第四阶段13-关于Spring Security框架续(认证和授权)

已于 2023-03-14 09:22:38 修改
阅读量593 收藏 1
点赞数
CC 4.0 BY-SA版权
文章标签: spring java 服务器
于 2023-03-13 15:37:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/aiheshuicxy/article/details/129256783
本文深入探讨了Spring Security框架在防止伪造跨域攻击、BCrypt算法、PasswordEncoder接口的应用,以及前后端分离登录的实现。此外,还详细介绍了认证标准、识别当事人、授权访问的策略,并提供了具体的配置和代码示例,帮助理解Spring Security的安全机制。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

关于防止伪造的跨域攻击

**伪造的跨域攻击:**此类攻击主要源自“服务器端对客户端的浏览器的信任”(本质上是浏览器对同一个服务器端会携带同一个Session ID),例如,用户在浏览器的第1个选项卡中登录了,在第2个、第3个等等其它选项卡访问同样的服务器,也会被视为“已登录”的状态。所以,假设某用户在浏览器的第1个选项卡中登录了网上银行,第2个选项卡打开其它某个恶意的网站(并不是网上银行),此网站中隐藏了一个网上银行发起请求的链接,并会自动提交(比较典型的做法就是把链接做为<img>标签的src值,并隐藏此<img>标签使之不显示),则会导致在第2个选项卡中打开恶意网站时就向网上银行发出了请求,网上银行接收到此请求时,也会视为“已登录”的状态!虽然通过这种手段基本上无法实现财产的窃取,但仍可以做一些其它的数据窃取。

**典型的防御手段:**在“非前后端分离”的开发模式下,服务器端在生成表单时,会在表单中隐藏一个具有“唯一性”或较强的“随机性”的值,正常提交表单时,此值会随着表单数据一并提交到服务器端,所以,服务器端会根据是否正确的提交了这个值,来判断是否是通过正常方式提交的请求。以Spring Security的默认登录表单为例:
请添加图片描述

**注意:**在“前后端分离”的项目中,由于服务器端不负责生成各表单页面,所以,也无法在表单中添加UUID值,则客户端提交的请求中也无法提交正确的UUID值,所以,这种防御机制并不适用!

在Spring Security的配置类中,调用HttpSecurity对象的csrf().disable()方法可以禁用此防御机制,则POST请求不再被要求提交UUID值,是可以正常使用的!例如:

@Override
protected void configure(HttpSecurity http) throws Exception {
   
   
    // 禁用“防止伪造的跨域攻击”这种防御机制
    http.csrf().disable();

    // 暂不关心其它配置的代码
}

关于BCrypt算法

BCrypt算法是目前用于处理密码加密存储时最安全的算法之一!

在Spring Security框架中,自带了BCryptPasswordEncoder类,用于执行加密与对比。

public class BCryptTests {
   
   

    BCryptPasswordEncoder passwordEncoder = new BCryptPasswordEncoder();

    @Test
    void encode() {
   
   
        String rawPassword = "123456";
        System.out.println("原文:" + rawPassword);

        for (int i = 0; i < 10; i++) {
   
   
            String encodedPassword = passwordEncoder.encode(rawPassword);
            System.out.println("密文:" + encodedPassword);
        }
        // 原文:123456
        // 密文:$2a$10$i9E1pAtpQXIV4uUOjNr7ve/SWM9BDQl4hxq7Qz.kYDeLHTJwKhr7K
        // 密文:$2a$10$GCBOO7x7r8TjACK.ujA3oeft2uoKBTUm2L8UbWTRlnaugIupQB2Aq
        // 密文:$2a$10$osWYVZT3aBnG9h9ACiS8Mup3Hu4gjx1Lf46OIrjmseICX1cEPXZO6
        // 密文:$2a$10$r9l2Yced59FDWSFgh.mvmeAEyVQ9utfnEJJKuawO/17ndBT/xCF1q
        // 密文:$2a$10$A2DhHyIOTmWFbekRwM.wuOMSYQ1xVail7q3b1jkM4bdOjNJmfHuFK
        // 密文:$2a$10$YdvML3WsSlMghscfry/zkO67Yp8HZuVakMAXXDtuN.xmZUjVGcp5i
        // 密文:$2a$10$F.SxK1hRERQN6rwDIKw2BeD/wNXndICBs7pB9KJ7.rb9hqGVmpeeS
        // 密文:$2a$10$vtLCxMWTylqcqLwdcQpzIO00oT.lmULR9aQoelfP4BP6/0FBa2ckG
        // 密文:$2a$10$NX.BX7byguflK6G4/lQhVuJZZbekko.6h69Tilvdu2uMGHJuQCxi.
        // 密文:$2a$10$PNwmIXSRmy5yISsdbW1/Jusq4xwRx1KbkNGu.uJC2fYiHRQjOkWvS
    }

    @Test
    void matches() {
   
   
        String rawPassword = "123456";
        String encodedPassword = "$2a$10$osWYVZT3aBnG9h9ACiS8Mup3Hu4gjx1Lf46OIrjmseICX1cEPXZO6";
        boolean result = passwordEncoder.matches(rawPassword, encodedPassword);
        System.out.println("原文:" + rawPassword);
        System.out.println("密文:" + encodedPassword);
        System.out.println("匹配结果:" + result);
    }

}

BCrypt算法是一个运算效率极低的算法,可以非常有效的避免穷举式的暴力破解,这也是BCrypt算法的核心优势之一!

关于PasswordEncoder

PasswordEncoder是一个接口,BCryptPasswordEncoderNoOpPasswordEncoder都是其典型的实现类。

Spring Security框架在处理认证时(判断尝试登录的账号的密码是否正确时),会自动使用PasswordEncoder中的matches()方法将原文和密文进行对比,所以:

  • 你需要配置某个PasswordEncoder对象到Spring容器中
  • UserDetailsService接口中的loadUserByUsername()方法,返回的UserDetails接口类型的对象中的password应该与你配置的PasswordEncoder使用的算法是对应的

使用前后端分离的登录

首先,要保证默认的登录表单不被启用,即:在Spring Security的配置类中,不再使用http.formLogin()方法!

然后:

  • 需要使用控制器(Controller)接收来自客户端提交的用户名和密码
    • 建议自定义POJO将客户端提交的数据封装起来
  • 在Service层中处理登录的认证
    • 具体的处理,仍交由Spring Security来实现,需要调用AuthenticationManager(认证管理器)对象的authenticate()方法,则Spring Security会自动调用UserDetailsService接口对象的loadUserByUsername()方法获取用户信息详情并自动验证此用户是否允许登录

所以,在项目的根包下创建pojo.dto.AdminLoginDTO类,用于封装客户端提交的用户名和密码:

@Data
public class AdminLoginDTO implements Serializable {
   
   
    private String username;
    private String password;
}

然后,在Spring Security的配置类(自定义的SecurityConfiguration类)中重写authenticationManagerBean()方法,并在此方法上添加@Bean注解,则Spring会自动调用此方法,得到AuthenticationManager类型的对象,并保存在Spring容器中,后续,需要AuthenticationManager时可以自动装配!

@Bean // 重要
@Override
public AuthenticationManager authenticationManagerBean() throws Exception {
   
   
    return super.authenticationManagerBean();
}

**注意:**以上重写的是authenticationManagerBean()方法,而不是authenticationManager()方法!如果重写错误,在后续某此测试中会出现死循环,导致内存溢出!

IAdminService接口中添加抽象方法:

void login(AdminLoginDTO adminLoginDTO);

AdminServiceImpl中重写以上方法:

@Autowired
private AuthenticationManager authenticationManager;

@Override
public void login(AdminLoginDTO adminLoginDTO) {
   
   
    log.debug("开始处理【管理员登录】的业务,参数:{}", adminLoginDTO);
    Authentication authentication = new UsernamePasswordAuthenticationToken(
            adminLoginDTO.get
最低0.47元/天 解锁文章

200万优质内容无限畅学
炸鸡&汉堡
关注
SpringSecurity认证与鉴权框架SpringSecurity——授权
低调做人,低调编码,神码都是浮云
06-24 1548
认证与鉴权框架SpringSecurity——授权
SpringSecurity认证与鉴权框架SpringSecurity——认证
低调做人,低调编码,神码都是浮云
06-22 1082
认证与鉴权框架SpringSecurity——认证
Security(安全框架
vengu733的博客
10-25 4330
进入移动互联网时代,大家每天都在刷手机,常用的软件有微信、支付宝、头条等,下边拿微信来举例子说明认证相关的基本概念,在初次使用微信前需要注册成为微信用户,然后输入账号密码即可登录微信,输入账号密码登录微信的过程就是****认证****。系统为什么要认证
Spring security 安全框架service层实现
bai2276的博客
08-15 711
安全框架登录验证public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException { SysUser sysUser = sysUserDao.findUserByUsername(username); if(sysUser!=null){ Collec...
SpringSecurity安全框架的配置类+service
m0_65041486的博客
08-05 330
SpringSecurity安全框架的配置类====配置类+service层+实体类+controller。
security 框架UserDetailsService 实现类@Reference或者@Autowide注入Dao或者注入service进来为null
HiFighting的博客
01-07 1186
org.springframework.security.authentication.InternalAuthenticationServiceExceptionz 这个错多是userDetailService实现类里@Autowide或者@refernce注入service或者dao为null。UserDetailsService时无法注入数据库持久层的service、dao 这是spring...
SpringSecurity 安全框架详解
记录开发日常笔记
02-02 2531
`Web`应用的安全性包括用户认证用户授权两个部分,而`Spring Security`(以下简称`Security`)基于`Spring`框架,正好可以完整解决该问题。
SpringSecurity-1(认证授权+SpringSecurity入门案例+自定义认证+数据库认证
最新发布
yinying293的博客
08-03 825
SpringSecurity认证授权+SpringSecurity入门案例+自定义认证+数据库认证
Spring Security OAuth2认证授权示例详解
08-25
Spring Security OAuth2是一个强大的安全框架,它为Web应用程序提供了安全认证授权的功能。OAuth2则是一种开放标准,允许用户授权第三方应用访问他们存储在另一服务提供商的数据,而无需分享他们的用户名密码。...
Spring Security权限框架的简易入门
Tiger_Paul的博客
04-13 449
Spring SecuritySpring提供的安全认证服务的框架。 使用Spring Security可以帮助我们来简化认证授权的过程。
Spring Security DisabledException: User is disabled问题解决
旭东怪的博客
03-30 5453
问题描述: org.springframework.security.authentication.DisabledException: User is disabled 问题分析: 1、实现了UserDetails类的isEnabled方法,但是返回了false,代表账号已经禁用了。 @Override public boolean isEnabled() { return false; } 解决办法:isEnabled方法返回值设为true,代表账号启
Spring Security——login显示[Bad credentials]
热门推荐
无限迭代中......
03-07 1万+
问题描述 或者 org.springframework.security.authentication.BadCredentialsException: Bad credentials。 问题分析 一、username或者password错误 默认情况下,不管用户名不存在,还是密码错误,Spring Security都会报出Bad credentials异常信息,而不现实具体...
Spring Security BadCredentialsException: Bad credentials问题解决
Gblfy_Blog
09-12 3676
Bad credentials问题解决
JAVA犯错日记
pomelo_wang的博客
09-22 171
2.程序编写正确,启动错误问题:在启动代码过程中,是拉取的项目,在启动的时候提示有俩个bin,问题不一定是不知道注入那个bin,可以试试删除target文件夹,说不定可以成功运行。1.路由跳转#问题:利用vue进行路由跳转,在确保路径组件正确的情况下,无法实现跳转,发现在路径后总是会自动添加#,添加mode实现成功!
SpringBoot中使用SpringSecuriy(自定义AuthenticationManager自定义WebSecurityConfigurerAdapter)
编程学习者的博客
08-11 6653
环境:JDK1.8 、MAVEN 3.6.1 、eclipse 1.在SpringBoot中添加SpringSecurity的支持 当前项目中的pom文件 <properties> <project.build.sourceEncoding>UTF-8</project.build.sourceEncoding> </properties...
JWT: org.springframework.security.authentication.BadCredentialsException: Bad credentials报错
yunnuo的博客
05-01 1007
报错如下: org.springframework.security.authentication.BadCredentialsException: Bad credentials at org.springframework.security.authentication.dao.DaoAuthenticationProvider.additionalAuthenticationChecks(DaoAuthenticationProvider.java:79) ~[spring-security-cor
SpringSecurity - 简单前后端分离 - 自定义认证
铠の魂博客
07-21 1864
终于到了我们关心的第一个问题,认证篇。此篇我们将结合前面的认证架构来详细讲解如何实现自定义认证处理,会简单的讲解一些原理,不会太过深入。要想玩转SpringSecurity认证,就必须先看懂其认证架构。我们要自定义认证类,只需要继承其抽象认证基类即可,完全可以根据其它的默认实现进行复制粘贴。我们知道在前后端交互中,都是JSON交互,所以我们自定义一个JSON的认证类。项目包路径可以自定义,我的关于Security的都在security包下,自定义token放在token包下。自定义认证类。......
spring security验证流程
qiuqiuit的专栏
02-13 584
工作需要,又弄起了权限的管理。虽然很早以前都了解过基于容器的权限实现方式,但是一直都觉得那东西太简陋了。后来使用liferay时发现它的权限系统的确做得很优秀,感觉这也可能是它做得最出色的地方吧。但是当时只停留在怎么使用及一些与其衔接的关系之上,并没有对其底层进行了解,新到现在的公司后,发现这一课还是得补上。但是令人惊讶的是,目前可用的选择并不多,甚至很少,最有名的当属spring securit...
org.springframework.security.access.AccessDeniedException: 不允许访问
louis_lee7812的专栏
10-22 9180
org.springframework.security.access.AccessDeniedException: 不允许访问。原因是:@PreAuthorize 注解的异常,抛出AccessDeniedException异常,不会被accessDeniedHandler捕获,而是会被全局异常捕获。
SpringBoot整合SpringSecurity实现用户认证授权
资源摘要信息: "本资源详细介绍了如何使用Spring Security框架Spring Boot进行整合,实现用户认证授权功能。Spring Security是一个广泛应用于基于Spring的企业应用系统的安全框架,它提供了一套完整的安全访问...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值