【Java安全】基础配置篇-01

Java安全-01

文章目录

前置基础

基于SpringBoot框架展开开发，首先要了解一下整个项目的分层结构

从上到下：

• 客户端界面：表现层 UI层 界面层
• 服务层/业务层：直接为客户端提供的服务或功能
• 领域层：系统内的领域活动
• DAO层：数据访问对象，通过领域实体对象操作数据库

实战代码结构：

其实最外层主要分为两块：

• java目录：主要存放Java代码
• resources目录：主要存放静态资源文件，如html、js、css等

进入到内层：

• Java下： - annotation：放置项目自定义注解- Controller：存放控制器，接收从前端传来的参数，负责对访问控制进行转发，各类基本参数校验，或者不复用的业务简单处理- dao层：数据访问层，与数据库进行交互，负责数据库操作，在Mybites框架中存放自定义的Mapper接口- entity：存放实体类- interceptor：拦截器- service：存放服务类，负责业务模块逻辑处理，其中包含两层：一是Service，用来声明接口；二是ServiceImpl，作为实现类实现接口中的方法- utils：存放工具类- dto：存放数据传输对象（Data Transfer Object）, 如请求参数和返回结果- vo：视图对象（View Object）用于封装客户端请求的数据，防止部分数据泄露，保证数据安全- constant：存放常量- filter：存放过滤器
• resources目录下 - mapper：存放Mybites的mapper.xml文件- static：静态资源文件目录（JavaScript、CSS、图片），在这个目录中所有文件可以被直接访问- template：存放模板文件- application.properties：Spring Boot默认配置文件

这里的API层 就相当于Controller层

• 解释一下Controller和Service之间的区别

Controller层只会从前端接收数据，然后进行数据转发到Service层，不做具体的操作

一些参数的判断验证，在Controller层进行验证，比如想上传文件的话，可以先在Controller层验证文件名后缀

小demo开发记录

文件上传

为了方便整个系统的开发，我们要规范化文件上传的接口，放在Service层中，保证可以在任何界面都可以去调用并进行上传

首先是Controller层

packagecom.example.thymeleaf.controller;importcom.example.thymeleaf.service.UploadService;importorg.springframework.beans.factory.annotation.Autowired;importorg.springframework.web.bind.annotation.*;importorg.springframework.web.multipart.MultipartFile;importjava.io.IOException;importorg.springframework.web.servlet.mvc.support.RedirectAttributes;@RestController@RequestMapping("/upload")publicclassUploadController{//解释一下自动装配的功能：使得控制器类能够使用服务类的方法而无需手动创建服务类的实例@AutowiredprivateUploadService service;@GetMappingpublicStringshowUploadForm(){return"<!DOCTYPE html>"+"<html><head><title>File Upload</title></head>"+"<body><h1>Upload a File</h1>"+"<form method=\"POST\" enctype=\"multipart/form-data\" action=\"/upload\">"+"<input type=\"file\" name=\"file\" />"+"<button type=\"submit\">Upload</button>"+"</form></body></html>";}@PostMappingpublicStringhandleFileUpload(@RequestParam("file")MultipartFile file,RedirectAttributes redirectAttributes){try{String fileName = service.uploadFile(file);return"You successfully uploaded '"+ fileName +"'";}catch(IOException e){
            e.printStackTrace();return"Failed to upload '"+ file.getOriginalFilename()+"'";}}}

路径是

/upload

直接访问是get请求 会展示表单

点击upload上传文件，是post请求 会上传文件

Service层：

packagecom.example.thymeleaf.service;importorg.springframework.web.multipart.MultipartFile;importjava.io.IOException;publicinterfaceUploadService{StringuploadFile(MultipartFile file)throwsIOException;}

具体方法实现：

packagecom.example.thymeleaf.service.impl;importcom.example.thymeleaf.service.UploadService;importorg.springframework.beans.factory.annotation.Value;importorg.springframework.stereotype.Service;importorg.springframework.web.multipart.MultipartFile;importjava.io.File;importjava.io.IOException;@ServicepublicclassUploadServiceImplimplementsUploadService{@Value("${file.upload-dir}")privateString uploadDir;@OverridepublicStringuploadFile(MultipartFile file)throwsIOException{if(file.isEmpty()){thrownewIOException("Failed to upload empty file.");}File dest =newFile(uploadDir +"/"+ file.getOriginalFilename());
        file.transferTo(dest);//将上传的文件保存到指定的目标文件。return file.getOriginalFilename();}}

其中记得在配置文件中指定一下目录

课程学习记录

初始配置阶段

学习守则：学一个东西前，先自己列一个学习路线，有目标有方向一步一步来

0x00 微服务阶段历史

all in one：所有功能

微服务架构：把功能进行分区存储，对某个功能

了解Spring家族：

Spring Boot：构建一切

Spring Cloud：协调一切

Spring Cloud Data Flow：连接一切

0x01 第一个SpringBoot程序

玩一下，修改banner

https://www.bootschool.net/ascii-art/search

在source目录下 创建banner.txt文件即可

6 成功了

0x02 原理初探

自动配置：

pom.xml：

• Spring-boot-dependencies：核心依赖在父工程中
• 在引入Springboot依赖 不需要指定版本 因为有些版本仓库

启动器：

• <dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-web</artifactId></dependency>starter后面指定场景，上面这个就会棒我们自动导入web环境所有的依赖

主程序：

//@SpringBootApplication ： 解释一下这个注解 这个是标注这个是Springboot的一个应用  如果没有 直接整个崩掉// 作用就是：启动类下的所有资源被导入 @SpringBootApplicationpublicclassBeginnerApplication{publicstaticvoidmain(String[] args){//将Springboot启动SpringApplication.run(BeginnerApplication.class, args);}}

解释一下其中的注解，点进去读源码

• 注解

@SpringBootConfiguration : Springboot的配置
        @Configuration:  spring配置类
        @Component : 说明这是一个spring的组件
        
@EnableAutoConfiguration : 自动配置
        @AutoConfigurationPackage : 自动配置包
            @Import({Registrar.class}) : 导入选择器   注册
        @Import({AutoConfigurationImportSelector.class})

0x03 SpringBoot配置文件

一般操作 首先删除自动生成的

application.properties

然后新建一个配置文件

application.yaml

修改下后缀 名字不需要改变

介绍一下两者的区别：

• application.properties - 语法结构：key=value
• application.yaml - 语法结构：key: value （注意这个地方在冒号后面有一个空格）

yaml基础语法：

#普通的key-valuename: qinjing

#对象student:name: qinjiang
    age:3#行内写法student:{name: qinjiang,age:3}#数组  两个空格pets:- cat
  - dog
  - pig
   
pets:[cat, dog, pig]

之所以使用yaml 是因为可以给实体类赋值

0x04 给属性赋值的几种方法

首先可以使用注解

来test里面测试一下

第二种方法：在yaml配置文件中赋值 核心

注意之所以能注入成功，还需要设置一些配置

上面爆红 不影响工作 这是去yaml中找person 去注入数据

可玩性：直接写一些占位符

表达式

如果前面这个参数存在 则读取参数 否则直接是hello

松散绑定：

注意一下就好 以后看yaml文件 如果看到横杠分隔 知道怎么个事就好

第三种方法 配置properties

嘿嘿 成功

properties防止乱码小技巧：

0x05 JSR303校验

在字段加一层过滤器验证，保证数据的合法性

使用方法

注意一定要在pom文件中配置

<!--验证数据的依赖--><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-validation</artifactId></dependency>

可以修改默认报错语句

jsr303 校验语句

0x06 多环境配置

在配置application.properties时 有默认环境 测试环境 上线环境 但是逐个修改很麻烦 可以直接进行多环境配置

下面凸显yaml的多文档模式的便捷

分割线就是划分文件

0x07 再探自动配置原理

学这个的目的 是让我们更会写内容 在思考中写配置 而不是看文档背

遇到什么 看什么 配置就是在pom中加一个starter启动即可

开发阶段

0x00 SpringBoot Web开发

目录结构：

在resources中 static放静态资源 templates放模版

导入静态资源

前提引入maven

<dependency><groupId>org.webjars</groupId><artifactId>jquery</artifactId><version>3.4.1</version></dependency>

访问成功拿下

• 探索哪些可以直接被访问到

成功访问public文件夹下的内容 注意： 优先级 按这个顺序 第一个就是在当前目录下 第二个指还可以创建一个resources文件夹

一般习惯：

• public：大家公共访问的资源
• resources：upload大家上传的资源
• static：index.html首页 + 静态资源 比如图片之类的
• templates：所有该目录下的文件 只能通过Controller来

总结：

1. 在Springboot，我们可以使用以下方式处理静态资源 - webjars localhost:8081/webjars/ 这个方式不推荐- public static /** resources localhost:8081/
2. 要学会读源码 因为技术在不断更新 不能全靠老师 上面的文件目录就来自于源码的读取

首页和图标定制

首页 index.html

直接访问 非常完美

0x01 模版引擎

• 概念

先解释一下这个东西的作用

简单来说就是在前端界面预留位置 然后结合后端的数据 进行渲染 生成最终呈现给用户的界面

• 常见引擎

jsp

freemarker

Thymeleaf

• 常用Thymeleaf使用

导入依赖

<!-- Thymelead  基于3.x开发--><dependency><groupId>org.thymeleaf</groupId><artifactId>thymeleaf-spring5</artifactId></dependency><dependency><groupId>org.thymeleaf.extras</groupId><artifactId>thymeleaf-extras-java8time</artifactId></dependency>

默认放在templates目录下 后缀名是html

结论：

只要需要使用thymeleaf 只需要导入对应的依赖就可以

我们将html放在templates目录下即可

使用方法如下：在Controller层引过去

@RestControllerpublicclassHelloController{@GetMapping("/hello")publicStringhello(){return"hello, world!";}}

此外一定要掌握钻研 读源码的本领 要不然就会被直接公司招新人 你就被淘汰

声明命名空间 在html文件中 添加后面这一句xm…

<htmllang="en"xmlns:th="http://www.thymeleaf.org">

所有的html元素都可以被thymeleaf接管： 即th:元素名

小demo：

Controller层：

html：

效果：

0x02 Thymeleaf语法

取变量：${…}

取URL：@{…}

文本转义：text

不转义：utext

demo：

效果：

检查一下网页代码 可以发现尖括号被转义了 这也就提供了防范xss的思路

• 遍历

首先在Controller层中写个数组

model.addAttribute("users",Arrays.asList("happySu","is","your dad"));

然后再html中修改一下 提供两种赋值方法

<!DOCTYPEhtml><htmllang="en"xmlns:th="http://www.thymeleaf.org"><head><metacharset="UTF-8"><title>Title</title></head><body><h1>111</h1><divth:text="${msg}"></div><divth:utext="${msg}"></div><!--方法一： ${}都是在取变量的值  这是循环遍历users变量 赋值给user  先遍历出来  然后后面text取值 取刚刚遍历出来的变量user的值进行输出--><h3th:each="user:${users}"th:text="${user}"></h3><!--方法二： 行内输出  两个中括号包裹起来就行--><h3th:each="user:${users}">[[ ${user} ]]</h3></body></html>

效果

0x03 SpringMVC配置原理

@Configuration注解：表示是一个配置类

总结：在Springboot中，有非常多的xxxConfiguration帮助我们进行扩展配置 看到后要注意嗷

学完基础的一点内容，后面展开一个项目的整体开发，期待吧~