国产 无码 综合区,色欲AV无码国产永久播放,无码天堂亚洲国产AV,国产日韩欧美女同一区二区

  1. Toy模板網(wǎng)首頁
  2. >Toy博客

【Java萬花筒】Java安全衛(wèi)士:從密碼學(xué)到Web應(yīng)用攻擊

2年前作者:friklogff分類:Toy博客閱讀(69)違法舉報

這篇具有很好參考價值的文章主要介紹了【Java萬花筒】Java安全衛(wèi)士:從密碼學(xué)到Web應(yīng)用攻擊。希望對大家有所幫助。如果存在錯誤或未考慮完全的地方,請大家不吝賜教,您也可以點擊"舉報違法"按鈕提交疑問。

Java安全錦囊:從Web應(yīng)用攻擊到加密算法,助你建立強(qiáng)固的開發(fā)堡壘

前言

在當(dāng)今數(shù)字化時代,安全性至關(guān)重要,特別是對于Java開發(fā)者而言。本文將深入探討Java安全與加密領(lǐng)域的關(guān)鍵庫和技術(shù),包括Bouncy Castle、Jasypt、Keycloak、Apache Shiro、Java Cryptography Extension (JCE)和OWASP Java Encoder。通過詳細(xì)介紹各個庫的功能、使用案例和實際代碼示例,讀者將獲得在保護(hù)應(yīng)用免受各種威脅方面的深刻理解。

歡迎訂閱專欄:Java萬花筒

1. Bouncy Castle

1.1 密碼學(xué)算法

Bouncy Castle是一個功能強(qiáng)大的密碼學(xué)庫,支持對稱加密、非對稱加密、哈希函數(shù)等。例如,使用Bouncy Castle進(jìn)行AES對稱加密的示例代碼如下:

import org.bouncycastle.jce.provider.BouncyCastleProvider;
import javax.crypto.Cipher;
import javax.crypto.KeyGenerator;
import javax.crypto.SecretKey;
import java.security.Security;
import java.util.Base64;

public class BouncyCastleExample {

    public static void main(String[] args) throws Exception {
        // 添加Bouncy Castle作為安全提供者
        Security.addProvider(new BouncyCastleProvider());

        // 生成AES密鑰
        KeyGenerator keyGen = KeyGenerator.getInstance("AES", "BC");
        keyGen.init(128);
        SecretKey secretKey = keyGen.generateKey();

        // 加密
        Cipher cipher = Cipher.getInstance("AES/ECB/PKCS7Padding", "BC");
        cipher.init(Cipher.ENCRYPT_MODE, secretKey);
        byte[] encryptedData = cipher.doFinal("Hello, Bouncy Castle!".getBytes());

        // 解密
        cipher.init(Cipher.DECRYPT_MODE, secretKey);
        byte[] decryptedData = cipher.doFinal(encryptedData);

        // 輸出結(jié)果
        System.out.println("Original: " + new String(decryptedData));
    }
}
1.2 提供者架構(gòu)
1.2.1 輕量級 API

Bouncy Castle提供了輕量級 API,使加密操作更加簡便。以下是一個使用輕量級 API 進(jìn)行非對稱加密的示例:

import org.bouncycastle.crypto.AsymmetricCipherKeyPair;
import org.bouncycastle.crypto.CipherParameters;
import org.bouncycastle.crypto.KeyGenerationParameters;
import org.bouncycastle.crypto.engines.RSAEngine;
import org.bouncycastle.crypto.generators.RSAKeyPairGenerator;
import org.bouncycastle.crypto.params.AsymmetricKeyParameter;
import org.bouncycastle.crypto.params.ParametersWithRandom;
import java.security.SecureRandom;

public class LightweightAPIExample {

    public static void main(String[] args) {
        // 初始化隨機(jī)數(shù)生成器
        SecureRandom random = new SecureRandom();

        // 生成RSA密鑰對
        RSAKeyPairGenerator generator = new RSAKeyPairGenerator();
        generator.init(new KeyGenerationParameters(random, 2048));
        AsymmetricCipherKeyPair keyPair = generator.generateKeyPair();

        // 獲取公鑰和私鑰
        AsymmetricKeyParameter publicKey = keyPair.getPublic();
        AsymmetricKeyParameter privateKey = keyPair.getPrivate();

        // 使用公鑰進(jìn)行加密
        RSAEngine rsaEngine = new RSAEngine();
        CipherParameters params = new ParametersWithRandom(publicKey, random);
        rsaEngine.init(true, params);
        byte[] encryptedData = rsaEngine.processBlock("Hello, Lightweight API!".getBytes(), 0, "Hello, Lightweight API!".getBytes().length);

        // 使用私鑰進(jìn)行解密
        rsaEngine.init(false, privateKey);
        byte[] decryptedData = rsaEngine.processBlock(encryptedData, 0, encryptedData.length);

        // 輸出結(jié)果
        System.out.println("Original: " + new String(decryptedData));
    }
}
1.2.2 支持的算法

Bouncy Castle支持多種密碼學(xué)算法,包括對稱加密、非對稱加密、簽名算法等。以下是一個使用Bouncy Castle進(jìn)行SHA256哈希的示例:

import org.bouncycastle.jcajce.provider.digest.SHA256;
import java.security.MessageDigest;

public class SupportedAlgorithmsExample {

    public static void main(String[] args) throws Exception {
        // 創(chuàng)建SHA-256消息摘要對象
        MessageDigest sha256 = MessageDigest.getInstance("SHA-256", "BC");

        // 計算消息摘要
        byte[] hashedData = sha256.digest("Hello, Bouncy Castle!".getBytes());

        // 輸出結(jié)果
        System.out.println("SHA-256 Hash: " + Base64.getEncoder().encodeToString(hashedData));
    }
}
1.3 使用案例
1.3.1 安全通信

Bouncy Castle可用于安全通信,下面是一個使用Bouncy Castle進(jìn)行安全通信的簡單示例,其中使用AES對稱加密算法:

import org.bouncycastle.jce.provider.BouncyCastleProvider;
import javax.crypto.Cipher;
import javax.crypto.KeyGenerator;
import javax.crypto.SecretKey;
import java.security.Security;
import java.util.Base64;

public class SecureCommunicationExample {

    public static void main(String[] args) throws Exception {
        // 添加Bouncy Castle作為安全提供者
        Security.addProvider(new BouncyCastleProvider());

        // 生成AES密鑰
        KeyGenerator keyGen = KeyGenerator.getInstance("AES", "BC");
        keyGen.init(128);
        SecretKey secretKey = keyGen.generateKey();

        // 模擬發(fā)送方加密
        Cipher senderCipher = Cipher.getInstance("AES/ECB/PKCS7Padding", "BC");
        senderCipher.init(Cipher.ENCRYPT_MODE, secretKey);
        byte[] encryptedData = senderCipher.doFinal("Hello, Bouncy Castle!".getBytes());

        // 模擬接收方解密
        Cipher receiverCipher = Cipher.getInstance("AES/ECB/PKCS7Padding", "BC");
        receiverCipher.init(Cipher.DECRYPT_MODE, secretKey);
        byte[] decryptedData = receiverCipher.doFinal(encryptedData);

        // 輸出結(jié)果
        System.out.println("Original Message: " + new String(decryptedData));
    }
}
1.3.2 數(shù)字簽名

Bouncy Castle支持?jǐn)?shù)字簽名,下面是一個使用Bouncy Castle進(jìn)行數(shù)字簽名和驗證的示例:

import org.bouncycastle.jce.provider.BouncyCastleProvider;
import java.security.KeyPair;
import java.security.KeyPairGenerator;
import java.security.PrivateKey;
import java.security.PublicKey;
import java.security.Security;
import java.security.Signature;

public class DigitalSignatureExample {

    public static void main(String[] args) throws Exception {
        // 添加Bouncy Castle作為安全提供者
        Security.addProvider(new BouncyCastleProvider());

        // 生成RSA密鑰對
        KeyPairGenerator keyPairGenerator = KeyPairGenerator.getInstance("RSA", "BC");
        keyPairGenerator.initialize(2048);
        KeyPair keyPair = keyPairGenerator.generateKeyPair();
        PublicKey publicKey = keyPair.getPublic();
        PrivateKey privateKey = keyPair.getPrivate();

        // 創(chuàng)建數(shù)字簽名對象
        Signature signature = Signature.getInstance("SHA256withRSA", "BC");
        signature.initSign(privateKey);

        // 要簽名的數(shù)據(jù)
        byte[] dataToSign = "Hello, Digital Signature!".getBytes();
        signature.update(dataToSign);

        // 生成數(shù)字簽名并獲取簽名結(jié)果:

        byte[] digitalSignature = signature.sign();

        // 驗證數(shù)字簽名
        Signature verifier = Signature.getInstance("SHA256withRSA", "BC");
        verifier.initVerify(publicKey);
        verifier.update(dataToSign);

        // 驗證簽名
        boolean verified = verifier.verify(digitalSignature);

        // 輸出結(jié)果
        System.out.println("Digital Signature Verified: " + verified);
    }
}

2. Jasypt(簡化的Java加密)

2.1 加密方法
2.1.1 對稱加密

Jasypt支持對稱加密算法,以下是一個使用Jasypt進(jìn)行AES對稱加密的示例:

import org.jasypt.encryption.pbe.StandardPBEStringEncryptor;

public class JasyptSymmetricEncryptionExample {

    public static void main(String[] args) {
        // 創(chuàng)建Jasypt加密器
        StandardPBEStringEncryptor encryptor = new StandardPBEStringEncryptor();
        encryptor.setPassword("secret"); // 設(shè)置加密密碼

        // 加密
        String encryptedText = encryptor.encrypt("Hello, Jasypt!");
        System.out.println("Encrypted Text: " + encryptedText);

        // 解密
        String decryptedText = encryptor.decrypt(encryptedText);
        System.out.println("Decrypted Text: " + decryptedText);
    }
}
2.1.2 非對稱加密

Jasypt也支持非對稱加密算法,以下是一個使用Jasypt進(jìn)行RSA非對稱加密的示例:

import org.jasypt.encryption.pbe.StandardPBEByteEncryptor;
import org.jasypt.encryption.pbe.config.SimplePBEByteEncryptorConfig;

import java.security.KeyPair;
import java.security.KeyPairGenerator;
import java.util.Base64;

public class JasyptAsymmetricEncryptionExample {

    public static void main(String[] args) throws Exception {
        // 生成RSA密鑰對
        KeyPairGenerator keyPairGenerator = KeyPairGenerator.getInstance("RSA");
        keyPairGenerator.initialize(2048);
        KeyPair keyPair = keyPairGenerator.generateKeyPair();

        // 創(chuàng)建Jasypt加密器
        StandardPBEByteEncryptor encryptor = new StandardPBEByteEncryptor();
        encryptor.setAlgorithm("RSA");
        encryptor.setPublicKey(Base64.getEncoder().encodeToString(keyPair.getPublic().getEncoded()));
        encryptor.setPrivateKey(Base64.getEncoder().encodeToString(keyPair.getPrivate().getEncoded()));
        encryptor.setConfig(new SimplePBEByteEncryptorConfig());

        // 加密
        byte[] encryptedData = encryptor.encrypt("Hello, Jasypt!".getBytes());

        // 解密
        byte[] decryptedData = encryptor.decrypt(encryptedData);
        System.out.println("Decrypted Text: " + new String(decryptedData));
    }
}
2.2 在Java應(yīng)用中的集成
2.2.1 配置設(shè)置

Jasypt的集成相對簡單,通常只需要在應(yīng)用的配置中添加相應(yīng)的密碼配置。以下是一個使用Jasypt進(jìn)行數(shù)據(jù)庫連接密碼加密的示例:

import org.jasypt.encryption.pbe.StandardPBEStringEncryptor;

public class JasyptIntegrationExample {

    public static void main(String[] args) {
        // 創(chuàng)建Jasypt加密器
        StandardPBEStringEncryptor encryptor = new StandardPBEStringEncryptor();
        encryptor.setPassword("mySecretKey"); // 設(shè)置加密密碼

        // 加密數(shù)據(jù)庫連接密碼
        String encryptedPassword = encryptor.encrypt("myDatabasePassword");
        System.out.println("Encrypted Database Password: " + encryptedPassword);

        // 在應(yīng)用配置中使用加密后的密碼
        // dataSource.password=ENC(加密后的密碼)
    }
}
2.2.2 加密屬性文件

Jasypt還支持加密整個屬性文件,以下是一個使用Jasypt進(jìn)行屬性文件加密的示例:

import org.jasypt.encryption.pbe.StandardPBEStringEncryptor;
import org.jasypt.encryption.pbe.config.EnvironmentStringPBEConfig;

import java.io.FileInputStream;
import java.io.FileOutputStream;
import java.io.IOException;
import java.io.InputStream;
import java.util.Properties;

public class JasyptPropertyEncryptionExample {

    public static void main(String[] args) throws IOException {
        // 創(chuàng)建Jasypt加密器
        StandardPBEStringEncryptor encryptor = new StandardPBEStringEncryptor();
        EnvironmentStringPBEConfig config = new EnvironmentStringPBEConfig();
        config.setPasswordEnvName("MY_SECRET_KEY_ENV"); // 設(shè)置加密密碼環(huán)境變量
        encryptor.setConfig(config);

        // 加密屬性文件
        encryptPropertiesFile("path/to/my.properties", encryptor);
    }

    private static void encryptPropertiesFile(String filePath, StandardPBEStringEncryptor encryptor) throws IOException {
        Properties properties = new Properties();

        // 讀取原始屬性文件
        try (InputStream input = new FileInputStream(filePath)) {
            properties.load(input);
        }

        // 加密敏感屬性
        properties.setProperty("db.password", encryptor.encrypt(properties.getProperty("db.password")));

        // 保存加密后的屬性文件
        try (FileOutputStream output = new FileOutputStream(filePath)) {
            properties.store(output, null);
        }
    }
}

3. Keycloak(身份和訪問管理)

3.1 身份管理
3.1.1 用戶認(rèn)證

Keycloak提供了強(qiáng)大的用戶認(rèn)證功能,以下是一個簡單的Keycloak用戶認(rèn)證示例:

import org.keycloak.KeycloakPrincipal;
import org.keycloak.KeycloakSecurityContext;
import org.keycloak.adapters.RefreshableKeycloakSecurityContext;
import org.keycloak.adapters.springsecurity.account.SimpleKeycloakAccount;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.context.SecurityContextHolder;

public class KeycloakAuthenticationExample {

    public static void main(String[] args) {
        // 獲取當(dāng)前身份驗證信息
        Authentication authentication = SecurityContextHolder.getContext().getAuthentication();

        // 從身份驗證信息中獲取KeycloakPrincipal
        KeycloakPrincipal<KeycloakSecurityContext> keycloakPrincipal =
                (KeycloakPrincipal<KeycloakSecurityContext>) authentication.getPrincipal();

        // 獲取用戶ID
        String userId = keycloakPrincipal.getKeycloakSecurityContext().getToken().getSubject();
        System.out.println("User ID: " + userId);

        // 獲取用戶名
        String username = keycloakPrincipal.getKeycloakSecurityContext().getToken().getPreferredUsername();
        System.out.println("Username: " + username);
    }
}
3.1.2 授權(quán)策略

Keycloak支持靈活的授權(quán)策略,可以通過設(shè)置角色、資源和策略來實現(xiàn)精確的授權(quán)。以下是一個使用Keycloak進(jìn)行基于角色的授權(quán)的示例:

import org.keycloak.KeycloakPrincipal;
import org.keycloak.KeycloakSecurityContext;
import org.keycloak.adapters.springsecurity.account.SimpleKeycloakAccount;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.context.SecurityContextHolder;

public class KeycloakAuthorizationExample {

    public static void main(String[] args) {
        // 獲取當(dāng)前身份驗證信息
        Authentication authentication = SecurityContextHolder.getContext().getAuthentication();

        // 從身份驗證信息中獲取KeycloakPrincipal
        KeycloakPrincipal<KeycloakSecurityContext> keycloakPrincipal =
                (KeycloakPrincipal<KeycloakSecurityContext>) authentication.getPrincipal();

        // 檢查用戶是否具有某個角色
        boolean isAdmin = keycloakPrincipal.getKeycloakSecurityContext().getToken().getRealmAccess().isUserInRole("admin");
        System.out.println("Is Admin: " + isAdmin);

        // 檢查用戶是否具有特定資源的訪問權(quán)限
        boolean hasAccess = keycloakPrincipal.getKeycloakSecurityContext().getToken().getResourceAccess("my-resource").isGranted("read");
        System.out.println("Has Read Access: " + hasAccess);
    }
}
3.2 集成
3.2.1 單點登錄(SSO)

Keycloak支持單點登錄(SSO),以下是一個使用Keycloak進(jìn)行單點登錄的示例:

import org.keycloak.KeycloakSecurityContext;
import org.keycloak.adapters.springsecurity.account.SimpleKeycloakAccount;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.context.SecurityContextHolder;

public class KeycloakSSOExample {

    public static void main(String[] args) {
        // 獲取當(dāng)前身份驗證信息
        Authentication authentication = SecurityContextHolder.getContext().getAuthentication();

        // 從身份驗證信息中獲取KeycloakSecurityContext
        KeycloakSecurityContext keycloakSecurityContext =
                ((SimpleKeycloakAccount) authentication.getDetails()).getKeycloakSecurityContext();

        // 獲取SSO Session ID
        String sessionID = keycloakSecurityContext.getToken().getSessionState();
        System.out.println("SSO Session ID: " + sessionID);
    }
}
3.2.2 訪問控制列表(ACLs)

Keycloak支持訪問控制列表(ACLs),以下是一個使用Keycloak進(jìn)行基于ACL的訪問控制的示例:

import org.keycloak.KeycloakPrincipal;
import org.keycloak.KeycloakSecurityContext;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.context.SecurityContextHolder;

public class KeycloakACLExample {

    public static void main(String[] args) {
        // 獲取當(dāng)前身份驗證信息
        Authentication authentication = SecurityContextHolder.getContext().getAuthentication();

        // 從身份驗證信息中獲取KeycloakPrincipal
        KeycloakPrincipal<KeycloakSecurityContext> keycloakPrincipal =
                (KeycloakPrincipal<KeycloakSecurityContext>) authentication.getPrincipal();

        // 獲取用戶ID
        String userId = keycloakPrincipal.getKeycloakSecurityContext().getToken().getSubject();

        // 根據(jù)用戶ID檢查訪問控制列表(ACLs)
        boolean hasAccess = checkACLs(userId);
        System.out.println("Has Access: " + hasAccess);
    }

    private static boolean checkACLs(String userId) {
        // 實現(xiàn)自定義的訪問控制邏輯,根據(jù)用戶ID判斷是否有訪問權(quán)限
        // 返回true表示有權(quán)限,返回false表示無權(quán)限
        // 可以根據(jù)實際需求連接數(shù)據(jù)庫或其他服務(wù)進(jìn)行權(quán)限驗證
        // 示例中簡單返回true
        return true;
    }
}

4. Apache Shiro

4.1 安全框架概述
4.1.1 認(rèn)證與授權(quán)

Apache Shiro提供了簡化的認(rèn)證和授權(quán),以下是一個使用Apache Shiro進(jìn)行基本認(rèn)證和授權(quán)的示例:

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.*;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.subject.Subject;

public class ShiroAuthenticationAuthorizationExample {

    public static void main(String[] args) {
        // 從配置文件創(chuàng)建SecurityManager
        IniSecurityManagerFactory factory = new IniSecurityManagerFactory("classpath:shiro.ini");
        SecurityManager securityManager = factory.getInstance();
        SecurityUtils.setSecurityManager(securityManager);

        // 獲取當(dāng)前用戶
        Subject currentUser = SecurityUtils.getSubject();

        // 登錄
        UsernamePasswordToken token = new UsernamePasswordToken("user", "password");
        try {
            currentUser.login(token);
            System.out.println("Login successful!");
        } catch (UnknownAccountException uae) {
            System.out.println("Unknown account");
        } catch (IncorrectCredentialsException ice) {
            System.out.println("Incorrect credentials");
        } catch (LockedAccountException lae) {
            System.out.println("Account is locked");
        } catch (AuthenticationException ae) {
            System.out.println("Authentication error");
        }

        // 檢查用戶是否具有某個角色
        if (currentUser.hasRole("admin")) {
            System.out.println("User has admin role");
        } else {
            System.out.println("User does not have admin role");
        }

        // 檢查用戶是否具有某個權(quán)限
        if (currentUser.isPermitted("read:documents")) {
            System.out.println("User has read permission for documents");
        } else {
            System.out.println("User does not have read permission for documents");
        }

        // 登出
        currentUser.logout();
    }
}
4.1.2 會話管理

Apache Shiro提供了靈活的會話管理,以下是一個使用Apache Shiro進(jìn)行會話管理的示例:

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.session.Session;
import org.apache.shiro.subject.Subject;

public class ShiroSessionManagementExample {

    public static void main(String[] args) {
        // 從配置文件創(chuàng)建SecurityManager
        IniSecurityManagerFactory factory = new IniSecurityManagerFactory("classpath:shiro.ini");
        SecurityManager securityManager = factory.getInstance();
        SecurityUtils.setSecurityManager(securityManager);

        // 獲取當(dāng)前用戶
        Subject currentUser = SecurityUtils.getSubject();

        // 登錄
        UsernamePasswordToken token = new UsernamePasswordToken("user", "password");
        currentUser.login(token);

        // 獲取會話
        Session session = currentUser.getSession();

        // 設(shè)置和獲取會話屬性
        session.setAttribute("key", "value");
        String value = (String) session.getAttribute("key");
        System.out.println("Session Attribute Value: " + value);

        // 獲取會話超時時間
        long timeout = session.getTimeout();
        System.out.println("Session Timeout: " + timeout + " milliseconds");

        // 會話過期后,用戶需要重新認(rèn)證
        // 模擬會話過期
        session.setTimeout(1000);

        try {
            // 在會話過期后嘗試訪問會話屬性,將觸發(fā)會話過期異常
            String expiredValue = (String) session.getAttribute("key");
        } catch (org.apache.shiro.session.ExpiredSessionException e) {
            System.out.println("Session has expired");
        }

        // 登出
        currentUser.logout();
    }
}
4.2 功能特點
4.2.1 加密支持

Apache Shiro內(nèi)置了加密支持,以下是一個使用Shiro進(jìn)行密碼加密和驗證的示例:

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.crypto.hash.SimpleHash;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.subject.Subject;

public class ShiroEncryptionExample {

    public static void main(String[] args) {
        // 從配置文件創(chuàng)建SecurityManager
        IniSecurityManagerFactory factory = new IniSecurityManagerFactory("classpath:shiro.ini");
        SecurityManager securityManager = factory.getInstance();
        SecurityUtils.setSecurityManager(securityManager);

        // 獲取當(dāng)前用戶
        Subject currentUser = SecurityUtils.getSubject();

        // 登錄
        UsernamePasswordToken token = new UsernamePasswordToken("user", "password");
        currentUser.login(token);

        // 加密密碼
        String plainTextPassword = "password";
        String salt = "salt";
        int hashIterations = 1000;

        String hashedPassword = new SimpleHash("SHA-256", plainTextPassword, salt, hashIterations).toString();
        System.out.println("Hashed Password: " + hashedPassword);

        // 驗證密碼
        boolean passwordMatch = currentUser.isPermitted("user:password:" + hashedPassword);
        System.out.println("Password Match: " + passwordMatch);

        // 登出
        currentUser.logout();
    }
}
4.2.2 Web應(yīng)用安全管理

Apache Shiro提供了完善的Web應(yīng)用安全管理,以下是一個使用Shiro進(jìn)行基本W(wǎng)eb應(yīng)用安全管理的示例:

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.subject.Subject;

public class ShiroWebSecurityExample {

    public static void main(String[] args) {
        // 從配置文件創(chuàng)建SecurityManager
        IniSecurityManagerFactory factory = new IniSecurityManagerFactory("classpath:shiro-web.ini");
        SecurityManager securityManager = factory.getInstance();
        SecurityUtils.setSecurityManager(securityManager);

        // 獲取當(dāng)前用戶
        Subject currentUser = SecurityUtils.getSubject();

        // 檢查用戶是否已認(rèn)證
        if (currentUser.isAuthenticated()) {
            System.out.println("User is authenticated");
        } else {
            System.out.println("User is not authenticated");
        }

        // 檢查用戶是否具有某個角色
        if (currentUser.hasRole("admin")) {
            System.out.println("User has admin role");
        } else {
            System.out.println("User does not have admin role");
        }

        // 檢查用戶是否具有某個權(quán)限
        if (currentUser.isPermitted("read:documents")) {
            System.out.println("User has read permission for documents");
        } else {
            System.out.println("User does not have read permission for documents");
        }
    }
}

5. Java Cryptography Extension (JCE)

5.1 JCE架構(gòu)
5.1.1 提供者(Provider)

Java Cryptography Extension (JCE)采用提供者架構(gòu),以下是一個使用JCE進(jìn)行SHA-256哈希的示例:

import java.security.MessageDigest;
import java.security.Security;
import java.util.Base64;

public class JCEProviderExample {

    public static void main(String[] args) throws Exception {
        // 添加Bouncy Castle作為安全提供者
        Security.addProvider(new org.bouncycastle.jce.provider.BouncyCastleProvider());

        // 創(chuàng)建SHA-256消息摘要對象
        MessageDigest sha256 = MessageDigest.getInstance("SHA-256");

        // 計算消息摘要
        byte[] hashedData = sha256.digest("Hello, JCE!".getBytes());

        // 輸出結(jié)果
        System.out.println("SHA-256 Hash: " + Base64.getEncoder().encodeToString(hashedData));
    }
}
5.1.2 算法(Algorithms)

JCE提供了豐富的加密算法,以下是一個使用JCE進(jìn)行AES對稱加密的示例:

import javax.crypto.Cipher;
import javax.crypto.KeyGenerator;
import javax.crypto.SecretKey;
import java.security.Security;
import java.util.Base64;

public class JCEAlgorithmsExample {

    public static void main(String[] args) throws Exception {
        // 添加Bouncy Castle作為安全提供者
        Security.addProvider(new org.bouncycastle.jce.provider.BouncyCastleProvider());

        // 生成AES密鑰
        KeyGenerator keyGen = KeyGenerator.getInstance("AES");
        keyGen.init(128);
        SecretKey secretKey = keyGen.generateKey();

        // 加密
        Cipher cipher = Cipher.getInstance("AES/ECB/PKCS7Padding");
        cipher.init(Cipher.ENCRYPT_MODE, secretKey);
        byte[] encryptedData = cipher.doFinal("Hello, JCE!".getBytes());

        // 解密
        cipher.init(Cipher.DECRYPT_MODE, secretKey);
        byte[] decryptedData = cipher.doFinal(encryptedData);

        // 輸出結(jié)果
        System.out.println("Original: " + new String(decryptedData));
    }
}
5.2 加密與解密
5.2.1 對稱加密

JCE支持對稱加密算法,以下是一個使用JCE進(jìn)行AES對稱加密的示例:

import javax.crypto.Cipher;
import javax.crypto.KeyGenerator;
import javax.crypto.SecretKey;
import java.util.Base64;

public class JCESymmetricEncryptionExample {

    public static void main(String[] args) throws Exception {
        // 生成AES密鑰
        KeyGenerator keyGen = KeyGenerator.getInstance("AES");
        keyGen.init(128);
        SecretKey secretKey = keyGen.generateKey();

        // 加密
        Cipher cipher = Cipher.getInstance("AES/ECB/PKCS7Padding");
        cipher.init(Cipher.ENCRYPT_MODE, secretKey);
        byte[] encryptedData = cipher.doFinal("Hello, JCE!".getBytes());

        // 解密
        cipher.init(Cipher.DECRYPT_MODE, secretKey);
        byte[] decryptedData = cipher.doFinal(encryptedData);

        // 輸出結(jié)果
        System.out.println("Original: " + new String(decryptedData));
    }
}
5.2.2 非對稱加密

JCE提供了非對稱加密算法的支持,以下是一個使用JCE進(jìn)行RSA非對稱加密的示例:

import javax.crypto.Cipher;
import java.security.*;

public class JCEAsymmetricEncryptionExample {

    public static void main(String[] args) throws Exception {
        // 生成RSA密鑰對
        KeyPairGenerator keyPairGenerator = KeyPairGenerator.getInstance("RSA");
        keyPairGenerator.initialize(2048);
        KeyPair keyPair = keyPairGenerator.generateKeyPair();

        // 獲取公鑰和私鑰
        PublicKey publicKey = keyPair.getPublic();
        PrivateKey privateKey = keyPair.getPrivate();

        // 加密
        Cipher cipher = Cipher.getInstance("RSA/ECB/PKCS1Padding");
        cipher.init(Cipher.ENCRYPT_MODE, publicKey);
        byte[] encryptedData = cipher.doFinal("Hello, JCE!".getBytes());

        // 解密
        cipher.init(Cipher.DECRYPT_MODE, privateKey);
        byte[] decryptedData = cipher.doFinal(encryptedData);

        // 輸出結(jié)果
        System.out.println("Original: " + new String(decryptedData));
    }
}

6. OWASP Java Encoder

6.1 安全編碼實踐
6.1.1 防止Web應(yīng)用攻擊

OWASP Java Encoder提供了安全的編碼方法,防止Web應(yīng)用中的攻擊,以下是一個使用OWASP Java Encoder進(jìn)行HTML編碼的示例:

import org.owasp.encoder.Encode;

public class OWASPJavaEncoderExample {

    public static void main(String[] args) {
        // 要編碼的文本
        String userInput = "<script>alert('XSS')</script>";

        // HTML編碼
        String encodedHTML = Encode.forHtml(userInput);

        // 輸出結(jié)果
        System.out.println("Encoded HTML: " + encodedHTML);
    }
}
6.1.2 防止跨站腳本(XSS)攻擊

OWASP Java Encoder可以防止跨站腳本(XSS)攻擊,以下是一個使用OWASP Java Encoder進(jìn)行JavaScript編碼的示例:

import org.owasp.encoder.Encode;

public class OWASPJavaEncoderXSSExample {

    public static void main(String[] args) {
        // 要編碼的文本
        String userInput = "<script>alert('XSS')</script>";

        // JavaScript編碼
        String encodedJS = Encode.forJavaScript(userInput);

        // 輸出結(jié)果
        System.out.println("Encoded JavaScript: " + encodedJS);
    }
}
6.2 編碼技術(shù)
6.2.1 HTML、URL編碼

OWASP Java Encoder提供了HTML和URL編碼方法,以下是一個使用OWASP Java Encoder進(jìn)行URL編碼的示例:

import org.owasp.encoder.Encode;

public class OWASPJavaEncoderURLEncodingExample {

    public static void main(String[] args) {
        // 要編碼的文本
        String userInput = "https://example.com/?query=<script>alert('XSS')</script>";

        // URL編碼
        String encodedURL = Encode.forUriComponent(userInput);

        // 輸出結(jié)果
        System.out.println("Encoded URL: " + encodedURL);
    }
}
6.2.2 JavaScript編碼

OWASP Java Encoder提供了JavaScript編碼方法,以下是一個使用OWASP Java Encoder進(jìn)行JavaScript編碼的示例:

import org.owasp.encoder.Encode;

public class OWASPJavaEncoderJavaScriptExample {

    public static void main(String[] args) {
        // 要編碼的文本
        String userInput = "alert('XSS')";

        // JavaScript編碼
        String encodedJS = Encode.forJavaScript(userInput);

        // 輸出結(jié)果
        System.out.println("Encoded JavaScript: " + encodedJS);
    }
}

這些示例涵蓋了常見的Java安全與加密庫,包括Bouncy Castle、Jasypt、Keycloak、Apache Shiro、Java Cryptography Extension (JCE)和OWASP Java Encoder。這些庫提供了豐富的功能,可用于實現(xiàn)安全的通信、加密解密、身份認(rèn)證授權(quán)以及防范Web應(yīng)用攻擊。

總結(jié)

通過學(xué)習(xí)本文介紹的Java安全與加密庫,Java開發(fā)者可以更好地保障其應(yīng)用程序的安全性。無論是實現(xiàn)安全通信、數(shù)字簽名,還是加密密碼、防范Web應(yīng)用攻擊,這些庫都為開發(fā)者提供了靈活而強(qiáng)大的工具。在數(shù)字化環(huán)境中,深入了解這些安全技術(shù)將成為Java開發(fā)者提高應(yīng)用程序安全性的不可或缺的一部分。文章來源地址http://www.zghlxwxcb.cn/news/detail-809112.html

到了這里,關(guān)于【Java萬花筒】Java安全衛(wèi)士:從密碼學(xué)到Web應(yīng)用攻擊的文章就介紹完了。如果您還想了解更多內(nèi)容,請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章,希望大家以后多多支持TOY模板網(wǎng)!

本文來自互聯(lián)網(wǎng)用戶投稿,該文觀點僅代表作者本人,不代表本站立場。本站僅提供信息存儲空間服務(wù),不擁有所有權(quán),不承擔(dān)相關(guān)法律責(zé)任。如若轉(zhuǎn)載,請注明出處: 如若內(nèi)容造成侵權(quán)/違法違規(guī)/事實不符,請點擊違法舉報進(jìn)行投訴反饋,一經(jīng)查實,立即刪除!

領(lǐng)支付寶紅包贊助服務(wù)器費用

相關(guān)文章

  • 【Java萬花筒】通往高效通信的道路:揭秘Java網(wǎng)絡(luò)庫的奧秘

    Java網(wǎng)絡(luò)通信是構(gòu)建分布式系統(tǒng)和構(gòu)想強(qiáng)大網(wǎng)絡(luò)應(yīng)用的核心要素。本文將深入探討幾個重要的Java網(wǎng)絡(luò)通信庫,從基礎(chǔ)的Socket到高性能的Netty、靈活的Apache MINA、現(xiàn)代的gRPC,以及通用的OkHttp。通過對每個庫的介紹和簡單示例,讀者將能夠更好地理解它們的特性、適用場景和如何在

    2024年01月21日
    瀏覽(58)

  • 【Java萬花筒】云端之旅:Java容器化、微服務(wù)與云服務(wù)之道

    隨著云計算的迅猛發(fā)展,Java在構(gòu)建云原生應(yīng)用和微服務(wù)架構(gòu)方面扮演著關(guān)鍵角色。本文將深入探討Java在容器化、Kubernetes集群、AWS云服務(wù)、Spring Cloud微服務(wù)和Apache HttpClient等方面的利用與實踐。 歡迎訂閱專欄:Java萬花筒 1. Docker Java API 1.1 概述 Docker Java API 提供了使用 Java 與

    2024年01月22日
    瀏覽(14)

  • 【Java萬花筒】Java圖像魔法:圖像處理與計算機(jī)視覺庫全指南

    在當(dāng)今數(shù)字時代,圖像處理和計算機(jī)視覺成為了許多應(yīng)用領(lǐng)域的關(guān)鍵技術(shù)。本文將深入介紹幾款Java圖像處理與計算機(jī)視覺庫,為開發(fā)者提供全面的了解和實踐指導(dǎo)。 歡迎訂閱專欄:Java萬花筒 1. Java Advanced Imaging (JAI) 1.1 概述 Java Advanced Imaging(JAI)是Java平臺上一款強(qiáng)大的圖像

    2024年01月18日
    瀏覽(72)

  • 【Java萬花筒】Java 應(yīng)用程序監(jiān)控與管理綜述:從JMX到Prometheus的全面指南

    在現(xiàn)代軟件開發(fā)中,運維與監(jiān)控是確保應(yīng)用程序穩(wěn)定性和性能的關(guān)鍵環(huán)節(jié)。Java作為一種廣泛應(yīng)用的編程語言,擁有豐富的運維與監(jiān)控庫,為開發(fā)者提供了強(qiáng)大的工具來管理和優(yōu)化應(yīng)用程序。本文將深入探討 Java 中常用的運維與監(jiān)控庫,包括 JMX、Metrics、Spring Boot Admin、AppDyna

    2024年02月19日
    瀏覽(24)

  • 【Java萬花筒】跨越云平臺的無服務(wù)器開發(fā):使用Java構(gòu)建彈性、高效的應(yīng)用

    無服務(wù)器計算平臺提供了一種方便、彈性和成本效益高的方式來運行代碼,而無需關(guān)心底層基礎(chǔ)設(shè)施的管理。在這篇文章中,我們將探討如何使用Java語言與一些主要的無服務(wù)器計算平臺集成,包括AWS Lambda、Google Cloud Functions、騰訊云函數(shù)和IBM Cloud Functions。我們將介紹這些平臺

    2024年02月19日
    瀏覽(25)

  • 【Java萬花筒】無服務(wù)器靜態(tài)網(wǎng)站開發(fā):Java靜態(tài)站點生成庫的選擇與實踐

    在當(dāng)今互聯(lián)網(wǎng)時代,靜態(tài)網(wǎng)站已經(jīng)成為了展示個人作品、技術(shù)文檔、博客等內(nèi)容的常見形式。靜態(tài)站點生成器為我們提供了一種快速、簡單的方式來創(chuàng)建、管理和發(fā)布靜態(tài)網(wǎng)站,從而使我們能夠?qū)W⒂趦?nèi)容本身而不必?fù)?dān)心復(fù)雜的后端邏輯和數(shù)據(jù)庫管理。本文將介紹幾種流行的

    2024年02月21日
    瀏覽(30)

  • 【Java萬花筒】解碼Java網(wǎng)絡(luò)通訊謎團(tuán):對比Apache HttpClient、OkHttp、Feign、RestTemplate、Retrofit

    在當(dāng)今互聯(lián)網(wǎng)時代,Java開發(fā)者常常需要處理與各種RESTful服務(wù)的通信。本文旨在深入比較Java中幾個主流的網(wǎng)絡(luò)請求庫,包括Apache HttpClient、OkHttp、Feign、RestTemplate、Retrofit。通過全面的介紹和示例代碼,讀者將能夠了解它們的特點、優(yōu)勢以及如何在實際項目中使用。 歡迎訂閱專

    2024年01月25日
    瀏覽(26)
  • 圖像扭曲之萬花筒

    圖像扭曲之萬花筒

    源碼: 效果:

    2024年02月10日
    瀏覽(21)

  • 【Java萬花筒】選擇最適合您的數(shù)據(jù)序列化格式:比較 Avro、Protocol Buffers、JSON、XML、MessagePack和BSON

    在當(dāng)今數(shù)據(jù)驅(qū)動的世界中,高效地處理和傳輸數(shù)據(jù)變得至關(guān)重要。選擇合適的數(shù)據(jù)序列化格式對于數(shù)據(jù)存儲、通信和處理的性能至關(guān)重要。本文將介紹并比較幾種常用的數(shù)據(jù)序列化格式,包括Apache Avro、Protocol Buffers、JSON、XML、MessagePack和BSON。通過了解它們的概述、特點、應(yīng)用

    2024年02月20日
    瀏覽(19)

  • 用戶隱私安全衛(wèi)士——小程序沙箱

    隨著數(shù)字經(jīng)濟(jì)的發(fā)展,中國有越來愈多個數(shù)據(jù),但數(shù)據(jù)泄露風(fēng)險也越來越大。根據(jù)IDC數(shù)據(jù)23%,2022年我們產(chǎn)生了23.3ZB的全球數(shù)字(2017年為6.5%),預(yù)計2026年將超過美國成為世界上最大的數(shù)據(jù)生產(chǎn)國。因此,數(shù)據(jù)安全問題愈加重要。 沙箱也稱作“沙盒/沙盤”,是一種安全機(jī)制,

    2023年04月18日
    瀏覽(16)

覺得文章有用就打賞一下文章作者

支付寶掃一掃打賞

博客贊助

微信掃一掃打賞

請作者喝杯咖啡吧~博客贊助

支付寶掃一掃領(lǐng)取紅包,優(yōu)惠每天領(lǐng)

二維碼1

領(lǐng)取紅包

二維碼2

領(lǐng)紅包