决关于Spring Boot环境中YAML配置未授权访问漏洞的问题。首先,我要理解用户的问题。用户提到POC相关的YAML配置未授权访问,可能需要修复这个漏洞。根据用户提供的引用内容,特别是引用[1]和[2],Actuator未授权访问漏洞是一个相关的问题。 首先,我应该回顾Spring Boot Actuator的作用。Actuator提供了监控和管理应用的端点,比如/env、/health等。如果这些端点未授权访问,攻击者可以获取敏感信息,比如配置数据,包括YAML中的内容。所以,用户的问题可能是指通过Actuator暴露的端点(比如/env)未授权访问,导致YAML配置信息泄露。 接下来,我需要确认修复方案。通常,修复未授权访问漏洞的方法包括:1. 禁用不必要的端点;2. 配置安全权限,限制访问;3. 更新依赖版本;4. 使用安全配置。用户提供的引用[2]中提到了/env端点的公开访问,所以需要针对这些端点进行保护。 另外,用户提到YAML配置文件,可能需要检查配置文件中是否有敏感信息暴露,或者是否错误地启用了Actuator端点。例如,在application.yml中,management.endpoints.web.exposure.include属性可能配置为暴露了过多端点,导致漏洞。 然后,我需要考虑具体的修复步骤。比如,在配置文件中禁用敏感端点,或者引入Spring Security来管理权限。同时,需要验证配置是否正确,是否有效限制了未授权访问。 可能还需要考虑环境的不同,比如生产环境和开发环境的配置差异,确保生产环境中不会开启调试端点。此外,更新Spring Boot版本可能修复已知的安全问题,所以建议用户检查使用的版本是否为最新。 最后,总结解决方案,分点列出步骤,确保用户能够逐步实施修复措施。同时,生成相关问题,帮助用户深入理解漏洞的其他方面,比如如何识别漏洞、其他相关漏洞的修复方法等。</think>### Spring Boot YAML配置未授权访问漏洞修复方案 该漏洞通常由Actuator端点暴露或错误配置导致敏感信息泄露,以下是分步解决方案: #### 一、漏洞成因分析 1. **端点暴露**:Actuator的`/env`端点未授权访问会暴露环境变量和YAML配置内容[^2] 2. **配置缺陷**:在`application.yml`中配置了`management.endpoints.web.exposure.include=*`导致所有端点开放 3. **权限缺失**:未集成Spring Security或未配置端点访问控制 #### 二、修复实施步骤 1. **禁用敏感端点** ```yaml # application.yml management: endpoints: web: exposure: include: health,info # 仅开放必要端点 exclude: env,configprops # 显式排除敏感端点 ``` 2. **配置访问权限** ```java // SecurityConfig.java @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .antMatchers("/actuator/**").hasRole("ADMIN") // 强制鉴权 .and().httpBasic(); } } ``` 3. **加密敏感配置** ```yaml # 使用Jasypt加密 spring: datasource: password: ENC(加密后的字符串) ``` 4. **版本升级策略** - 升级至Spring Boot 2.3+版本(默认关闭敏感端点) - 确认Actuator依赖版本无已知漏洞 ```xml <!-- pom.xml --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-actuator</artifactId> <version>2.7.0</version> </dependency> ``` #### 三、验证方案 1. **渗透测试验证** ```bash curl -v http://localhost:8080/actuator/env # 预期返回401 Unauthorized ``` 2. **配置审计** ```bash # 检查生效配置 curl -u admin:password http://localhost:8080/actuator/configprops ``` 3. **安全扫描** 使用OWASP ZAP或Burp Suite进行自动化漏洞扫描
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值