04 2023 档案
摘要:认证成功处理器 认证失败处理器
阅读全文
摘要:基于配置的权限控制 CSRF CSRF是指跨站请求伪造(Cross-site request forgery),是web常见的攻击之一。 https://blog.csdn.net/freeking101/article/details/86537087 SpringSecurity去防止
阅读全文
摘要:其他权限校验方法 我们前面都是使用@PreAuthorize注解,然后在在其中使用的是hasAuthority方法进行校验。SpringSecurity还为我们提供了其它方法例如:hasAnyAuthority,hasRole,hasAnyRole等。 这里我们先不急着去介绍这些方法,我们先去理
阅读全文
摘要:从数据库查询权限信息 记得打开redis 自定义失败处理 我们还希望在认证失败或者是授权失败的情况下也能和我们的接口一样返回相同结构的json,这样可以让前端能对响应进行统一的处理。要实现这个功能我们需要知道SpringSecurity的异常处理机制。 在SpringSecurity中,如果我们
阅读全文
摘要:RBAC权限模型 RBAC权限模型(Role-Based Access Control)即:基于角色的权限控制。这是目前最常被开发者使用也是相对易用、通用权限模型 建表及SQL语句编写 sys_user表之前创建了,现在这里就不展示了 CREATE TABLE sys_menu ( id bigin
阅读全文
摘要:授权基本流程 在SpringSecurity中,会使用默认的FilterSecurityInterceptor来进行权限校验,在FilterSecurityInterceptor中会从SecurityContextHilder获取其中的Authentication,然后获取其中的权限信息,当前用户是
阅读全文
摘要:认证配置详解 Config package com.sangeng.config; import com.sangeng.filter.JwtAuthenticationTokenFilter; import org.springframework.beans.factory.annotation.
阅读全文
摘要:配置认证过滤器 Config package com.sangeng.config; import com.sangeng.filter.JwtAuthenticationTokenFilter; import org.springframework.beans.factory.annotation
阅读全文
摘要:登录接口代码实现 @RestController @RestController public class LoginController { @Autowired private LoginServcie loginServcie; @PostMapping("/user/login") publ
阅读全文
摘要:用户密码加密存储 铺垫只是jwt工具类使用
阅读全文
摘要:数据库校验用户准备工作 创建用户表 CREATE TABLE `sys_user` ( `id` BIGINT(20) NOT NULL AUTO_INCREMENT COMMENT '主键', `user_name` VARCHAR(64) NOT NULL DEFAULT 'NULL' COMM
阅读全文
摘要:准备工作 Utils工具类 FastJsonRedisSerializer工具类 package com.sangeng.Utils; import com.alibaba.fastjson.JSON; import com.alibaba.fastjson.serializer.Serialize
阅读全文
摘要:思路分析 登录: 自定义登录接口 调用Provide人Manager的方法进行认证如果认证通过生成jwt 把用户信息存入redis中 自定义UserDetailsService 在这个实现列中去查询数据库 校验 定义jwt认证过滤器 获取token 解析token获取其中的userid 从redis
阅读全文
摘要:如何查看具体的过滤器 入门案例认证流程图讲解 概念速查: Authentication接口:它的实现类,表示当前访问系统的用户,封装了用户相关信息 AuthenticationManager接口:定义了认证Authentication的方法 UserDetailsService接口:加载用户特定数据
阅读全文
摘要:前后端分离项目登录校验流程 SpringSecurity完整流程 图中值展示了核心过滤器,其他的非核心过滤器并没有在图中展示 UsernamePasswordAuthenticationFilter:负责吹里我们在登录页面填写了用户名密码后的登录请求,入门案例的认证工作主要有它负责 Exceptio
阅读全文
摘要:入门案例准备工作 我们先要搭建一个简单的SpringBoot工程 设置父工程 添加依赖 <parent> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-parent</artifactId> <
阅读全文
摘要:SpringSecurity从入门到精通:简介 Spring Security是Spring家族中的一个安全管理框架,想比另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富 一般来说中大型的项目都是使用SpringSecurity来做安全框架,小项目有Shiro的比较多,因
阅读全文
摘要:CSRF攻击 CSRF (Cross-site Request Forgery,跨站请求伪造,也被称为"one click attack”或者session riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。 尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎
阅读全文
摘要:跨站脚本攻击 XSS攻击原理 1.跨站脚本攻击(Cross Site Scripting),XSS是一种经常出现在web应用中的计算机安全漏洞 2.它允许恶意web用户将代码植入到提供给其它用户使用的页面中,其他用户在观看网页时,恶意脚本就会执行 3.这类攻击通常通过注入HTML或js等脚本发动攻击
阅读全文
摘要:会话管理机制 1.绝大多数Web应用程序中,会话管理机制是一个基本的安全组件 2.会话管理在应用程序执行登录功能时显得特别重要 3.因为,它可再用户通过请求提交他们的证书后,持续向应用程序保证任何特定用户身份的真实性 4.由于会话管理机制所发挥的关键作用,他们成为针对应用程序的恶意攻击的主要目标 5
阅读全文
摘要:管理WEB服务器文件的WebDAV协议 WebADV协议 WEBDAV追加方法 WeDAV请求示例 HTTP大跃进--QUIC与HTTP30 QUIC&HTTP3.0 HTTP2.0的问题 队头阻塞 建立连接的握手延迟大 QUIC的特性 0RTT 没有队头阻塞的多路复用 WEB安全攻击概述 Web应
阅读全文
摘要:探索式的实践-SPDY SPDY是什么 SPDY是Google开发的基于传输控制协议的应用层协议,开发组正在推动SPDY成为正式标准(现为互联网草案)。SPDy协议旨在通过压缩,多路复用和优先级来缩短网页的加载时间和提高安全性(SPDY是Speedy的拟音,意思是更快) HTTP 协议的缺点 1.单
阅读全文
摘要:三次握手和四次挥手 其实三次握手的目的并不只是让通信双方都了解到一个链接正在建立,还在于利用数据包的选项来传输特殊的信息,交换初始序列号ISN,3次握手是指发送了3个报文段,四次挥手是指发送了4个报文段 什么是TCP协议?TCP( Transmission control protocol )即传输
阅读全文
摘要:HTTP协议的瓶颈 影响HTTP网络请求的因素 1.带宽 2.延迟 HTTP协议的瓶颈 1.一条连接只可发送一个请求 2.请求只能从客户端开始,客户端不可以接受除响应以外的指令 3.请求/响应头部不经压缩就发送 4.每次互相发送相同的头部造成的浪费较多 5.非强制压缩发送 双工通信的WebScock
阅读全文
摘要:HTTPS协议概述 HTTPS可以认为是HTTP+TLS TLS是传输层加密协议,它的前身是SSL协议 HTTPS功能介绍 内容加密 1、非对称密匙交换 2、对称内容加密 身份认证 1、数字证书 数据完整性 HTTPS使用成本 证书费用以及更新维护 HTTPS降低用户访问速度 消耗CPU资源,需要增
阅读全文
摘要:HTTP内容协商机制 指客户端和服务器端就响应的资源内容进行交涉,然后提供给客户端最为合适的资源。内容协商会以响应资源的语言,字 符集,编码方式等作为判断的基准。 内容协商方式 客户端驱动 客户端发送请求,服务器发送可选项列表,客户端作出选择后在发送第二次请求 服务器驱动 服务器检查客户端的请求头部
阅读全文
摘要:HTTP中介之代理 代理的作用1.抓包 2.FQ 3.匿名访问 4.过滤器 虽然用的最多是vpn,但是vpn和代理不一样,对于构建VPN来说,隧道技术用来在IP公网中仿真条点到点的通路,实现两个节点间(VPN网关之间,或VPN网关与VPN远程用户之间)的安全通信,使数据包在公共网络上的专用隧道内传输
阅读全文
摘要:HTTP协议之基本认证 常见认证方式 BASIC认证(基本认证) DIGEST认证(摘要认证) SSL客户端认证 FormBase认证(基于表单认证) DIGEST认证 什么是DIGEST认证 为弥补BASIC认证存在的弱点,从HTTP/1.1起就有了DIGEST认证 DIGEST认证同样使用质询/
阅读全文
摘要:Cookie Cookie实际上是一小段的文本信息,客户端请求服务器,如果服务器需要记录该用户状态,就向客户端浏览器颁发一个Cookie 客户端浏览器会把Cookie保存起来,当浏览器再请求该网站时,浏览器把请求的网址连同该Cookie一同提交给服务器,服务器检查该Cookie,以此来辨认用户状态
阅读全文
摘要:HTTP响应状态码拆解 状态码: 是用以标识网页服务器超文本传输协议响应状态的3位数字代码 常用HTTP状态码 HTTP状态码详解
阅读全文
摘要:HTTP报文结构分析 HTTP的报文头大体可以分为四类,分别是: 通用报文头,请求报文头,响应报文头和实体报文头 在HTTP/1.1里一共规范了47种报文头字段 通用报文头 请求报文头 响应报文头 实体报文头 ACCEPT 作用:浏览器端可以接受的媒体类型 Accept:text/html代表浏览器
阅读全文
摘要:HTTP协议特点 支持客户/服务器模式 客户/服务器模式工作的方式是由客户端向服务器发送请求,服务器端响应请求,并进行相应服务 简单快速 客户向服务器请求服务时,只需传送请求方法和路径 请求方法常用的有GET,HEAD,POST。每种方法规定了客户与服务器练习的类型不同 由于HTTP协议简单,使得H
阅读全文
摘要:你是如何访问慕课的--DNS域名解析 已经介绍了与HTTP协议有着密切关系的TCP/IP协议,接下来介绍的DNS服务也是与HTTP协议有着密不可分的关系 通常我们访问一个网站,使用的是主机名或者域名来进行访问的,因为相对IP地址(一组纯数字),域名更容易让人记住,但TCP/IP协议使用的是IP地址进
阅读全文
摘要:透过TCP/IP看HTTP HTTP协议是构建在TCP/IP协议之上的,是TCP/IP协议的一个子集 为了更好的理解HTTP协议,我们先了解一下TCP/IP的相关知识 TCP/IP协议族 TCP/IP协议其实是一系列与互联网相关联的协议集合起来的总称 分层管理是TCP/IP协议的重要特征 TCP/I
阅读全文
摘要:浏览器背后的故事 HTTP: 超文本传输协议(HTTP)是一种通信协议,它允许将超文本标记语言(HTML)文档从Web服务器传送到客户端的浏览器 HTTP是一个属于应用层的面向对象的协议,由于其简捷、快速的方式,适用于分布式超媒体信息系统,它于1990年提出,经过几年的使用与发展,得到不断地完善和扩
阅读全文
浙公网安备 33010602011771号