欢迎您访问365答案网,请分享给你的朋友!
生活常识 学习资料

SpringBootSecurity

时间:2023-08-11
在上一篇文章中,我们实现了 Spring Boot Security - Password Encoding Using Bcrypt。
但到目前为止,在我们所有的示例中,我们都禁用了 CSRF。CSRF 代表跨站点请求伪造。这是一种强制最终用户在当前对其进行身份验证的 Web 应用程序上执行不需要的操作的攻击。CSRF 攻击专门针对状态更改请求,而不是窃取数据,因为攻击者无法查看对伪造请求的响应。

Spring Boot 安全性 - 目录

Spring Boot + 简单的安全配置 Spring Boot Form Security Login Hello World 示例 Spring Boot Security - 自定义登录页面示例 Spring Boot Security - JDBC 身份验证示例 Spring Boot Security - 使用 JdbcUserDetailsManager 以编程方式创建用户 Spring Boot Security - 使用 Bcrypt 进行密码编码 Spring Boot Security -启用 CSRF 保护 Spring Boot 安全性 - 身份验证处理程序示例 Spring Boot 安全性 - OAuth 简介 Spring Boot OAuth2 第 1 部分 - 获取授权代码 Spring Boot OAuth2 第 2 部分 - 获取访问令牌并使用它来获取数据。

视频

本教程在下面的 Youtube 视频中进行了解释。
 

了解 CSRF 攻击-

以前我们有 Spring Boot Security - Password Encoding Using Bcrypt。启动此应用程序并使用有效密码登录。




不要关闭上面的窗口。现在假设您收到一封包含以下内容的邮件。
Hi JavaInUse

您打开此页面并单击惊喜按钮 -


我们看到它已将名为 Hacker 的员工添加到我们的应用程序中。这是 CSRF 攻击。接下来我们看看如何应对这种 CSRF 攻击。

让我们开始-

我们将使用 CSRF 安全令牌仅授予授权用户访问权限。
我们将修改我们在之前的 Spring Boot Security - Password Encoding Using Bcrypt
Maven Project 中开发的代码如下 -
      在 pom.xml 中添加 spring-security-taglibs 依赖项。
<?xml version="1.0" encoding="UTF-8"?>4.0.0com.javainuseboot-form-handling0.0.1-SNAPSHOTjarboot-form-handlingDemo project for Spring Bootorg.springframework.bootspring-boot-starter-parent1.5.2.RELEASE UTF-8UTF-81.8org.springframework.bootspring-boot-starter-weborg.springframework.bootspring-boot-starter-securityorg.springframework.bootspring-boot-starter-jdbcmysqlmysql-connector-javaruntime5.1.21org.apache.tomcat.embedtomcat-embed-jasperjavax.servletjstlorg.springframework.securityspring-security-taglibsorg.springframework.bootspring-boot-maven-plugin

    接下来,我们通过注释 csrf disabled 命令来修改安全配置以启用 CSRF。
package com.javainuse.config;import javax.sql.DataSource;import org.springframework.beans.factory.annotation.Autowired;import org.springframework.context.annotation.Bean;import org.springframework.context.annotation.Configuration;import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;import org.springframework.security.config.annotation.web.builders.HttpSecurity;import org.springframework.security.config.annotation.web.builders.WebSecurity;import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;import org.springframework.security.crypto.password.PasswordEncoder;import org.springframework.security.provisioning.JdbcUserDetailsManager;@Configuration@EnableWebSecuritypublic class EmployeeSecurityConfiguration extends WebSecurityConfigurerAdapter {@AutowiredDataSource dataSource;@Beanpublic PasswordEncoder passwordEncoder() {return new BCryptPasswordEncoder();}// Enable jdbc authentication@Autowiredpublic void configAuthentication(AuthenticationManagerBuilder auth) throws Exception {auth.jdbcAuthentication().dataSource(dataSource).passwordEncoder(passwordEncoder());}@Beanpublic JdbcUserDetailsManager jdbcUserDetailsManager() throws Exception {JdbcUserDetailsManager jdbcUserDetailsManager = new JdbcUserDetailsManager();jdbcUserDetailsManager.setDataSource(dataSource);return jdbcUserDetailsManager;}@Overridepublic void configure(WebSecurity web) throws Exception {web.ignoring().antMatchers("/resources/**");}@Overrideprotected void configure(HttpSecurity http) throws Exception {http.authorizeRequests().antMatchers("/register").permitAll().antMatchers("/welcome").hasAnyRole("USER", "ADMIN").antMatchers("/getEmployees").hasAnyRole("USER", "ADMIN").antMatchers("/addNewEmployee").hasAnyRole("ADMIN").anyRequest().authenticated().and().formLogin().loginPage("/login").permitAll().and().logout().permitAll();//http.csrf().disable();}// @Autowired// public void configureGlobal(AuthenticationManagerBuilder authenticationMgr)// throws Exception {// authenticationMgr.inMemoryAuthentication().withUser("admin").password("admin").authorities("ROLE_USER").and()// .withUser("javainuse").password("javainuse").authorities("ROLE_USER",// "ROLE_ADMIN");// }}

接下来在所有jsp页面中添加spring security taglib和csrf token tag
<%@ taglib prefix="sec" uri="http://www.springframework.org/security/tags" %>  

启动应用程序 -

转到 localhost:8080/welcome,我们将被重定向到自定义登录页面。

使用凭据登录


 再次点击 CSRF 攻击页面的惊喜按钮
  所以我们的应用程序现在运行良好。

下载源代码 下载它 -
Spring Boot Security - 保护应用程序免受 CSRF 攻击

Copyright © 2016-2020 www.365daan.com All Rights Reserved. 365答案网 版权所有 备案号:

部分内容来自互联网,版权归原作者所有,如有冒犯请联系我们,我们将在三个工作时内妥善处理。