注冊(cè)PersistentTokenRepository

• PersistentTokenRepository實(shí)現(xiàn)類
• InMemoryTokenRepositoryImpl基于內(nèi)存實(shí)現(xiàn)
• JdbcTokenRepositoryImpl基于數(shù)據(jù)庫(kù)實(shí)現(xiàn)

基于內(nèi)存實(shí)現(xiàn)

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Bean
public PersistentTokenRepository persistentTokenRepository() {
PersistentTokenRepository tokenRepository = new InMemoryTokenRepositoryImpl();
return tokenRepository;
}
}

修改安全配置類

http.rememberMe().tokenRepository(persistentTokenRepository())
                .tokenValiditySeconds(120)//設(shè)置有效時(shí)長(zhǎng)，單位秒
                .userDetailsService(userDetailsService)

頁(yè)面添加記住我復(fù)選框

記住我：

<input type="checkbox"name="remember-me"title="記住密碼"/><br/>

此處：name 屬性值必須位remember-me.不能改為其他值

CSRF 理解(默認(rèn)開(kāi)啟)

跨站請(qǐng)求偽造（英語(yǔ)：Cross-site request forgery），也被稱為 one-click attack 或者 session riding，通?？s寫為 CSRF 或者 XSRF， 是一種挾制用戶在當(dāng)前已登錄的Web應(yīng)用程序上執(zhí)行非本意的操作的攻擊方法。

跟跨網(wǎng)站腳本（XSS）相比，XSS利用的是用戶對(duì)指定網(wǎng)站的信任，CSRF 利用的是網(wǎng)站對(duì)用戶網(wǎng)頁(yè)瀏覽器的信任。

跨站請(qǐng)求攻擊，簡(jiǎn)單地說(shuō)，是攻擊者通過(guò)一些技術(shù)手段欺騙用戶的瀏覽器去訪問(wèn)一個(gè)自己曾經(jīng)認(rèn)證過(guò)的網(wǎng)站并運(yùn)行一些操作（如發(fā)郵件，發(fā)消息，甚至財(cái)產(chǎn)操作如轉(zhuǎn)賬和購(gòu)買商品）。

由于瀏覽器曾經(jīng)認(rèn)證過(guò)，所以被訪問(wèn)的網(wǎng)站會(huì)認(rèn)為是真正的用戶操作而去運(yùn)行。

這利用了web中用戶身份驗(yàn)證的一個(gè)漏洞：簡(jiǎn)單的身份驗(yàn)證只能保證請(qǐng)求發(fā)自某個(gè)用戶的瀏覽器，卻不能保證請(qǐng)求本身是用戶自愿發(fā)出的。

從Spring Security 4.0開(kāi)始，默認(rèn)情況下會(huì)啟用CSRF保護(hù)，以防止CSRF攻擊應(yīng)用程序，Spring Security CSRF會(huì)針對(duì)PATCH，POST，PUT和DELETE方法進(jìn)行防護(hù)。

解決方案

檢查Referer字段

Referer字段通常由瀏覽器在HTTP請(qǐng)求中發(fā)送，告訴服務(wù)器用戶是從哪個(gè)頁(yè)面鏈接過(guò)來(lái)的。然而，由于Referer字段可以被用戶修改或禁用，因此不能完全信任它來(lái)確保請(qǐng)求是從指定頁(yè)面發(fā)起的。

以下是檢查Referer字段的一些常見(jiàn)缺點(diǎn)：

• 用戶可以修改Referer字段：一些用戶可能會(huì)修改HTTP請(qǐng)求頭中的Referer字段，以試圖繞過(guò)安全檢查。
• Referer字段可能被緩存：某些代理服務(wù)器或緩存服務(wù)器可能會(huì)緩存Referer字段

CSRFToken

由于CSRF 是開(kāi)啟的所以我們?cè)诘顷懯俏礄z出token，則被認(rèn)定為csrf攻擊，報(bào)異常

security實(shí)現(xiàn)

在登錄頁(yè)面添加一個(gè)隱藏域：

<input type="hidden"th:if="${_csrf}!=null" th:value="${_csrf.token}" name="_csrf"/>

關(guān)閉安全配置的類中的csrf

// http.csrf().disable();

總結(jié)

以上為個(gè)人經(jīng)驗(yàn)，希望能給大家一個(gè)參考，也希望大家多多支持腳本之家。

最新評(píng)論