demo请见 https://download.youkuaiyun.com/download/lemonmr/12505973
导入工程:
输入网址http://localhost:8080/login.html
用户名:admin
密码123456
- BCrypt密码加密
1.1 BCrypt简介
在用户模块,对于用户密码的保护,通常都会进行加密。我们通常对密码进行加密,然后存放在数据库中,在用户进行登录的时候,将其输入的密码进行加密然后与数据库中存放的密文进行比较,以验证用户密码是否正确。 目前,MD5和BCrypt比较流行。相对来说,BCrypt比MD5更安全。
BCrypt 官网http://www.mindrot.org/projects/jBCrypt/
1.2 快速入门
(1)我们从官网下载源码
(2)新建工程,将源码类BCrypt拷贝到工程
(3)新建测试类,main方法中编写代码,实现对密码的加密
String gensalt = BCrypt.gensalt();//这个是盐 29个字符,随机生成
System.out.println(gensalt);
String password = BCrypt.hashpw("123456", gensalt); //根据盐对密码进行加密
System.out.println(password);//加密后的字符串前29位就是盐
(4)新建测试类,main方法中编写代码,实现对密码的校验。BCrypt不支持反运算,只支持密码校验
boolean checkpw = BCrypt.checkpw("123456", "$2a$10$61ogZY7EXsMDWeVGQpDq3OBF1.phaUu7.xrwLyWFTOu8woE08zMIW");
System.out.println(checkpw);
- 安全框架Spring Security
- 2.1 Spring Security简介
2.1.1 安全框架概述
什么是安全框架? 解决系统安全问题的框架。如果没有安全框架,我们需要手动处理每个资源的访问控制,非常麻烦。使用安全框架,我们可以通过配置的方式实现对资源的访问限制。
2.1.2 常用安全框架
Spring Security:spring家族一员。是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。
Apache Shiro 是一个功能强大且易于使用的Java安全框架,提供了认证,授权,加密,和会话管理。
我们课程中采用Spring Security。
2.1.3 认证与授权
认证:限制用户只能登陆才可以访问资源。
授权:限制用户必须有某资源的访问权限才可以访问。
2.2 快速入门
2.2.1 最简单案例
需求:实现简单的登陆,当用户没有登陆访问主页执行拦截跳转到登陆,登陆后跳转到主页。实现退出登陆的功能,退出后再次访问主页仍然拦截。用户名和密码不连接数据库,直接在配置文件中配置。
(1)新建war工程,pom文件引入依赖
<packaging>war</packaging>
<properties>
<spring.version>5.0.5.RELEASE</spring.version>
</properties>
<dependencies>
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-web</artifactId>
<version>${spring.version}</version>
</dependency>
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-config</artifactId>
<version>${spring.version}</version>
</dependency>
<dependency>
<groupId>javax.servlet</groupId>
<artifactId>servlet-api</artifactId>
<version>2.5</version>
<scope>provided</scope>
</dependency>
</dependencies>
<build>
<plugins>
<plugin>
<groupId>org.apache.tomcat.maven</groupId>
<artifactId>tomcat7-maven-plugin</artifactId>
<configuration>
<!-- 指定端口 -->
<port>9090</port>
<!-- 请求路径 -->
<path>/</path>
</configuration>
</plugin>
</plugins>
</build>
(2)创建webapp/WEB-INF/web.xml
<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xmlns="http://java.sun.com/xml/ns/javaee"
xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd"
version="2.5">
<context-param>
<param-name>contextConfigLocation</param-name>
<param-value>classpath:spring-security.xml</param-value>
</context-param>
<listener>
<listener-class>
org.springframework.web.context.ContextLoaderListener
</listener-class>
</listener>
<filter>
<filter-name>springSecurityFilterChain</filter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping>
<filter-name>springSecurityFilterChain</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
</web-app>
(3)resources下创建spring-security.xml
<?xml version="1.0" encoding="UTF-8"?>
<beans:beans xmlns="http://www.springframework.org/schema/security"
xmlns:beans="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd
http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security.xsd">
<!-- 页面拦截规则 -->
<http>
<intercept-url pattern="/**" access="hasRole('ROLE_ADMIN')" />
<form-login/>
<logout/>
</http>
<!-- 认证管理器 -->
<authentication-manager>
<authentication-provider>
<user-service>
<user name="admin" password="{noop}123456" authorities="ROLE_ADMIN"/>
</user-service>
</authentication-provider>
</authentication-manager>
</beans:beans>
{noop}是制定密码加密策略为不加密 。noop的意思是明文保存的密码 (noop: No Operation)
(4)webapp下创建index.html,内容随意。
(5)启动工程,打开浏览器输入地址 http://localhost:9090 ,浏览器显示
这个登陆页面时SpringSecurity帮我们自动生成的。
输入正确的密码,进入首页,输入错误的密码显示如下信息
配置说明:
intercept-url 表示拦截页面
/* 表示的是该目录下的资源,只包括本级目录不包括下级目录
/** 表示的是该目录以及该目录下所有级别子目录的资源
form-login 为开启表单登陆
2.2.2 密码加密策略
修改配置文件中的password为bcrypt加密后的密码,并制定加密策略为bcrypt
<user-service>
<user name="admin"
password="{bcrypt}$2a$10$61ogZY7EXsMDWeVGQpDq3OBF1.phaUu7.xrwLyWFTOu8woE08zMIW" authorities="ROLE_ADMIN"/>
</user-service>
spring security官方推荐使用更加安全的bcrypt加密方式。spring security 5支持的加密方式有bcrypt、ldap、MD4、MD5、noop、pbkdf2、scrypt、SHA-1、SHA-256、sha256。
我们还有另外一种配置方式,来制定加密策略
<!--认证管理器-->
<authentication-manager>
<authentication-provider>
<user-service>
<user name="admin" password="$2a$10$EPtdfwSJ0ABj5JsCyLqhFe1g503DgA4lQvOxyZF/3usoyje5/q/Dy" authorities="ROLE_ADMIN"></user>
</user-service>
<password-encoder ref="bcryptEncoder"></password-encoder>
</authentication-provider>
</authentication-manager>
<beans:bean id="bcryptEncoder" class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder" />
2.2.3 自定义登录页
(1)创建页面login.html
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>登录</title>
</head>
<body>
<form action="/login" method="post">
<table>
<tr>
<td>用户名</td>
<td><input name="username"> </td>
</tr>
<tr>
<td>密码</td>
<td><input type="password" name="password"> </td>
</tr>
</table>
<button>登录</button>
</form>
</body>
</html>
(2)创建login_error.html
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>登录错误</title>
</head>
<body>
用户名和密码错误!
</body>
</html>
(3)修改spring-security.xml拦截规则部分
<!-- 以下页面不被拦截 -->
<http pattern="/login.html" security="none"></http>
<http pattern="/login_error.html" security="none"></http>
<!-- 页面拦截规则 -->
<http>
<intercept-url pattern="/**" access="hasRole('ROLE_ADMIN')" />
<form-login login-page="/login.html" default-target-url="/index.html" authentication-failure-url="/login_error.html"/>
<csrf disabled="true"/>
</http>
(4)测试,浏览器显示了我们自定义的登录页面
为关闭跨域请求伪造控制。因为静态页无法动态生成token ,所以将此功能关闭。一般静态页采用图形验证码的方式实现防止跨域请求伪造的功能。
2.2.4 UserDetailsService
我们刚才的例子是将用户名和密码配置在配置文件中,实际的企业级开发更多的是从数据库中提取用户名和密码信息,如何做到呢?我们这里学习UserDetailsService的使用。
(1)创建UserDetailsServiceImpl
public class UserDetailsServiceImpl implements UserDetailsService {
public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {
System.out.println("经过UserDetailsServiceImpl");
//构建角色集合 ,项目中此处应该是根据用户名查询用户的角色列表
List<GrantedAuthority> grantedAuths = new ArrayList<GrantedAuthority>();
grantedAuths.add(new SimpleGrantedAuthority("ROLE_ADMIN"));
return new User(s,"$2a$10$61ogZY7EXsMDWeVGQpDq3OBF1.phaUu7.xrwLyWFTOu8woE08zMIW", grantedAuths);
}
}
(2)修改配置文件 spring-security.xml认证管理器部分
<!-- 认证管理器 -->
<authentication-manager>
<authentication-provider user-service-ref="userDetailsService">
<password-encoder ref="bcryptEncoder"></password-encoder>
</authentication-provider>
</authentication-manager>
<beans:bean id="userDetailsService" class="com.itheima.demo.UserDetailsServiceImpl"></beans:bean>
<beans:bean id="bcryptEncoder" class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder" />
spring security授权控制
基于URL访问控制
在UserDetailsServiceImpl的loadUserByUsername方法,实现对当前用户的授权
//构建权限列表
List<GrantedAuthority> grantedAuths = new ArrayList<GrantedAuthority>();
grantedAuths.add(new SimpleGrantedAuthority("goods_add"));
grantedAuths.add(new SimpleGrantedAuthority("goods_edit"));
.....
修改applicationContext_security.xml
<intercept-url pattern="/*/find*.do" access="hasAnyAuthority()" />
<intercept-url pattern="/brand/*.do" access="hasAuthority('brand')" />
<intercept-url pattern="/spu/save.do" access="hasAnyAuthority('goods_add','goods_edit')" />
hasAnyAuthority():拥有任意权限都可以访问
hasAuthority('brand'): 拥有brand的权限可以访问
hasAnyAuthority('goods_add','goods_edit')" :拥有goods_add和goods_edit其中一个权限就可以访问
对当前用户授权,同上 ,对方法的访问控制如下:
(1)修改applicationContext_security.xml ,增加配置 ,启用注解
<global-method-security pre-post-annotations="enabled" />
(2)在进行权限控制的方法上添加注解
@PreAuthorize("hasAuthority('brand')")
**
springsecurity常用的一些问题
**
springsecurity由于安全出现的第一个问题
springsecurity安全认证框架.如果出现403则需要加上关闭csrf的配置
为关闭跨域请求伪造控制。因为静态页无法动态生成token
,所以将此功能关闭。一般静态页采用图形验证码的方式实现防止跨域请求伪造的功
能。
springsecurity会产生一个token,实际上就是一个字符串,放在自带的表单中.隐藏域当中.提交之后会在后端验证时候带有token,由于自定义的表单中没有token所以会出现问题
springsecurity由于安全出现的第二个问题
页面出现了localhost拒绝了我们的连接请求
由于我们的main.html是框架页,需要修改同源策略。
response header 可用于指示是否应该允许浏览器呈现在一个页面
(同源策略)
同源策略限制了从同一个源加载的文档或脚本如何与来自另一个源的资源进行交互。这
是一个用于隔离潜在恶意文件的重要安全机制。
解释一下同源。如果两个url,协议、地址和端口都相同,我们称两个url为同源。
Spring Security下,X-Frame-Options默认为DENY. 如果不修改同源策略,框架页内将
无法显示内容。
DENY:浏览器拒绝当前页面加载任何Frame页面
SAMEORIGIN:frame页面的地址只能为同源域名下的页面
ALLOW-FROM:origin为允许frame加载的页面地址。
springsecurity怎么获取session
String name = SecurityContextHolder.getContext().getAuthentication().getName();
实例
@GetMapping("/name")
public Map showName(){
String name = SecurityContextHolder.getContext().getAuthentication().getName();
Map map = new HashMap();
map.put(“name”,name);
return map;
}
登录成功处理器
spring security为我们提供了一个叫“登录成功处理器”的组件,我们可以实现在登
录后进行的后续处理逻辑。
1.定义实现类AuthenticationSuccessHandlerImpl实现AuthenticationSuccessHandler接口
2.把AuthenticationSuccessHandlerImpl交给spring管理
3.添加配置authentication‐success‐handler‐ref=“loginHandler”
注意:authentication‐success‐handler‐ref=“loginHandler"配置会使得default-target-url=”/main.html"配置无效
我们可以在AuthenticationSuccessHandlerImpl中request.getRequestDispatcher("/main.html").forward(request,
response);
用户认证UserDetailsService
做用户认证和授权
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
