目录
一、背景
二、传统登陆功能&强制登陆功能
1、传统的实现方式
2、session存在的问题
三、jwt--令牌技术
1、实现过程
2、令牌内容
3、生成令牌
4、检验令牌
四、JWT登陆功能&强制登陆功能
1、JWT实现登陆功能
2、强制登陆功能
3、运行效果
五、加密/加盐
1、加密方式
2、基于MD5的加密
(1)MD5弊端
(2)加盐
(3)生成加密密码
六、博客系统部分代码
一、背景
现已经完成了博客系统的发布博客功能、更新博客功能、显示博客列表页功能、显示详情页功能、删除博客功能、退出博客登陆功能,还有登陆功能、强制登陆功能还未实现。前面已完成的功能主要使用了mybatis的增、改、查等功能,和前面的图书系统较为相似,此处不再做详细介绍,文章结尾附上主要代码。
二、传统登陆功能&强制登陆功能
1、传统的实现方式
客户端输入密码和用户名--->服务器根据用户名去数据库查找密码--->数据库密码和用户密码进行比较--->相同完成登陆并将内容存储在session中--->强制登陆时判断有无session即可。
2、session存在的问题
但此时这种方法会存在问题:
(1)为了保证项目不因为一个服务器挂了,我们通常会采用多机部署项目,试想一下,若登陆请求我们发送给了服务器1,服务器1正确响应并在内存中保存了session信息,将sessionId通过Cookie发送给客户端。客户端在登陆的前提下带着SessionId再次进行其他请求,此时若将请求发送给了服务器2,服务器2根据sessionId查找session信息,发现服务器2没有保存,此时就会认为客户端未登陆,但其实客户端在服务器1上已经登陆了。session实现强制登陆时,不能满足多机部署。
(2)在重启服务器时,session信息就没了,若用户刚登录服务器重启了,此时就会要求用户重新登陆,带来不好的用户体验。
(3)用户的session信息都保存在服务器内存中,若用户很多,session信息就多,占用的内存就大,导致服务器挂掉的风险也大。
三、jwt--令牌技术
1、实现过程
客户端输入密码和用户名--->服务器根据用户名去数据库查找密码--->数据库密码和用户密码进行比较--->相同完成登陆并给客户端一个令牌--->强制登陆时服务器判断有无令牌即可,且令牌内容不能改变,若改变就失效了。
2、令牌内容
令牌包含三部分的内容:
(1)Header---头部
头部包含jwt使用的算法(如HS256)以及jwt的类型。
(2)Payload---负载
负载是存放有效信息的地方,类似session,可以自定义,也可以存放令牌过期时间。此部分可以解码还原原始内容。
(3)Signature---签名
签名部分可以防止jwt内容被篡改,签名是基于头部和载荷计算得出的,同时也使用了安全密钥进行加密,若jwt中任何一个字符改变,进行验证时以同样的密钥签名头部和载荷,发现两次签名不同,就会导致令牌失效。jwt的内容可以公布,不是进行了加密,而是保证了唯一性,防止被篡改。(类似于身份证)。
3、生成令牌
先引入依赖:
生成的jwt内容为:
eyJhbGciOiJIUzI1NiJ9.eyJpZCI6MSwidXNlcm5hbWUiOiJsaXNpIiwiaWF0IjoxNzEwNTc2NjcwLCJleHAiOjE3MTA1ODAyNzB9.FQQTi586Wp_9S-tCjO1rmHhHqSuFWdkXF3KlLcotgFU
解析该jwt:
4、检验令牌
运行结果:
只要结果不为空就表明令牌是正确的。
四、JWT登陆功能&强制登陆功能
1、JWT实现登陆功能
后端处理:
前端请求+响应:
2、强制登陆功能
使用拦截器进行强制登陆,判断用户令牌是否正确。从本地存储中拿出令牌放在请求header中,根据拿到的内容判断是否能拿到负载内容。
由于每个页面都要进行强制登陆判断,所以将从本地存储中拿出令牌放在请求header中的操作统一放在common.js中,且要在发送请求前放在header中:
3、运行效果
此时就能正确显示博客列表页了。
五、加密/加盐
对于数据库中的敏感信息:例如密码等,需要对其加密,不然黑客入侵后就会获取到用户的密码,造成一定的损失。
1、加密方式
(1)对称加密
对于明文的加密和密文的解密使用的是同一种密钥。常见算法有:AES,DES,3DES,RC4,RC5,RC6
(2)非对称加密
明文的加密采用公钥,密文的解密采用私钥。公钥可以公开,私钥不可以公开。常见算法有:RSA,DSA,ECDSA,ECC;
(3)摘要加密
将任意长度的明文转为固定长度的数据,不可逆,无法解密。对于相同的明文,进行摘要加密后结果相同。常见算法有:MD5,SHA1,SHA2,CRC。
2、基于MD5的加密
(1)MD5弊端
博客系统采用MD5加密方式,将密码转换为固定长度的数据。但只使用MD5存在弊端:
①虽然MD5不可逆,但对于密码较短的,可以借助工具进行解密;
②密码一样的用户,MD5转换后是一样的,一旦一个用户暴露,其他也会暴露。
(2)加盐
可以对于密码加上固定长度的随机值(盐值),明文+盐值---->进行MD5加密。
还需考虑一个问题:在进行验证时,我们如何拿到盐???
可以将盐值插入在MD5加密后的数据里,验证时分离出加密结果和盐值即可。
为了简单:我们就直接将盐值拼接在加密结果后面了。
(3)生成加密密码
将数据库修改为:
进行登陆验证:
六、博客系统部分代码
1、登陆功能
(1)客户端请求+响应
(2)服务器响应
2、展示博客列表功能
(1)客户端请求+响应
(2)服务器响应
3、展示博客详情功能
(1)客户端请求+响应
(2)服务器响应
4、更新博客功能
(1)客户端请求+响应
(2)服务器响应
5、删除博客功能
(1)客户端请求+响应
(2)服务器响应
6、发布博客功能
(1)客户端请求+响应
(2)服务器响应
7、退出博客登陆
8、强制登陆功能
若需要全部源码,可以进入:葛雅宁 (ge-yaning) - Gitee.com
点击java学习下的基于spring下的博客管理系统:
![练习 9 Web [SUCTF 2019]CheckIn (未拿到flag)](https://img-blog.csdnimg.cn/direct/ce6fbec3c49342ce90021571deaa6860.png)
