framework/SpringSecurity/SpringSecurity基础

2020-09-04

字数统计: 433字 | 阅读时长≈ 1分

SpringSecurity基础

Jwt Java web token

SSO

单点登录 Single sign on

Session共享

Oauth

OAuth 再客户端与服务器提供商之间，设置了一个授权层（authorization layer），客户端不能直接登录服务提供商，只能登录授权层，已此将用户与客户端区分开来，客户端登录授权所用令牌（token），与用户密码不同，用户可以再登录的时候，指定授权层令牌范围和有效期

Spring Social

Spring Session

JWT

OpenID

别人系统鉴权时使用

CAS

权限认证

CSRF

伪装请求

token，权限认证

XSS

就是普通用户式的流量攻击

跨站点脚本攻击

攻击安全与防御

使用

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>


@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {

        // xml形式的配置
        //父标签
        http
                //开启一个子标签
                .authorizeRequests()
                //配置子标签属性
                .antMatchers().denyAll()
                //子标签闭合
                .and()
                // 新的子标签
                .csrf()
                //属性配置
                .ignoringAntMatchers("ss")
                //闭合
                .and();

    }
}


防止csrf   post ，禁止外联（token）token不能写到cookie，写到页面

密码安全

MD5，cpu太快可以暴力破解

MD5（明文+加盐）

MD5（明文+随机盐）

MD5 （MD5+真随机数）

DDOS攻击就是占用资源式的攻击

有几种情况：

第一次握手，但是不响应服务端，资源占用

三次握手完成，但是不想服务端发送任何数据，使得连接保持

防：连接占用后，指定时间内没收到信息，取消连接

tcp协议，判断客户端发出第一次握手后，指定时间没有收到客户端第二次响应，于是断开

本文作者： 忘忧症
本文链接： https://NepenthesZGW.github.io/2020/09/04/framework/SpringSecurity/SpringSecurity基础/
版权声明： 本博客所有文章除特别声明外，均采用 MIT 许可协议。转载请注明出处！