什么是计时攻击？Spring Boot 中该如何防御？

最新推荐文章于 2024-08-21 09:33:55 发布

java架构师小芷

最新推荐文章于 2024-08-21 09:33:55 发布

阅读量462

点赞数

分类专栏：数据库 java python 文章标签：数据库 java python 安全 spring

本文链接：https://blog.csdn.net/Java6888/article/details/108362284

版权

本文探讨了Spring Security如何防止计时攻击。在用户登录时，Spring Security通过执行特定操作确保无论用户是否存在，密码校验耗时保持一致，从而避免攻击者通过比较时间差推测用户是否存在。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

小编最近在研究 Spring Security 源码，发现了很多好玩的代码，抽空写几篇文章和小伙伴们分享一下。

很多人吐槽 Spring Security 比 Shiro 重量级，这个重量级不是凭空来的，重量有重量的好处，就是它提供了更为强大的防护功能。

比如最近看到的一段代码：

protected final UserDetails retrieveUser(String username,
        UsernamePasswordAuthenticationToken authentication)
        throws AuthenticationException {
    prepareTimingAttackProtection();
    try {
        UserDetails loadedUser = this.getUserDetailsService().loadUserByUsername(username);
        if (loadedUser == null) {
            throw new InternalAuthenticationServiceException(
                    "UserDetailsService returned null, which is an interface contract violation");
        }
        return loadedUser;
    }
    catch (UsernameNotFoundException ex) {
        mitigateAgainstTimingAttack(authentication);
        throw ex;
    }
    catch (InternalAuthenticationServiceException ex) {
        throw ex;
    }
    catch (Exception ex) {

最低0.47元/天解锁文章