微人事第十天:Spring Security加密

最新推荐文章于 2024-09-11 21:45:49 发布
原创 最新推荐文章于 2024-09-11 21:45:49 发布 · 466 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

在之前的博客中我们对于登陆的密码都是不加密的,现在为了安全起见,我们需要将密码由明文加密成为密文。

密码加密我们一般会用到散列函数,又称散列算法、哈希函数,这是一种从任何数据中创建数字“指纹”的方法。散列函数把消息或数据压缩成摘要,使得数据量变小,将数据的格式固定下来,然后将数据打乱混合,重新创建一个散列值。散列值通常用一个短的随机字母和数字组成的字符串来代表。好的散列函数在输入域中很少出现散列冲突。在散列表和数据处理中,不抑制冲突来区别数据,会使得数据库记录更难找到。我们常用的散列函数有 MD5 消息摘要算法、安全散列算法(Secure Hash Algorithm)。

但是仅仅使用散列函数还不够,为了增加密码的安全性,一般在密码加密过程中还需要加盐,所谓的盐可以是一个随机数也可以是用户名,加盐之后,即使密码明文相同的用户生成的密码密文也不相同,这可以极大的提高密码的安全性。但是传统的加盐方式需要在数据库中有专门的字段来记录盐值,这个字段可能是用户名字段(因为用户名唯一),也可能是一个专门记录盐值的字段,这样的配置比较繁琐。

Spring Security 提供了多种密码加密方案,官方推荐使用 BCryptPasswordEncoder,BCryptPasswordEncoder 使用 BCrypt 强哈希函数,开发者在使用时可以选择提供 strength 和 SecureRandom 实例。strength 越大,密钥的迭代次数越多,密钥迭代次数为 2^strength。strength 取值在 4~31 之间,默认为 10。

不同于 Shiro 中需要自己处理密码加盐,在 Spring Security 中,BCryptPasswordEncoder 就自带了盐,处理起来非常方便。

操作流程:
在配置类中添加Bean,返回BCryptPasswordEncoder对象

@Bean
    PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

在测试类中将密码123加密10次,每一次的密文都是不一样的

package org.javaboy.security;

import org.junit.jupiter.api.Test;
import org.springframework.boot.test.context.SpringBootTest;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;

@SpringBootTest
class SecurityApplicationTests {

    @Test
    void contextLoads() {
        for (int i = 0; i < 10; i++) {
            BCryptPasswordEncoder encoder = new BCryptPasswordEncoder();
            System.out.println(encoder.encode("123"));
        }
    }

}

打印出的密码选出其中几个黏贴到配置类中:

 @Autowired
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.inMemoryAuthentication()
                .withUser("javaboy").password("$2a$10$/kEv.secGR.i.M.EsXujH.dssxbYwjsr2LAeW2Gkt0VQlxwiEkXL2").roles("admin")
                .and()
                .withUser("江南一点雨").password("$2a$10$JfWIkzViqNmvF/tBnNmfPeMz3gjJ9RKiWWRLciJGO1L3pW7PGNTFi").roles("user");
    }

这里两个密码虽然不一样但是加密之前的明文都是123,现在测试:
在这里插入图片描述
访问成功,加密生效
在这里插入图片描述

人事第十天spring security初体验
qq_41998938的博客
02-01 473
Spring SecuritySpring 家族中的一个安全管理框架,实际上,在 Spring Boot 出现之前,Spring Security 就已经发展了多年了,但是使用的并不多,安全管理这个领域,一直是 Shiro 的天下。 相对于 Shiro,在 SSM/SSH 中整合 Spring Security 都是比较麻烦的操作,所以,Spring Security 虽然功能比 Shiro...
人事第十天:HttpSecurity配置
qq_41998938的博客
02-01 735
Spring Security可以针对不同的访问路径,来根据登陆的用户判断该用户是否可以访问。实现这个功能就需要HttpSecurity配置来解决。 1.配置类 以下配置类可以看出,这里提供了两个登陆的用户,用户javaboy具有admin权限,用户江南一点雨既有admin又有user权限。 接下来配置类中根据不同的访问权限来设定该用户是否能访问。 例如以下代码就表示以admin开头的路径只能ad...
人事第十天Spring Security基于数据库的认证
qq_41998938的博客
02-08 394
Spring Security中我们是在配置类中手动写死登录名和密码的,现在我们通过在数据库中预先填写好几个用户名和密码,等到登录的时候只需要去和数据库中的用户名和密码进行认证就可以了。 具体操作步骤如下: 填写web,Spirng Security,以及mybatis和mysql的相关依赖。 现在给出构建数据库的相关sql代码: 这里创建了三张表分别是:user(用户表) role(权限表) ...
人事第十天Spring Security方法安全
qq_41998938的博客
02-06 285
Spring Security中之前通过在配置类中针对不同的访问路径有不同的权限,现在可以直接在方法上通过注解来配置访问不同的路径所需要的权限。 首先在配置中添加方法安全注解 prePostEnabled:执行方法的前后进行安全验证 securedEnabled:创建一个切点,这样的话Spring Security切面就会包装带有@Secured注解的方法 @EnableGlobalMethod...
人事——Spring Security权限管理(一)
Gsasuke的博客
01-18 331
权限管理(一) 我用的是Spring Security权限管理,分为“认证”以及“验证”。 “认证”就是登陆,“验证”就是根据权限授予一定的操作,也就是权限。 Spring Security大致的过程就是这样 这个图片不是我做的,是另一个博主做的我觉得很不错。 原地址: https://blog.youkuaiyun.com/zhaoxichen_10/article/details/88713799. (一)数据库设计 权限管理系统涉及到了三个数据库。 hr数据库是存储账户信息 menu是权限管理数据库 r
人事(1)- 前端登录页面
一角残叶的博客
08-08 1202
1
人事第十天:登陆表单详细配置
qq_41998938的博客
02-02 715
对于登录接口,登录成功后的响应,登录失败后的响应,我们都可以在 WebSecurityConfigurerAdapter 的实现类中进行配置。例如下面这样 (以下内容是springboot项目配置好基础spring security以后的内容,spring security的基本配置这里就不重复了。) 下面来详细解释配置的代码: 以下定义了两个访问路径分别所需的权限,除了以admin和user开头...
SpringSecurity认证授权
qq_49474843的博客
09-11 1387
RBAC模型详解,SpringSecurity入门到精通一文搞定
循序渐进学spring security 第十一篇 如何动态权限控制URL?如何动态给用户添加权限?
huangxuanheng的专栏
08-01 5287
文章目录回顾为什么要动态权限?如何更好的管理权限?数据库设计用户表定义角色表定义菜单表角色人员表角色菜单表如何实现动态权限管理?动态获取url权限配置权限判断搭建项目创建项目:security-mybatis-jwt-perm添加maven依赖:修改pom项目名和artifactId 都统一为:security-mybatis-jwt-perm新建数据库操作相关类和mapper创建实体类添加mybatis 的mapper.xml添加mapper接口动态权限配置动态获取url权限配置动态权限判断配置Secur
人事-spring security登录认证分析
一个还在上学的程序缘
03-14 496
前言 vhr登录认证(1)用户名+密码+验证码(2)对于用户的角色认证 vhr采用了spring security做认证及授权,今天想来总结下整个登录的流程。 分析 上图可以先大概看下流程 (1)spring Security 中有一个非常重要的对象叫做 Authentication,我们可以在任何地方注入 Authentication 进而获取到当前登录用户信息,Authentication 本身是一个接口,它有很多实现类,最常用的就是 UsernamePasswordAuthenticationTok
Spring security密码加密实现代码实例
08-19
主要介绍了Spring security密码加密实现代码实例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
人事项目学习之登陆页面制作(三)
人生错觉
03-01 1167
后端接口制作
Spring Security权限控制框架
1663988740
07-16 437
Spring Security简介 Spring SecuritySpring提供的安全认证服务的框架。 使用Spring Security可以帮助我们来简化认证和授权的过程。官网:https://spring.io/projects/spring-security [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-WkE8obgh-1594902354342)(img/4.png)] 对应的maven坐标: <dependency> <groupId&
Spring Security入门-1
Logic_YSY的博客
10-25 774
132
密码加密器-BCrypt加密算法
Healer_小振的博客
11-18 1553
@SpringBootTest public class BCryptTests { PasswordEncoder passwordEncoder = new BCryptPasswordEncoder(); @Test //测试加密输出20种不同的加密结果 void encode(){ String password = "12345"; System.out.println("原密码:"+password); for .
程序的加密解密
zrzcsl的博客
08-26 536
8.23 package com.zhongruan; public class Test4 { public static void main(String[] args) { /* String hualili = Encrypt("hualili", 123); System.out.println(hualili); String encrypt = Decrypt...
Mysql高级
qq_44692070的博客
05-05 1017
1. Mysql的体系结构概览 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-pPhsLykH-1588663095811)(assets/000001.jpg)] 整个MySQL Server由以下组成 Connection Pool : 连接池组件 Management Services & Utilities : 管理服务和工具组件 SQL Inte...
基于Java企业人事管理系统的研究与设计文献
最新发布
03-29
<think>好的,我现在需要处理用户的请求:介绍基于Java企业人事管理系统的研究与设计文献。首先,我需要理解用户的需求是什么。用户可能是在进行学术研究,比如撰写论文,或者是在开发这样的系统,想要了解现有的文献和研究方向。 用户提到的是“研究与设计文献”,所以重点应该放在现有的研究成果、系统设计的关键技术、常用架构以及可能面临的挑战上。同时,用户可能希望了解如何结构这样的文献,或者有哪些值得关注的方面。 接下来,我需要考虑Java企业级应用常用的技术栈,比如Spring Boot、MyBatis、Spring Security等,这些通常是这类系统的核心技术。数据库方面,MySQL、Oracle是常见的选择,可能还需要提到数据库设计中的表结构,比如员工表、部门表、薪资表等。 系统架构方面,分层设计(表现层、业务逻辑层、数据访问层)是基础,可能需要解释每层的职责。此外,服务架构和前后端分离也是现代系统的趋势,应该包括进去。 然后,用户可能关心系统的功能模块。人事管理系统通常包括员工信息管理、考勤、薪资、招聘、培训、绩效、统计报表等模块。需要逐一简要说明每个模块的功能。 在安全性方面,权限管理和数据加密是关键点,比如使用RBAC模型,SSL传输加密等。这部分需要强调其重要性,特别是在处理敏感人事数据时。 研究热点和挑战方面,可以提到数字化转型、大数据分析、AI集成,以及高并发、系统扩展性、数据一致性等问题。这些内容能帮助用户了解当前的研究趋势和待解决的问题。 参考文献部分,需要推荐一些权威的书籍,比如《Spring实战》、《企业应用架构模式》等,这为用户提供了进一步阅读的方向。 同时,要确保回答符合之前的系统级指令:数学公式的正确使用,中文字符,结构清晰。但检查后发现内容中没有涉及数学公式,所以不需要调整格式。结构上分点列出,符合用户要求的清晰结构。 最后,确认回答是否解决了用户的潜在需求,比如是否覆盖了设计的关键技术、架构、功能模块和研究方向。可能用户还需要具体的文献名称或作者,但考虑到版权问题,推荐经典书籍和通用研究方向更为合适。</think>以下是对“基于Java企业人事管理系统的研究与设计”文献的解析框架及核心内容,供学术研究参考: --- ### 一、系统设计背景与目标 1. **背景分析** - 传统人事管理存在效率低、数据孤岛、流程冗余等问题 - Java EE技术栈在跨平台、安全性、可扩展性方面的优势 - 符合企业数字化转型需求(如:$T_{\text{开发周期}}$缩短,$C_{\text{维护成本}}$降低) 2. **核心目标** - 实现员工信息全生命周期管理 - 构建模块化、高内聚低耦合的系统架构 - 支持多维度数据分析与决策支持 --- ### 二、关键技术选型 1. **开发框架** - **Spring Boot**:简化配置,依赖注入(如:`@Autowired`注解实现Bean管理) - **MyBatis**:ORM映射,SQL与代码解耦(例如:`<select id="getEmployeeById">`) - **Spring Security**:基于角色的访问控制(RBAC模型) 2. **数据库设计** - 使用MySQL/Oracle,遵循第三范式(3NF) - 核心表结构示例: ```sql CREATE TABLE employee ( id INT PRIMARY KEY AUTO_INCREMENT, name VARCHAR(50) NOT NULL, dept_id INT REFERENCES department(id), salary DECIMAL(10,2) ); ``` --- ### 三、系统架构设计 1. **分层架构模式** $$ \begin{cases} \text{表现层} & \text{(前端: Vue/React)} \\ \text{业务逻辑层} & \text{(Spring MVC控制器)} \\ \text{数据访问层} & \text{(DAO模式 + JPA)} \end{cases} $$ 2. **服务扩展方案** - 使用Spring Cloud实现服务拆分(如:考勤模块、薪资模块独立部署) - API网关统一管理请求路由(Zuul或Gateway组件) --- ### 四、核心功能模块 | 模块名称 | 功能描述 | 技术实现要点 | |----------------|-----------------------------------|------------------------------| | 员工信息管理 | CRUD操作、档案导出PDF | POI库生成Excel, iText生成PDF | | 考勤统计 | 打卡数据校验、异常预警 | Quartz定时任务, Redis缓存 | | 薪资计算 | 个税公式嵌入(如:$T = (S - 5000) \times r - d$) | 策略模式封装计算规则 | --- ### 五、安全性设计 1. **权限控制** - 基于Spring Security实现URL级拦截 - 权限表达式示例:`hasRole('HR_ADMIN')` 2. **数据加密** - 敏感字段使用AES加密(如:`AES/ECB/PKCS5Padding`) - HTTPS传输保障通信安全 --- ### 六、研究热点与挑战 1. **当前研究趋势** - 大数据分析集成(Hadoop/Spark处理员工行为数据) - AI技术应用(如:考勤异常模式识别) 2. **待解决问题** - 高并发场景下的性能优化(需满足$\text{QPS} \geq 1000$) - 多系统数据同步的最终一致性(CAP理论权衡) --- ### 七、推荐参考文献 1. 《Spring实战(第5版)》——Craig Walls 2. 《企业应用架构模式》——Martin Fowler 3. IEEE/ACM期刊相关论文(关键词:`Java EE HRMS`, `Microservices Design`) 如需具体实现细节或某模块的代码示例,可进一步说明研究方向!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值