Как написать сайт на джаве с паролем
Перейти к содержимому

Как написать сайт на джаве с паролем

  • автор:

Пишем Java веб-приложение на современном стеке. С нуля до микросервисной архитектуры. Часть 2

В прошлой статье, мы спроектировали и реализовали простой сервис BookStore.

В этой части мы попытаемся добавить безопасности в наше приложение — сделаем отдельный микросервис аутентификации/авторизации, а в нашем приложении BookStore запретим вызов методов неавторизованными пользователями. И хотя существуют готовые решения (например, Spring Security), мы напишем всё сами, чтобы разобрать принципы работы.

Как можно решить эту задачу? Сервис авторизации может открывать сессию пользователя, выдавая ему идентификатор сессии. С этим идентификатором пользователь может обращаться к требуемому сервису, передавая в параметрах запроса (или в заголовке) идентификатор сессии. Далее сервис, получив этот идентификатор может обратиться к сервису авторизации и проверить, действительно ли такая сессия открыта и можно ли предоставить пользователю доступ к ресурсу.

Сейчас у нас всего один сервис, которому требуется авторизация. Но в реальности таких сервисов может быть очень много. И при такой архитектуре нагрузка на сервис авторизации будет расти лавинообразно. Поэтому хорошо бы авторизовать пользователя однократно, выдав ему что-то, что может приниматься всеми другими системами без валидации на стороне авторизационного сервиса. Для таких целей можно воспользоваться JWT.

JWT (JSON Web Tokens)

JWT — это стандарт, основанный на JSON, для создания токенов доступа. Он состоит из трех частей: заголовка, тела и подписи:

В заголовке указывается тип токена и алгоритм подписи:

В тело записывается необходимая пользовательская информация (payload). Для аутентификации и авторизации это может быть id пользователя, его роль, время действия токена:

  • sub — уникальный идентификатор пользователя (subject)
  • iat — время выпуска токена в unix-time формате (issued at)
  • exp — время действия токена (expiration time). Также в unix-time формате. После окончания действия токена он не должен приниматься вызываемой стороной

Завершающей частью токена является подпись. В нашем примере используется симметричный алгоритм HS256 — HMAC с хеш-функцией SHA-256. Это означает, что к исходному сообщению (заголовок + тело) добавляется секретный ключ, и от полученной строки берется хеш SHA-256.

Для того чтобы токен выглядел компактно заголовок и тело кодируются алгоритмом Base64-URL, разделяются точками и в конце добавляется подпись.

Основная идея JWT заключается в том, что подписанный токен нельзя подделать, т.к. любое изменение тела или заголовка приведет к невалидности подписи. Секретный ключ, которым подписывается токен, хранится в тайне на сервере. Принимающая токен сторона, зная секретный ключ, может с легкостью проверить подпись — взять тело и заголовок, вычислить HS256 и сравнить с присланным. Если они совпадают, то токен не модифицировался и можно доверять ему содержимому. Это позволяет реализовать следующую архитектуру нашей системы:

Пользователь делает запрос на авторизационный сервис, передавая свои аутентификационные данные (например, логин и пароль), а сервис формирует токен в виде JWT, в котором будет указан id пользователя и его права. Права определяют к каким данным, сервисам он будет иметь доступ. Если это администратор системы, то он может иметь больше прав, чем обычный пользователь.

Получив токен, пользователь будет использовать его при вызове других сервисов. Каждому сервису необходимо дать секретный ключ, с помощью которого он может проверить валидность токена и разрешить пользователю выполнять запрошенные действия. И для этого не потребуется каждый раз вызывать авторизационный сервис.

Когда время действия токена подойдет к концу, вызываемый сервис ответит ошибкой, которая будет указывать на необходимость повторно получить токен на сервисе авторизации.

Для того чтобы пользователь не вводил каждый раз логин и пароль, когда токен заканчивает свое действие, обычно при авторизации выписываются сразу два токена: access token и refresh token. Первый имеет короткий срок жизни и используется для доступа к ресурсам (скажем 5 минут), а второй более длинный (например неделю, месяц). Как только access token заканчивает свое действие, пользователь делает запрос на авторизационный сервис с refresh token, получая в ответ обновленные оба токена. Если пользователь был неактивен длительное время (больше чем срок действия refresh token), то ему придется заново аутентифицироваться, введя свой логин и пароль.

Бывают случаи, когда необходимо отозвать выданные токены. Это может потребоваться, когда токены скомпрометированы или когда пользователь хочет выйти из своего аккаунта на всех устройствах, где он уже входил и получил токены. Такая задача решается использованием черного списка, который хранится на сервере (например, в БД). Отозванные токены будут храниться в нем до истечения срока жизни. Объем такой базы будет намного меньше, чем БД с пользователями.

Auth-сервис

Перейдем от теории к практике и напишем простой сервис, который будет аутентифицировать пользователя и выдавать ему токен доступа. Шаги по созданию проекта ничем не отличаются от предыдущей части, поэтому я их опущу.

Пользователи будут храниться в БД. В идеале это должна быть отдельная БД, но в обучающих целях будем использовать ту же, что использовали в первой части. Опишем DAO пользователя:

Репозиторий будет выглядеть совсем просто:

Т.к. мы будем реализовывать Client Credentials Flow в терминах протокола OAuth, то здесь client — это и есть пользователь. Соответственно clientId, clientSecret — аутентификационные данные пользователя. В открытом виде пароль пользователя хранить нельзя, поэтому будем хранить некий хеш, о котором будет написано ниже.

Опишем сервис, который будет регистрировать нового клиента и проверять его аутентификационные данные:

Для правильного хранения паролей в БД будем использовать Bcrypt. Это криптографическая хеш-функция, основанная на шифре Blowfish. Воспользуемся реализацией в библиотеке jBCrypt, добавим зависимость в проект:

Реализуем интерфейс ClientService :

При регистрации клиента мы генерируем соль вызовом метода BCrypt.gensalt() и используем её для вычисления хеша. В результате получаем строку, содержащую соль и хеш пароля. Полученное значение сохраняем в БД. Пример сгенерированного хеша:

  • $2a$10$ — заголовок (алгоритм bcrypt и количество раундов хеширования)
  • N9qo8uLOickgx2ZMRZoMye — соль (16 байт)
  • IjZAgcfl7p92ldGxad68LJZdL17lhWy — хеш (24 байта)

Для проверки присланного значения clientSecret необходимо вызвать метод BCrypt.checkpw , передав значение, сохраненное в БД при регистрации.

Теперь нам нужно описать сервис формирования токенов JWT. В качестве библиотеки воспользуется реализацией от Auth0:

Интерфейс и сама реализация сервиса:

Здесь мы формируем JWT из набора claims (утверждений):

  • iss(Issuer) — издатель токена
  • aud(Audience) — для какого сервиса предназначается токен (в нашем случае для сервиса BookStore)
  • sub(Subject) — идентификатор клиента (clientId)
  • iat — текущее время формирования токена
  • exp — вычисленное время окончания действия токена (выдаем на 5 минут)

Секретный ключ для подписи будет браться из application.properties . Сгенерировать случайный ключ можно следующим образом:

Опишем объекты запросов/ответов.
Аутентификационные данные пользователя:

Ответ в случае успешного получения токена:

Ответ в случае ошибки:

Остается описать контроллер:

Укажем в файле application.properties порт, на котором будет запускаться приложение, значение секретного ключа и настройки коннекта к БД:

Запустим приложение и попробуем сгенерировать токен. Для этого зарегистрируем пользователя (считаем, что этот эндпоинт не находится в открытом доступе и это может сделать администратор сервиса):

Используя эти credentials получим токен:

Если расшифровать значение токена (например на сайте jwt.io), то получим следующее содержимое:

Получив такой токен, принимающей стороне необходимо будет сверить подпись и удостовериться в том, что токен выпущен именно для неё (aud) и доверенным сервером (iss).

Авторизация

Нам осталось добавить авторизацию в написанное приложение Bookstore. Откроем проект из предыдущей части и добавим в зависимости библиотеку для работы с JWT (как было показано выше). Также добавим две новых настройки в application.properties:

Одна из них вам уже знакома, а вторую будем использовать для включение/отключения авторизации.

Для проверки полученного токена опишем интерфейс TokenService и его реализацию:

Здесь мы берем значение секретного ключа из настроек приложения, сверяем подпись и проводим все необходимые проверки.

Закроем все эндпоинты и разрешим доступ только при наличии авторизационного токена. Значение авторизационного токена необходимо положить в заголовок следующим образом:

Осталось написать фильтр, который будет осуществлять чтение заголовка и принимать решение об авторизации запроса:

Запускаем второе приложение и пытаемся сделать запрос:

Статус 401 указывает на необходимость авторизоваться. Получим свежий токен и повторим запрос, передав его в заголовке Authorization:

Время действия токена мы выбрали 5 минут, поэтому через этот промежуток времени сервис вернёт статус 403, что будет означать невалидность токена и необходимость получить новый:

В этой части мы познакомились с основами аутентификации и авторизации в веб-приложениях с использованием токенов доступа. В следующей части продолжим улучшать наше приложение, а также познакомимся с паттерном Api Gateway.

Login Form in Java Swing With Source Code Tutorial

Hello Friends, Today we will learn how to make Login Form in Java Swing With Source Code. A login form or login page is the core functionality of any application. It is usually used to check the authenticity of the user. If the user gives the valid username and password then he/she can log into the system otherwise the system will deny accepting the user’s login request. To create our Gui Login Form or Login Page in Java Swing, we must have good concepts about fundamental components of Java Swing. Below I am providing you all the topics that are required to build our GUI Login Form in Java or we can say as Java code for Login page.

If you are done with the above topics, then we can start our tutorial login form in java swing with source code .

Форма ввода логина и пароля на JavaScript

Здесь мы рассмотрим совсем не сложный скрипт, написанный на JavaScript, который создает форму ввода логина и пароля. Отличительной чертой данного скрипта является то, что в зависимости от введенного логина и пароля происходит перенаправление пользователя на заданную страничку или сайт.

Для наглядного примера работы данного скрипта кликните по кнопке «Войти на сайт», находящейся чуть ниже. Если в поле «логин» ввести login, а в поле «пароль» pass, то Вас автоматически перебросит на главную страницу нашего сайта. А если в поле «логин» ввести login2, а в поле «пароль» pass2, то Вы уже окажетесь на нашем форуме.

Если вводить какие-либо другие значения в поля «логин» и «пароль», то Вам будет выдано сообщение Неверный логин или пароль! и Вы вернетесь обратно на эту же страничку.

Для получения такой формы ввода логина и пароля, как в примере выше, воспользуйтесь следующим JavaScript кодом, который необходимо будет поместить в начало Вашей странички:

< script type = «text/javascript» >
function Input () <
login_ok = false ;
user_name = «» ;
password = «» ;
user_name = prompt ( «Логин» , «» );
user_name = user_name . toLowerCase ();
password = prompt ( «Пароль» , «» );
password = password . toLowerCase ();
if ( user_name == «login» && password == «pass» ) <
login_ok = true ;
window . location = «index.php» ;
>
if ( user_name == «login2» && password == «pass2» ) <
login_ok = true ;
window . location = «forum/index.php» ;
>

if ( login_ok == false ) alert ( «Неверный логин или пароль!» );
>
</script>

Для вывода формы ввода логина и пароля нам понадобится кнопка, при нажатии на которую появится наша форма. Следовательно, нам необходимо добавить эту кнопку при помощи вот такого небольшого кода:

Если Вы все сделали правильно, то в результате у Вас должна получиться точно такая же формы ввода логина и пароля, как и в примере, показанном ранее.

Как написать сайт на джаве с паролем

Swing is a part of the JFC (Java Foundation Classes). Building Graphical User Interface in Java requires the use of Swings. Swing Framework contains a large set of components which allow a high level of customization and provide rich functionalities, and is used to create window-based applications. Java swing components are lightweight, platform-independent, provide powerful components like tables, scroll panels, buttons, list, color chooser, etc.

In this article, we’ll see how to make a Registration form which includes all the buttons and field in one Form.

Steps:

1. Create a Java file that contains the main class – Registration. This class will only contain the main method to invoke the required methods.

2. Create another class MyFrame, which will contain the form.

3. In this MyFrame Class, the methods to be made are:

  • Components like JLabel, JTextField, JRadioButton, ButtonGroup, JComboBox, and JTextArea. These components will collectively form the Registration form.
  • A constructor, to initialize the components with default values.
  • A method actionPerformed() to get the action performed by the user and act accordingly.
  • 4. Copy the code of MyFrame class from below.
  • 5. Save the file as Registration.java

6. Compile the file by using javac command.

7. Run the program by calling the main class

Below is the code to implement the Simple Registration Form using Java Swing:

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *