第九站:Java黑——安全编码的坚固防线(第②篇)

4. 验证和过滤输入数据示例:使用Apache Commons Lang

对输入数据进行验证和过滤是防止多种安全漏洞的关键步骤,包括但不限于SQL注入和命令注入。Apache Commons Lang库提供了一些实用方法来帮助进行字符串操作和验证。以下是一个简单的示例,展示如何使用它来检查输入是否只包含数字和字母,从而防止不安全的字符输入:

首先,确保你的项目中已经包含了Apache Commons Lang库。如果是Maven项目,在pom.xml中加入以下依赖:

<dependency><groupId>org.apache.commons</groupId><artifactId>commons-lang3</artifactId><version>3.12.0</version>
</dependency>

然后,使用其提供的方法来验证用户输入:

import org.apache.commons.lang3.StringUtils;public class InputValidationExample {public static void main(String[] args) {String userInput = "HelloWorld123";if (StringUtils.isAlphanumeric(userInput)) {System.out.println("The input is valid.");} else {System.out.println("The input contains invalid characters.");}}
}

5. 使用Spring Security进行身份验证和授权

Spring Security是一个强大的安全框架,用于处理认证(验证用户身份)和授权(控制用户访问资源的权限)。以下是一个基本的Spring Security配置示例,展示了如何设置基本的表单登录和权限控制:

首先,确保你的项目中包含了Spring Security依赖。对于Maven项目:

<dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-security</artifactId>
</dependency>

接着,配置Spring Security。在Spring Boot应用中,你可以在application.ymlapplication.properties中进行基本配置,或者创建一个Java配置类,例如:

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {@Overrideprotected void configure(HttpSecurity http) throws Exception {http.authorizeRequests().antMatchers("/resources/**", "/signup", "/about").permitAll() // 公开资源.antMatchers("/admin/**").hasRole("ADMIN") // 管理员角色才能访问.anyRequest().authenticated() // 其他请求需要认证.and().formLogin(); // 启用表单登录}// 配置用户详细信息服务等其他安全设置...
}

6. 使用HTTPS和SSL/TLS进行安全通信

在Java Web应用中,使用HTTPS协议和SSL/TLS证书可以确保数据在传输过程中的安全。以下是一个基于Spring Boot配置HTTPS连接的简要示例:

首先,你需要一个SSL证书。这可以通过购买或使用自签名证书进行测试。假设你的证书和私钥文件名为server.crtserver.key,你可以这样配置Spring Boot:

application.propertiesapplication.yml中:

server:port: 8443ssl:enabled: truekey-store:classpath:server.p12 # 如果是PKCS12格式的密钥库key-store-password: yourKeystorePasswordkeyStoreType: PKCS12 # 根据你的密钥库类型调整keyAlias: tomcat # 密钥别名

或者,如果你直接使用.key.crt文件:

server:port: 8443ssl:enabled: truekey-store-type: PEMkey-store:classpath:server.keykey-password: yourPrivateKeyPasswordtrust-store:classpath:server.crt

确保你的密钥和证书文件被正确地放置在项目的类路径下,并且密码正确无误。

通过这些额外的示例,我们可以看到,从数据验证、框架集成到网络通信安全,Java应用的每个层面都需要细心考虑和配置,以构建一个全面安全的应用环境。

7. 使用Shiro进行权限控制与会话管理

Apache Shiro是一个强大且易用的安全框架,它简化了身份验证、授权、会话管理和加密等功能的实现。以下是一个基础的Shiro配置示例,展示了如何进行用户身份验证及角色权限控制:

首先,确保你的项目中包含了Shiro的依赖。对于Maven项目:

<dependency><groupId>org.apache.shiro</groupId><artifactId>shiro-spring</artifactId><version>1.9.0</version>
</dependency>

接着,配置Shiro。在Spring应用上下文中定义Shiro的配置类:

@Configuration
public class ShiroConfig {@Beanpublic SecurityManager securityManager(Realm realm) {DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();securityManager.setRealm(realm);return securityManager;}@Beanpublic Realm realm() {// 这里可以配置自己的Realm,用于认证和授权逻辑return new IniRealm("classpath:shiro.ini");}@Beanpublic ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager) {ShiroFilterFactoryBean factoryBean = new ShiroFilterFactoryBean();factoryBean.setSecurityManager(securityManager);Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>();filterChainDefinitionMap.put("/login", "anon"); // 登录页面匿名访问filterChainDefinitionMap.put("/logout", "logout"); // 注销操作filterChainDefinitionMap.put("/**", "authc"); // 其他请求需要认证factoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);return factoryBean;}
}

同时,你需要一个配置文件(如shiro.ini)来定义用户、角色和权限:

[users]
admin = password, admin
guest = guest, user[roles]
admin = *
user = read, write
guest = read

8. 使用HMAC进行消息完整性验证

HMAC(Hash-based Message Authentication Code)是一种利用哈希函数和密钥来验证消息完整性的方法。在Java中,可以使用java.security包来实现。以下是一个简单的HMAC生成和验证示例:

import javax.crypto.Mac;
import javax.crypto.spec.SecretKeySpec;
import java.nio.charset.StandardCharsets;
import java.security.InvalidKeyException;
import java.security.NoSuchAlgorithmException;
import java.util.Base64;public class HMACExample {public static void main(String[] args) throws NoSuchAlgorithmException, InvalidKeyException {String message = "This is a secret message.";String key = "MySuperSecretKey";// 生成HMACString hmac = generateHMAC(message, key);System.out.println("Generated HMAC: " + hmac);// 验证HMACboolean isValid = verifyHMAC(message, key, hmac);System.out.println("HMAC Verification: " + isValid);}public static String generateHMAC(String data, String keyString) throws NoSuchAlgorithmException, InvalidKeyException {SecretKeySpec keySpec = new SecretKeySpec(keyString.getBytes(StandardCharsets.UTF_8), "HmacSHA256");Mac mac = Mac.getInstance("HmacSHA256");mac.init(keySpec);byte[] hmacBytes = mac.doFinal(data.getBytes(StandardCharsets.UTF_8));return Base64.getEncoder().encodeToString(hmacBytes);}public static boolean verifyHMAC(String originalData, String keyString, String hmacToVerify) throws NoSuchAlgorithmException, InvalidKeyException {String generatedHMAC = generateHMAC(originalData, keyString);return generatedHMAC.equals(hmacToVerify);}
}

9. 使用JWT(JSON Web Tokens)进行安全认证

JWT是一种常用的安全认证方式,它允许双方之间安全地传输信息。以下是一个简单的JWT生成和验证示例,使用jjwt库:

首先,添加jjwt依赖到你的项目(Maven为例):

<dependency><groupId>io.jsonwebtoken</groupId><artifactId>jjwt-api</artifactId><version>0.11.2</version>
</dependency>
<dependency><groupId>io.jsonwebtoken</groupId><artifactId>jjwt-impl</artifactId><version>0.11.2</version>
</dependency>
<dependency><groupId>io.jsonwebtoken</groupId><artifactId>jjwt-jackson</artifactId> <!-- 或 jjwt-gson 如果你使用Gson --><version>0.11.2</version>
</dependency>

然后,编写JWT的生成与验证代码:

import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import io.jsonwebtoken.security.Keys;
import javax.crypto.SecretKey;public class JWTExample {public static void main(String[] args) {// 生成密钥SecretKey key = Keys.secretKeyFor(SignatureAlgorithm.HS256);// 生成JWTString jwt = Jwts.builder().setSubject("Alice").signWith(key).compact();System.out.println("Generated JWT: " + jwt);// 验证JWTtry {Jwts.parserBuilder().setSigningKey(key).build().parseClaimsJws(jwt);System.out.println("JWT Verification: Success");} catch (Exception e) {System.out.println("JWT Verification: Failed");}}
}

以上示例覆盖了权限控制、消息完整性验证以及现代Web应用中常用的JWT认证技术,进一步丰富了Java安全编码的实践案例。

10. 实现线程池管理

在Java中,ExecutorService接口和其相关实现类提供了创建和管理线程池的能力,这对于执行大量短期异步任务非常有用。下面是一个使用线程池执行任务并优雅关闭线程池的例子:

import java.util.concurrent.ExecutorService;
import java.util.concurrent.Executors;
import java.util.concurrent.TimeUnit;public class ThreadPoolExample {public static void main(String[] args) {// 创建固定大小的线程池ExecutorService executor = Executors.newFixedThreadPool(5);// 提交任务到线程池执行for (int i = 0; i < 10; i++) {int taskId = i;executor.submit(() -> {System.out.println("Task ID " + taskId + " is running by " + Thread.currentThread().getName());try {Thread.sleep(1000); // 模拟耗时操作} catch (InterruptedException e) {Thread.currentThread().interrupt();System.out.println("Thread interrupted: " + e.getMessage());}});}// 关闭线程池,不再接受新任务,等待所有已提交的任务完成executor.shutdown();try {// 等待直到所有任务完成,最多等待1分钟if (!executor.awaitTermination(1, TimeUnit.MINUTES)) {executor.shutdownNow(); // 强制关闭,取消正在执行的任务System.out.println("ThreadPool did not terminate in time, forcing shutdown.");} else {System.out.println("All tasks completed.");}} catch (InterruptedException e) {executor.shutdownNow();Thread.currentThread().interrupt();System.out.println("Interrupted while waiting for tasks to complete.");}}
}

11. 利用CompletableFuture进行异步编程

CompletableFuture是Java 8引入的一个强大的异步编程工具,它支持非阻塞式操作和链式调用。下面是一个简单示例,展示了如何使用CompletableFuture进行异步任务处理并组合结果:

import java.util.concurrent.CompletableFuture;
import java.util.concurrent.ExecutionException;public class CompletableFutureExample {public static void main(String[] args) {CompletableFuture<String> future1 = CompletableFuture.supplyAsync(() -> {simulateDelay(1000); // 模拟延迟return "Hello";});CompletableFuture<String> future2 = CompletableFuture.supplyAsync(() -> {simulateDelay(2000); // 模拟延迟return "World";});// 当两个Future都完成时,组合它们的结果CompletableFuture<String> combinedFuture = future1.thenCombine(future2, (s1, s2) -> s1 + " " + s2);try {// 获取最终结果String result = combinedFuture.get();System.out.println(result);} catch (InterruptedException | ExecutionException e) {e.printStackTrace();}}private static void simulateDelay(int millis) {try {Thread.sleep(millis);} catch (InterruptedException e) {Thread.currentThread().interrupt();}}
}

12. 使用Spring Boot实现RESTful API

Spring Boot极大简化了创建基于Spring的应用程序的过程,特别是用于开发RESTful服务。下面是一个基本的Spring Boot应用,它暴露了一个CRUD操作的REST API来管理用户资源:

首先,确保你的项目包含Spring Boot Starter Web依赖:

<dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-web</artifactId>
</dependency>

然后,创建一个简单的User实体类和对应的Repository、Service、Controller层:

// User.java
public class User {private Long id;private String name;// Getter & Setter
}// UserRepository.java
public interface UserRepository extends JpaRepository<User, Long> {}// UserService.java
@Service
public class UserService {@Autowiredprivate UserRepository userRepository;// CRUD操作方法
}// UserController.java
@RestController
@RequestMapping("/api/users")
public class UserController {@Autowiredprivate UserService userService;@GetMappingpublic List<User> getUsers() {return userService.getAllUsers();}@PostMappingpublic ResponseEntity<User> createUser(@RequestBody User user) {User savedUser = userService.createUser(user);return ResponseEntity.ok(savedUser);}// 更多CRUD操作的映射...
}

这些示例涵盖了从并发编程、异步处理到构建RESTful服务的多个方面,展示了Java在实际开发中的灵活性和强大功能。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/853916.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

基于51单片机万年历设计—显示温度农历

基于51单片机万年历设计 &#xff08;仿真&#xff0b;程序&#xff0b;原理图&#xff0b;设计报告&#xff09; 功能介绍 具体功能&#xff1a; 本系统采用单片机DS1302时钟芯片LCD1602液晶18b20温度传感器按键蜂鸣器设计而成。 1.可以显示年月日、时分秒、星期、温度值。…

掌握Mock.js基本使用:快速模拟API实现增删改查

在项目中使用Mock.js进行增删改查操作&#xff0c;可以模拟后端接口&#xff0c;方便前端开发和测试。下面是一个简单的示例&#xff0c;展示如何在Vue 2项目中使用Mock.js实现增删改查功能。 1. 安装依赖 npm install mockjs --save2. 配置Mock.js 在项目的根目录下创建一个…

代码随想录算法训练营DAY36补| 435. 无重叠区间、 763.划分字母区间

训练营计划更新了&#xff0c;补一下DAY36多出来的两道题 435. 无重叠区间 题目链接&#xff1a;435. 无重叠区间 class Solution(object):def eraseOverlapIntervals(self, intervals):""":type intervals: List[List[int]]:rtype: int"""if…

前端跨域问题的解决办法,两种类型

跨域问题是由于同源策略的原因&#xff0c;在协议(HTTP或HTTPS)不同、端口号(8080或8881)不同、主机IP(182.92.178.25或者182.92.178.26)不同时而导致的不能进行数据交换的问题。 当后端没有做跨域时&#xff0c;前端就需要自己配置。 类型一&#xff1a;使用代理服务器的方法…

《书生·浦语大模型实战营》第4课 学习笔记:XTuner 微调 LLM:1.8B、多模态、Agent

文章大纲 1. 大模型微调简介2 快速上手2.1 环境安装2.2 前期准备2.2.1 数据集准备2.2.2 模型准备2.2.3 配置文件选择2.2.4 小结 2.3 配置文件修改2.4 模型训练2.4.1 常规训练2.4.2 使用 deepspeed 来加速训练2.4.3 训练结果2.4.4 小结 2.5 模型转换、整合、测试及部署2.5.1 模型…

【QT5】<重点> QT串口编程

目录 前言 一、串口编程步骤 0. 添加串口模块 1. 自动搜索已连接的串口 2. 创建串口对象 3. 初始化串口 4. 打开串口 5. 关闭串口 6. 发送数据 7. 接收数据 二、简易串口助手 1. 实现效果 2. 程序源码 3. 实现效果二 前言 本篇记录QT串口编程相关内容&#xff0…

常见的中间件都在解决什么问题?

常见的中间件都在解决什么问题 RocketMQ RocketMQ 是一款功能强大的分布式消息系统。 RocketMQ 源码地址&#xff1a;https://github.com/apache/rocketmq(opens new window) RocketMQ 官方网站&#xff1a;https://rocketmq.apache.org 什么场景下用 RocketMQ&#xff1f…

线程安全的解决方案(概念版本)

线程安全其实本质 讲的是内存的安全。 多个线程对统一资源的操作可能导致这个资源的数据不一致性。 举例说明&#xff1a;比如 张三有100块钱&#xff0c;现在线程A是要花50元&#xff0c;线程二是要存300元&#xff0c;当线程A花50元后&#xff0c;还没有内存值修改&#xff0…

19.channel相关方法

channel close()可以用来关闭channel closeFuture()用来处理channel的关闭 sync方法作用是同步等待channel关闭 addListener方法是异步等待channel关闭 pipeline() 方法添加处理器 write() 方法将数据写入 writeAndFlush() 方法将数据写入并刷出 write()方法,将数据写入到…

Optional详解和常用API

目录 一、Optional简介 二、构建Optional对象三种方式 2.1 Optional.of(value) 2.1.1 使用案例 2.2 Optional.ofNullable(value) 2.2.1 使用案例 2.3 Optional.empty() 2.3.1 使用案例 三、Optional常用的api解析和使用案例 3.1 isPresent 3.1.1 使用案例 3.2 ifPrese…

登录MySQL方式

登录MySQL方式 方式一&#xff1a;通过MySQL自带的客户端 MySQL 客户端输入命令即可 方式二&#xff1a;通过window自带的客户端 从命令端&#xff08;cmd&#xff09;进入 mysql -h localhost -P 3306 -u root -p Enter password:密码登录方式&#xff1a; mysql -h 主…

深入理解指针(四)

目录 1. 回调函数是什么? ​2. qsort使用举例 2.1冒泡排序 2.2使用qsort函数排序整型数据 ​2.3 使用qsort排序结构数据(名字) 2.4 使用qsort排序结构数据(年龄) 3. qsort函数的模拟实现 1. 回调函数是什么? 回调函数就是⼀个通过函数指针调⽤的函数。 如果你把函数…

VMware各版本镜像下载站

CDS Repository - /var/www/public/stage/session-120/cds/vmw-desktop/ws 参考&#xff1a; VMware各版本下载的镜像站(含windows和linux)_vm win7映像文件下载-CSDN博客

混淆矩阵-召回率、精确率、准确率

混淆矩阵 1 混淆矩阵2 混淆矩阵指标2.1 准确率2.2 精确率2.3 召回率2.4 特异度2.4 假正率2.5 假负率2.6 F1 分数 3 总结 1 混淆矩阵 混淆矩阵是一种用于评估分类模型性能的重要工具。它通过矩阵形式清晰地展示了模型对样本进行分类的结果&#xff0c;帮助我们理解模型在不同类…

【嵌入式】CAN总线详解

【嵌入式】CAN总线详解 一、CAN总线简介 CAN总线是一种控制器局域网总线&#xff0c;每一个挂载在CAN局域网的设备&#xff0c;都可以利用CAN去发送信息&#xff0c;也可以接收局域网的各种信息&#xff0c;每个设备都是平等的&#xff0c;共享CAN的资源。广泛应用于汽车、嵌…

从0开发一个Chrome插件:项目实战——翻译插件(附带申请谷歌翻译、百度翻译教程)

前言 这是《从0开发一个Chrome插件》系列的第十八篇文章,本系列教你如何从0去开发一个Chrome插件,每篇文章都会好好打磨,写清楚我在开发过程遇到的问题,还有开发经验和技巧。 专栏: 从0开发一个Chrome插件:什么是Chrome插件?从0开发一个Chrome插件:开发Chrome插件的必…

LabVIEW程序的常见加密方式

LabVIEW程序的加密对于保护知识产权和敏感数据至关重要。本文将详细介绍LabVIEW程序常用的加密方式&#xff0c;包括VI加密、代码保护、文件加密和通信加密等&#xff0c;帮助开发者选择合适的加密方法来确保程序的安全性和完整性。 LabVIEW程序的常见加密方式 VI加密&#xf…

【宠粉赠书】科研绘图神器:MATLAB科技绘图与数据分析

小智送书第二期~ 为了回馈粉丝们的厚爱&#xff0c;今天小智给大家送上一套科研绘图的必备书籍——MATLAB科技绘图与数据分析。下面我会详细给大家介绍这套图书&#xff0c;文末留有领取方式。 图书介绍 《MATLAB科技绘图与数据分析》是一本综合性强、内容丰富的书籍&#x…

Mybatis做批量操作

动态标签foreach&#xff0c;做过批量操作&#xff0c;但是foreach只能处理记录数不多的批量操作&#xff0c;数据量大了后&#xff0c;先不说效率&#xff0c;能不能成功操作都是问题&#xff0c;所以这里讲一讲Mybatis正确的批量操作方法&#xff1a; 在获取opensession对象…

动态规划解题步骤

状态规划题一般要列一个dp表 1、状态表示(重要) 什么是状态表示&#xff1f; 简单来说就是dp表里的值的含义 怎么得到状态表示&#xff1f; 1.题目要求 2.经验题目要求 3&#xff0c;分析问题的过程中发现重复子问题&#xff0c;找到状态表示 2、状态转移方程(重要) d…