Login Form in Java Swing With Source Code Tutorial
Hello Friends, Today we will learn how to make Login Form in Java Swing With Source Code. A login form or login page is the core functionality of any application. It is usually used to check the authenticity of the user. If the user gives the valid username and password then he/she can log into the system otherwise the system will deny accepting the user’s login request. To create our Gui Login Form or Login Page in Java Swing, we must have good concepts about fundamental components of Java Swing. Below I am providing you all the topics that are required to build our GUI Login Form in Java or we can say as Java code for Login page.
If you are done with the above topics, then we can start our tutorial login form in java swing with source code .
Пишем Java веб-приложение на современном стеке. С нуля до микросервисной архитектуры. Часть 2
В прошлой статье, мы спроектировали и реализовали простой сервис BookStore.
В этой части мы попытаемся добавить безопасности в наше приложение — сделаем отдельный микросервис аутентификации/авторизации, а в нашем приложении BookStore запретим вызов методов неавторизованными пользователями. И хотя существуют готовые решения (например, Spring Security), мы напишем всё сами, чтобы разобрать принципы работы.
Как можно решить эту задачу? Сервис авторизации может открывать сессию пользователя, выдавая ему идентификатор сессии. С этим идентификатором пользователь может обращаться к требуемому сервису, передавая в параметрах запроса (или в заголовке) идентификатор сессии. Далее сервис, получив этот идентификатор может обратиться к сервису авторизации и проверить, действительно ли такая сессия открыта и можно ли предоставить пользователю доступ к ресурсу.
Сейчас у нас всего один сервис, которому требуется авторизация. Но в реальности таких сервисов может быть очень много. И при такой архитектуре нагрузка на сервис авторизации будет расти лавинообразно. Поэтому хорошо бы авторизовать пользователя однократно, выдав ему что-то, что может приниматься всеми другими системами без валидации на стороне авторизационного сервиса. Для таких целей можно воспользоваться JWT.
JWT (JSON Web Tokens)
JWT — это стандарт, основанный на JSON, для создания токенов доступа. Он состоит из трех частей: заголовка, тела и подписи:
В заголовке указывается тип токена и алгоритм подписи:
В тело записывается необходимая пользовательская информация (payload). Для аутентификации и авторизации это может быть id пользователя, его роль, время действия токена:
- sub — уникальный идентификатор пользователя (subject)
- iat — время выпуска токена в unix-time формате (issued at)
- exp — время действия токена (expiration time). Также в unix-time формате. После окончания действия токена он не должен приниматься вызываемой стороной
Завершающей частью токена является подпись. В нашем примере используется симметричный алгоритм HS256 — HMAC с хеш-функцией SHA-256. Это означает, что к исходному сообщению (заголовок + тело) добавляется секретный ключ, и от полученной строки берется хеш SHA-256.
Для того чтобы токен выглядел компактно заголовок и тело кодируются алгоритмом Base64-URL, разделяются точками и в конце добавляется подпись.
Основная идея JWT заключается в том, что подписанный токен нельзя подделать, т.к. любое изменение тела или заголовка приведет к невалидности подписи. Секретный ключ, которым подписывается токен, хранится в тайне на сервере. Принимающая токен сторона, зная секретный ключ, может с легкостью проверить подпись — взять тело и заголовок, вычислить HS256 и сравнить с присланным. Если они совпадают, то токен не модифицировался и можно доверять ему содержимому. Это позволяет реализовать следующую архитектуру нашей системы:
Пользователь делает запрос на авторизационный сервис, передавая свои аутентификационные данные (например, логин и пароль), а сервис формирует токен в виде JWT, в котором будет указан id пользователя и его права. Права определяют к каким данным, сервисам он будет иметь доступ. Если это администратор системы, то он может иметь больше прав, чем обычный пользователь.
Получив токен, пользователь будет использовать его при вызове других сервисов. Каждому сервису необходимо дать секретный ключ, с помощью которого он может проверить валидность токена и разрешить пользователю выполнять запрошенные действия. И для этого не потребуется каждый раз вызывать авторизационный сервис.
Когда время действия токена подойдет к концу, вызываемый сервис ответит ошибкой, которая будет указывать на необходимость повторно получить токен на сервисе авторизации.
Для того чтобы пользователь не вводил каждый раз логин и пароль, когда токен заканчивает свое действие, обычно при авторизации выписываются сразу два токена: access token и refresh token. Первый имеет короткий срок жизни и используется для доступа к ресурсам (скажем 5 минут), а второй более длинный (например неделю, месяц). Как только access token заканчивает свое действие, пользователь делает запрос на авторизационный сервис с refresh token, получая в ответ обновленные оба токена. Если пользователь был неактивен длительное время (больше чем срок действия refresh token), то ему придется заново аутентифицироваться, введя свой логин и пароль.
Бывают случаи, когда необходимо отозвать выданные токены. Это может потребоваться, когда токены скомпрометированы или когда пользователь хочет выйти из своего аккаунта на всех устройствах, где он уже входил и получил токены. Такая задача решается использованием черного списка, который хранится на сервере (например, в БД). Отозванные токены будут храниться в нем до истечения срока жизни. Объем такой базы будет намного меньше, чем БД с пользователями.
Auth-сервис
Перейдем от теории к практике и напишем простой сервис, который будет аутентифицировать пользователя и выдавать ему токен доступа. Шаги по созданию проекта ничем не отличаются от предыдущей части, поэтому я их опущу.
Пользователи будут храниться в БД. В идеале это должна быть отдельная БД, но в обучающих целях будем использовать ту же, что использовали в первой части. Опишем DAO пользователя:
Репозиторий будет выглядеть совсем просто:
Т.к. мы будем реализовывать Client Credentials Flow в терминах протокола OAuth, то здесь client — это и есть пользователь. Соответственно clientId, clientSecret — аутентификационные данные пользователя. В открытом виде пароль пользователя хранить нельзя, поэтому будем хранить некий хеш, о котором будет написано ниже.
Опишем сервис, который будет регистрировать нового клиента и проверять его аутентификационные данные:
Для правильного хранения паролей в БД будем использовать Bcrypt. Это криптографическая хеш-функция, основанная на шифре Blowfish. Воспользуемся реализацией в библиотеке jBCrypt, добавим зависимость в проект:
Реализуем интерфейс ClientService :
При регистрации клиента мы генерируем соль вызовом метода BCrypt.gensalt() и используем её для вычисления хеша. В результате получаем строку, содержащую соль и хеш пароля. Полученное значение сохраняем в БД. Пример сгенерированного хеша:
- $2a$10$ — заголовок (алгоритм bcrypt и количество раундов хеширования)
- N9qo8uLOickgx2ZMRZoMye — соль (16 байт)
- IjZAgcfl7p92ldGxad68LJZdL17lhWy — хеш (24 байта)
Для проверки присланного значения clientSecret необходимо вызвать метод BCrypt.checkpw , передав значение, сохраненное в БД при регистрации.
Теперь нам нужно описать сервис формирования токенов JWT. В качестве библиотеки воспользуется реализацией от Auth0:
Интерфейс и сама реализация сервиса:
Здесь мы формируем JWT из набора claims (утверждений):
- iss(Issuer) — издатель токена
- aud(Audience) — для какого сервиса предназначается токен (в нашем случае для сервиса BookStore)
- sub(Subject) — идентификатор клиента (clientId)
- iat — текущее время формирования токена
- exp — вычисленное время окончания действия токена (выдаем на 5 минут)
Секретный ключ для подписи будет браться из application.properties . Сгенерировать случайный ключ можно следующим образом:
Опишем объекты запросов/ответов.
Аутентификационные данные пользователя:
Ответ в случае успешного получения токена:
Ответ в случае ошибки:
Остается описать контроллер:
Укажем в файле application.properties порт, на котором будет запускаться приложение, значение секретного ключа и настройки коннекта к БД:
Запустим приложение и попробуем сгенерировать токен. Для этого зарегистрируем пользователя (считаем, что этот эндпоинт не находится в открытом доступе и это может сделать администратор сервиса):
Используя эти credentials получим токен:
Если расшифровать значение токена (например на сайте jwt.io), то получим следующее содержимое:
Получив такой токен, принимающей стороне необходимо будет сверить подпись и удостовериться в том, что токен выпущен именно для неё (aud) и доверенным сервером (iss).
Авторизация
Нам осталось добавить авторизацию в написанное приложение Bookstore. Откроем проект из предыдущей части и добавим в зависимости библиотеку для работы с JWT (как было показано выше). Также добавим две новых настройки в application.properties:
Одна из них вам уже знакома, а вторую будем использовать для включение/отключения авторизации.
Для проверки полученного токена опишем интерфейс TokenService и его реализацию:
Здесь мы берем значение секретного ключа из настроек приложения, сверяем подпись и проводим все необходимые проверки.
Закроем все эндпоинты и разрешим доступ только при наличии авторизационного токена. Значение авторизационного токена необходимо положить в заголовок следующим образом:
Осталось написать фильтр, который будет осуществлять чтение заголовка и принимать решение об авторизации запроса:
Запускаем второе приложение и пытаемся сделать запрос:
Статус 401 указывает на необходимость авторизоваться. Получим свежий токен и повторим запрос, передав его в заголовке Authorization:
Время действия токена мы выбрали 5 минут, поэтому через этот промежуток времени сервис вернёт статус 403, что будет означать невалидность токена и необходимость получить новый:
В этой части мы познакомились с основами аутентификации и авторизации в веб-приложениях с использованием токенов доступа. В следующей части продолжим улучшать наше приложение, а также познакомимся с паттерном Api Gateway.
Генерация безопасного случайного пароля в Java
В этом руководстве мы рассмотрим различные методы, которые мы можем использовать для создания безопасного случайного пароля в Java.
В наших примерах мы будем генерировать пароли из десяти символов, каждый из которых должен содержать не менее двух символов нижнего регистра, двух символов верхнего регистра, двух цифр и двух специальных символов.
2. Использование Passay
Passay — это библиотека для применения политик паролей. Примечательно, что мы можем использовать библиотеку для генерации пароля с использованием настраиваемого набора правил.
С помощью стандартных реализаций CharacterData мы можем сформулировать правила, необходимые для пароля. Кроме того, мы можем сформулировать собственные реализации CharacterData в соответствии с нашими требованиями : **
Здесь мы создали пользовательскую реализацию CharacterData для специальных символов. Это позволяет нам ограничить набор допустимых символов.
Кроме того, мы используем стандартные реализации CharacterData для других наших правил.
Теперь давайте проверим наш генератор на модульном тесте. Например, мы можем проверить наличие двух специальных символов:
Стоит отметить, что хотя Passay является открытым исходным кодом, он имеет двойную лицензию как под LGPL, так и под Apache 2 . Как и в случае любого стороннего программного обеспечения, мы должны обязательно соблюдать эти лицензии при использовании его в наших продуктах. На веб-сайте GNU есть дополнительная информация о LGPL и Java .
3. Использование генератора случайных строк
Далее давайте посмотрим на RandomStringGenerator в Apache Commons Text . С помощью RandomStringGenerator мы можем генерировать строки Unicode, содержащие указанное количество кодовых точек.
Теперь мы создадим экземпляр генератора, используя класс RandomStringGenerator.Builder . Конечно, мы также можем дополнительно манипулировать свойствами генератора.
С помощью построителя мы можем легко изменить реализацию случайности по умолчанию. Кроме того, мы также можем определить символы, которые разрешены в строке:
Теперь одним из ограничений использования RandomStringGenerator является отсутствие возможности указать количество символов в каждом наборе, как в Passay. Однако мы можем обойти это, объединив результаты нескольких наборов:
Далее, давайте подтвердим сгенерированный пароль, проверив строчные буквы:
По умолчанию RandomStringGenerator использует ThreadLocalRandom для случайности. Теперь важно отметить , что это не гарантирует криптографическую безопасность .
Однако мы можем установить источник случайности с помощью usingRandom(TextRandomProvider). Например, мы можем использовать SecureTextRandomProvider для криптографической защиты:
4. Использование RandomStringUtils
Другой вариант, который мы могли бы использовать, — это класс RandomStringUtils в библиотеке Apache Commons Lang . Этот класс предоставляет несколько статических методов, которые мы можем использовать для постановки задачи.
Давайте посмотрим, как мы можем предоставить диапазон кодовых точек, приемлемых для пароля:
Чтобы проверить сгенерированный пароль, давайте проверим количество цифровых символов:
Здесь RandomStringUtils по умолчанию использует Random как источник случайности. Однако в библиотеке есть метод, который позволяет указать источник случайности:
Теперь мы можем обеспечить криптографическую безопасность, используя экземпляр SecureRandom . Однако эту функциональность нельзя распространить на другие методы в библиотеке. Кстати , Apache рекомендует использовать RandomStringUtils только для простых случаев использования.
5. Использование пользовательского метода утилиты
Мы также можем использовать класс SecureRandom для создания пользовательского служебного класса для нашего сценария. Для начала сгенерируем строку специальных символов длины два:
Также обратите внимание, что 33 и 45 обозначают диапазон символов Unicode. Теперь мы можем генерировать несколько потоков в соответствии с нашими требованиями. Затем мы можем объединить наборы результатов, чтобы сгенерировать требуемый пароль:
Теперь давайте проверим сгенерированный пароль на количество специальных символов:
6. Заключение
В этом уроке мы смогли сгенерировать пароли в соответствии с нашими требованиями, используя разные библиотеки.
Jsoup
Вход на сайты с Jsoup
Простой запрос POST с данными аутентификации показан ниже, обратите внимание, что поле username и password будет зависеть от веб-сайта:
Более полный запрос аутентификации POST с Jsoup
Для большинства веб-сайтов требуется гораздо более сложный процесс, чем описанный выше.
Общие шаги для входа на веб-сайт:
- Получите уникальный cookie из начальной формы входа.
- Проверьте форму входа в систему, чтобы узнать, что URL-адрес назначения для запроса аутентификации
- Разберите форму входа, чтобы проверить наличие security token который необходимо отправить вместе с именем пользователя и паролем.
- Отправьте запрос.
Ниже приведен пример запроса, который будет регистрировать вас на веб-сайте GitHub
Вход в систему с помощью FormElement
В этом примере мы запишемся на сайт GitHub , используя класс FormElement .
Все данные формы обрабатываются классом FormElement для нас (даже при обнаружении метода формы). Готовое соединение создается при вызове метода отправки FormElement # . Все, что нам нужно сделать, это завершить соединение с дополнительными заголовками (куки, пользовательский агент и т. Д.) И выполнить его.