一,druid的安全保障有哪些环节要注意?

1,druid ui的访问要有ip地址限制

2,用户必须要有相应的权限才能访问druid

3,关闭重置功能

说明:stat-view-servlet.url-pattern的配置应用时会报错,

如果bug修改了,使用这个功能会更安全

说明:刘宏缔的架构森林是一个专注架构的博客,地址:https://www.cnblogs.com/architectforest

对应的源码可以访问这里获取: https://github.com/liuhongdi/

说明:作者:刘宏缔 邮箱: 371125307@qq.com

二,演示项目的相关信息

1,项目地址:

https://github.com/liuhongdi/druidsecurity

2,项目功能说明:

演示了druid的安全配置

3,项目结构:如图:

三,配置文件说明

1,pom.xml

        <dependency>

            <groupId>org.springframework.boot</groupId>

            <artifactId>spring-boot-starter-web</artifactId>

            <exclusions>

                <exclusion>

                    <groupId>org.springframework.boot</groupId>

                    <artifactId>spring-boot-starter-logging</artifactId>

                </exclusion>

            </exclusions>

        </dependency>

        <!--druid begin-->

        <dependency>

            <groupId>com.alibaba</groupId>

            <artifactId>druid-spring-boot-starter</artifactId>

            <version>1.1.22</version>

        </dependency>

        <dependency>

            <groupId>org.springframework.boot</groupId>

            <artifactId>spring-boot-starter-log4j2</artifactId>

        </dependency>

        <dependency>

            <groupId>com.lmax</groupId>

            <artifactId>disruptor</artifactId>

            <version>3.4.2</version>

        </dependency>

        <!--mybatis begin-->

        <dependency>

            <groupId>org.mybatis.spring.boot</groupId>

            <artifactId>mybatis-spring-boot-starter</artifactId>

            <version>2.1.3</version>

        </dependency>

        <!--mysql begin-->

        <dependency>

            <groupId>mysql</groupId>

            <artifactId>mysql-connector-java</artifactId>

            <scope>runtime</scope>

        </dependency>

        <!-- spring security -->

        <dependency>

            <groupId>org.springframework.boot</groupId>

            <artifactId>spring-boot-starter-security</artifactId>

        </dependency>

2,application.properties

#error

server.error.include-stacktrace=always

#error

logging.level.org.springframework.web=trace

#   数据源基本配置

spring.datasource.username = root

spring.datasource.password = lhddemo

spring.datasource.driver-class-name = com.mysql.cj.jdbc.Driver

spring.datasource.url = jdbc:mysql://127.0.0.1:3306/store?serverTimezone=UTC

spring.datasource.type = com.alibaba.druid.pool.DruidDataSource

#   Druid数据源配置

spring.datasource.druid.initialSize = 5

spring.datasource.druid.minIdle = 5

spring.datasource.druid.maxActive = 20

spring.datasource.druid.maxWait = 60000

spring.datasource.druid.timeBetweenEvictionRunsMillis = 60000

spring.datasource.druid.minEvictableIdleTimeMillis = 300000

spring.datasource.druid.validationQuery = SELECT 1 FROM DUAL

spring.datasource.druid.testWhileIdle = true

spring.datasource.druid.testOnBorrow = false

spring.datasource.druid.testOnReturn = false

spring.datasource.druid.poolPreparedStatements = true

#   配置监控统计拦截的filters,去掉后监控界面sql无法统计,'wall'用于防火墙

spring.datasource.druid.filters = stat,wall,log4j2

spring.datasource.druid.maxPoolPreparedStatementPerConnectionSize = 20

spring.datasource.druid.useGlobalDataSourceStat = true

spring.datasource.druid.connectionProperties = druid.stat.mergeSql=true;druid.stat.slowSqlMillis=500

#druid sql firewall monitor

spring.datasource.druid.filter.wall.enabled=true

#druid sql monitor

spring.datasource.druid.filter.stat.enabled=true

spring.datasource.druid.filter.stat.log-slow-sql=true

spring.datasource.druid.filter.stat.slow-sql-millis=10000

spring.datasource.druid.filter.stat.merge-sql=true

#druid uri monitor

spring.datasource.druid.web-stat-filter.enabled=true

spring.datasource.druid.web-stat-filter.url-pattern=/*

spring.datasource.druid.web-stat-filter.exclusions=*.js,*.gif,*.jpg,*.bmp,*.png,*.css,*.ico,/druid/*

#druid session monitor

spring.datasource.druid.web-stat-filter.session-stat-enable=true

spring.datasource.druid.web-stat-filter.profile-enable=true

#druid spring monitor

spring.datasource.druid.aop-patterns=com.druid.*

#monintor

#druid login user config

spring.datasource.druid.stat-view-servlet.enabled=true

#使重置功能不起作用

spring.datasource.druid.stat-view-servlet.reset-enable=false

#spring.datasource.druid.stat-view-servlet.url-pattern=/abcd/*

spring.datasource.druid.stat-view-servlet.login-username=root

spring.datasource.druid.stat-view-servlet.login-password=root

# IP白名单 (没有配置或者为空,则允许所有访问)

spring.datasource.druid.stat-view-servlet.allow = 127.0.0.1,192.168.1.1

# IP黑名单 (存在共同时,deny优先于allow)

spring.datasource.druid.stat-view-servlet.deny = 192.168.10.1

#mybatis

mybatis.mapper-locations=classpath:/mapper/*Mapper.xml

mybatis.type-aliases-package=com.example.demo.mapper

mybatis.configuration.log-impl=org.apache.ibatis.logging.stdout.StdOutImpl

logging.config = classpath:log4j2.xml

说明:以下是安全配置的重点

#使重置功能不起作用
spring.datasource.druid.stat-view-servlet.reset-enable=false
#配置访问监控view的用户名密码
spring.datasource.druid.stat-view-servlet.login-username=root
spring.datasource.druid.stat-view-servlet.login-password=root
# IP白名单 (没有配置或者为空,则允许所有访问)
spring.datasource.druid.stat-view-servlet.allow = 127.0.0.1,192.168.1.1
# IP黑名单 (存在共同时,deny优先于allow)
spring.datasource.druid.stat-view-servlet.deny = 192.168.10.1

四,java代码说明:

1,SecurityConfig.java

@Configuration

@EnableWebSecurity

 public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override

    protected void configure(HttpSecurity http) throws Exception {

        //针对druid的ui,关闭csrf,否则会无法登录

        http.csrf().ignoringAntMatchers("/druid/**");

        //login和logout

        http.formLogin()

                .defaultSuccessUrl("/goods/session")

                .failureUrl("/login-error.html")

                .permitAll()

                .and()

                .logout();

        //指定访问druid的role

        String druidRule = "hasAnyRole('ADMIN','DEV')";

        //匹配的页面,符合限制才可访问

        http.authorizeRequests()

                .antMatchers("/druid/**").access(druidRule)

                .antMatchers("/goods/**").hasAnyRole("ADMIN","DEV","USER");

        //剩下的页面,允许访问

        http.authorizeRequests().anyRequest().permitAll();

    }

    @Autowired

    public  void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {

        //添加两个账号用来做测试

        auth.inMemoryAuthentication().passwordEncoder(new BCryptPasswordEncoder())

                .withUser("lhdadmin")

                .password(new BCryptPasswordEncoder().encode("123456"))

                .roles("ADMIN","USER")

                .and()

                .withUser("lhduser")

                .password(new BCryptPasswordEncoder().encode("123456"))

                .roles("USER");

    }

 }

说明:

http.csrf().ignoringAntMatchers("/druid/**");

针对druid关闭csrf,否则会导致无法登录,其他页面不受影响

antMatchers("/druid/**").access(druidRule)
     指定了访问druid监控view的规则

2,GoodsController.java

@Controller

@RequestMapping("/goods")

public class GoodsController {

    @Resource

    private GoodsMapper goodsMapper;

    //商品详情 参数:商品id

    @GetMapping("/goodsinfo")

    @ResponseBody

    public Goods goodsInfo(@RequestParam(value="goodsid",required = true,defaultValue = "0") Long goodsId) {

        Goods goods = goodsMapper.selectOneGoods(goodsId);

        return goods;

    }

    //打印当前登录用户的session

    @GetMapping("/session")

    @ResponseBody

    public String session() {

        HttpSession session = ((ServletRequestAttributes) RequestContextHolder.getRequestAttributes()).getRequest().getSession();

        Enumeration e   =   session.getAttributeNames();

        String s = "";

        while( e.hasMoreElements())   {

            String sessionName=(String)e.nextElement();

            s += "name="+sessionName+";<br/>";

            s += "value="+session.getAttribute(sessionName)+";";

        }

        return s;

    }

}

3,GoodsMapper.java,GoodsMapper.xml,Goods.java等用来演示通过druid访问数据源,不再贴出,

大家可访问github.com查看

五,效果测试

1,使用无权限的用户登录后访问

用lhduser登录

session信息中可以看到授权的角色是:ROLE_USER

访问druid:

因为没有权限,我们看到了报错信息

2,使用有权限的用户登录后访问

用lhdadmin登录,查看session:

查看druid,先用配置的账号root登录

可以正常访问:

3,从未授权的ip访问:注意替换成自己应用所在的ip

http://192.168.3.182:8080/druid

用有权限的账号lhdadmin登录,

返回:

可见既使有权限访问,但如果ip未加入白名单也会报错

六,查看spring boot的版本

  .   ____          _            __ _ _

 /\\ / ___'_ __ _ _(_)_ __  __ _ \ \ \ \

( ( )\___ | '_ | '_| | '_ \/ _` | \ \ \ \

 \\/  ___)| |_)| | | | | || (_| |  ) ) ) )

  '  |____| .__|_| |_|_| |_\__, | / / / /

 =========|_|==============|___/=/_/_/_/

 :: Spring Boot ::        (v2.3.3.RELEASE)

spring boot:用spring security加强druid的安全(druid 1.1.22 / spring boot 2.3.3)的更多相关文章

  1. Spring Boot + Spring Cloud 实现权限管理系统 后端篇(二十五):Spring Security 版本

    在线演示 演示地址:http://139.196.87.48:9002/kitty 用户名:admin 密码:admin 技术背景 到目前为止,我们使用的权限认证框架是 Shiro,虽然 Shiro ...

  2. (15)Spring Boot使用Druid和监控配置【从零开始学Spring Boot】

    Spring Boot 系列博客] 更多查看博客:http://412887952-qq-com.iteye.com/blog Spring Boot默认的数据源是:org.apache.tomcat ...

  3. spring boot:shardingsphere+druid多数据源整合seata分布式事务(spring boot 2.3.3)

    一,为什么要给shardingsphere配置多数据源? 1,shardingjdbc默认接管了所有的数据源, 如果我们有多个非分表的库时,则最多只能设置一个为默认数据库, 其他的非分表数据库不能访问 ...

  4. 【spring cloud】spring cloud分布式服务eureka启动时报错:java.lang.NoSuchMethodError: org.springframework.boot.builder.SpringApplicationBuilder.<init>([Ljava/lang/Object;)V

    spring cloud分布式服务eureka启动时报错:java.lang.NoSuchMethodError: org.springframework.boot.builder.SpringApp ...

  5. (43). Spring Boot动态数据源(多数据源自动切换)【从零开始学Spring Boot】

    在上一篇我们介绍了多数据源,但是我们会发现在实际中我们很少直接获取数据源对象进行操作,我们常用的是jdbcTemplate或者是jpa进行操作数据库.那么这一节我们将要介绍怎么进行多数据源动态切换.添 ...

  6. (二十二)SpringBoot之使用Druid连接池以及SQL监控和spring监控

    一.引入maven依赖 <dependencies> <dependency> <groupId>org.springframework.boot</grou ...

  7. SpringBoot之使用Druid连接池以及SQL监控和spring监控

    一.引入maven依赖 <dependencies> <dependency> <groupId>org.springframework.boot</grou ...

  8. spring boot:用dynamic-datasource-spring-boot-starter配置多数据源访问seata(seata 1.3.0 / spring boot 2.3.3)

    一,dynamic-datasource-spring-boot-starter的优势? 1,dynamic-datasource-spring-boot-starter 是一个基于springboo ...

  9. 43. Spring Boot动态数据源(多数据源自动切换)【从零开始学Spring Boot】

    [视频&交流平台] àSpringBoot视频 http://study.163.com/course/introduction.htm?courseId=1004329008&utm ...

随机推荐

  1. 完美激活PyCharm教程

    1.版本 本文中pycharm版本为PyCharm Professional-2018.3.3,JetbrainsCrack版本为4.2.需要注意,不同版本的pycharm对应的JetbrainsCr ...

  2. Mybatis注解开发相关

    一.项目构建 1.Java项目目录结构 2.在domain包下创建User实体类 package sun.domain; import java.io.Serializable; import jav ...

  3. oracle数据处理之exp/imp

    oracle 导出/导入数据方法一 exp/imp工具:1 将数据库oracle01完全导出,DBA:sys,密码:123456:用户名Scott 密码123456 导出到D:\emp.dmp中 ex ...

  4. nginx.config 多个方案解决跨域问题

    #user nobody; user sam owner; worker_processes 1; #error_log logs/error.log; #error_log logs/error.l ...

  5. 数据库:drop、truncate、delete的区别

    近日在删除数据时,发现除了常用的Delete & Drop语句之外,还有Truncate也是与删除数据相关的,针对上述三种有进行简单的比较与整理 用法 drop 用法:drop table 表 ...

  6. 必须了解的mysql三大日志-binlog、redo log和undo log

    日志是 mysql 数据库的重要组成部分,记录着数据库运行期间各种状态信息.mysql日志主要包括错误日志.查询日志.慢查询日志.事务日志.二进制日志几大类.作为开发,我们重点需要关注的是二进制日志( ...

  7. Mac新手必看教程——轻松玩转Mac OS

    背景: 大部分用户接触的第一个操作系统大多是windows,本人记得曾经小学的微机课也是以win98为基础学习了一众office软件.随着工作的多样化,单一的windows系统已经无法满足部分需求,而 ...

  8. Redis中的事务(多命令)操作

    作为一个nosql数据库,事务是必要功能.但是redis我们是可以理解为它不支持事务操作的,因为它的特征完全不满足我们对事物的正常理解 ps:我不知道是谁一开始提出redis支持事务的,但是我更倾向于 ...

  9. java ThreadLocal理解和使用

    一.ThreadLoal的理解 ThreadLoal 变量,它的基本原理是,同一个 ThreadLocal 所包含的对象(对ThreadLocal< String >而言即为 String ...

  10. DeRPnStiNK靶机渗透

    DeRPnStiNK靶机渗透 常规的信息搜集 扫到了phpmyadmin以及wordpress并在后台发现弱密码,即admin,admin 这里对wordpress进行了扫描: 扫描插件: searc ...