首页 > 编程语言 >[SpringSecurity5.6.2源码分析十二]:CsrfFilter

[SpringSecurity5.6.2源码分析十二]:CsrfFilter

时间:2023-09-20 18:34:34浏览次数:44  
标签:令牌 SpringSecurity5.6 CsrfFilter request private 源码 CsrfToken null csrfTokenRepos

前言

  • • Csrf(跨站伪造请求):指的是用户在A网站认证完成后,A网站Cookie保存在了浏览器中,然后用户在B网站点击了钓鱼链接,使其让钓鱼请求带有了A网站的Cookie,从而让A网站认为这是一次正常的请求
  • • 而SpringSecurity采用的是同步令牌模式(Synchronizer Token Pattern)来预防Csrf攻击
  • • STP本意是每一次请求都会生成一个随机的令牌,然后下次发起请求时带上此令牌,如此循环往复,但是每次都生成令牌对于服务器的性能有要求
  • • 所以说SpringSecurity放宽了要求,在认证之前会生成一次令牌,以及每次认证后重新生成令牌

1. CsrfConfigurer

  • • CsrfConfigurer作为CsrfFilter的配置类,其主要方法有:
  • • csrfTokenRepository(...)
  • • ignoringAntMatchers(...)和ignoringRequestMatchers(...)
  • • sessionAuthenticationStrategy(...)
  • • configure(...)

1.1 csrfTokenRepository(...)

  • • csrfTokenRepository(...)是为了注册CsrfTokenRepository
public CsrfConfigurer<H> csrfTokenRepository(CsrfTokenRepository csrfTokenRepository) {
   Assert.notNull(csrfTokenRepository, "csrfTokenRepository cannot be null");
   this.csrfTokenRepository = csrfTokenRepository;
   return this;
}
  • • 我们需要一个地方存放Csrf令牌,然后在请求进来的时候,读取请求中的Csrf令牌,与其进行比较,而CsrfTokenRepository就是做这个事情的
public interface CsrfTokenRepository {

   /**
    * 生成 {@link CsrfToken}
    * @param request the {@link HttpServletRequest} to use
    * @return the {@link CsrfToken} that was generated. Cannot be null.
    */
   CsrfToken generateToken(HttpServletRequest request);

   /**
    * 使用 {@code HttpServletRequest} 和 {@code HttpServletResponse } 保存 {@code CsrfToken} 。如果{@code CsrfToken为空},则与删除它
    * @param token the {@link CsrfToken} to save or null to delete
    * @param request the {@link HttpServletRequest} to use
    * @param response the {@link HttpServletResponse} to use
    */
   void saveToken(CsrfToken token, HttpServletRequest request, HttpServletResponse response);

   /**
    * 从 {@code HttpServletRequest} 加载期望的 {@code CsrfToken}
    * @param request the {@link HttpServletRequest} to use
    * @return the {@link CsrfToken} or null if none exists
    */
   CsrfToken loadToken(HttpServletRequest request);

}
  • • 其实现主要有三种,下面依次介绍
  • • HttpSessionCsrfTokenRepository
  • • CookieCsrfTokenRepository
  • • LazyCsrfTokenRepository

1.1.2 HttpSessionCsrfTokenRepository

  • • HttpSessionCsrfTokenRepository顾名思义是借助HttpSession来存在CsrfToken的
public final class HttpSessionCsrfTokenRepository implements CsrfTokenRepository {

   private static final String DEFAULT_CSRF_PARAMETER_NAME = "_csrf";

   private static final String DEFAULT_CSRF_HEADER_NAME = "X-CSRF-TOKEN";

   private static final String DEFAULT_CSRF_TOKEN_ATTR_NAME = HttpSessionCsrfTokenRepository.class.getName()
         .concat(".CSRF_TOKEN");

   /**
    * 通常表示csrfToken放在Url后面的参数键
    */
   private String parameterName = DEFAULT_CSRF_PARAMETER_NAME;

   /**
    * 通常表示csrfToken放在请求头中的参数键
    */
   private String headerName = DEFAULT_CSRF_HEADER_NAME;

   /**
    * 通常表示csrfToken放在会话中的参数键
    */
   private String sessionAttributeName = DEFAULT_CSRF_TOKEN_ATTR_NAME;

   @Override
   public void saveToken(CsrfToken token, HttpServletRequest request, HttpServletResponse response) {
      if (token == null) {
         HttpSession session = request.getSession(false);
         if (session != null) {
            session.removeAttribute(this.sessionAttributeName);
         }
      }
      else {
         HttpSession session = request.getSession();
         session.setAttribute(this.sessionAttributeName, token);
      }
   }

   @Override
   public CsrfToken loadToken(HttpServletRequest request) {
      HttpSession session = request.getSession(false);
      if (session == null) {
         return null;
      }
      return (CsrfToken) session.getAttribute(this.sessionAttributeName);
   }

   @Override
   public CsrfToken generateToken(HttpServletRequest request) {
      return new DefaultCsrfToken(this.headerName, this.parameterName, createNewToken());
   }
   ...
}

1.1.3 CookieCsrfTokenRepository

  • • HttpSessionCsrfTokenRepository顾名思义是借助Cookie来存在CsrfToken的
  • • 但是这种情况不安全,毕竟将待比较的CsrfToken都丢给了请求方
public final class CookieCsrfTokenRepository implements CsrfTokenRepository {

   static final String DEFAULT_CSRF_COOKIE_NAME = "XSRF-TOKEN";

   static final String DEFAULT_CSRF_PARAMETER_NAME = "_csrf";

   static final String DEFAULT_CSRF_HEADER_NAME = "X-XSRF-TOKEN";

   /**
    * 通常表示csrfToken放在Url后面的参数键
    */
   private String parameterName = DEFAULT_CSRF_PARAMETER_NAME;

   /**
    * 通常表示csrfToken放在请求头中的参数键
    */
   private String headerName = DEFAULT_CSRF_HEADER_NAME;

   /**
    * 通常表示csrfToken放在Cookie中的参数键
    * <p>通常来说这个cookie是作为正确令牌,而从请求头或者Url后面读取的令牌是要作为要比较的令牌,所以说这种方式不安全</p>
    */
   private String cookieName = DEFAULT_CSRF_COOKIE_NAME;

   /**
    * 禁止客户端操作Cookie
    */
   private boolean cookieHttpOnly = true;

   private String cookiePath;

   /**
    * 指定可以读取Cookie的域名(只有某个域名下的才能读取)
    */
   private String cookieDomain;

   /**
    * 表明客户端只有在像Https这种安全的情况下,才能向服务端发送Cookie
    */
   private Boolean secure;

   /**
    * 令牌放在Cookie中的过期时间
    */
   private int cookieMaxAge = -1;

   public CookieCsrfTokenRepository() {
   }

   @Override
   public CsrfToken generateToken(HttpServletRequest request) {
      return new DefaultCsrfToken(this.headerName, this.parameterName, createNewToken());
   }

   /**
    * 保存令牌到Cookie中
    * @param token the {@link CsrfToken} to save or null to delete
    * @param request the {@link HttpServletRequest} to use
    * @param response the {@link HttpServletResponse} to use
    */
   @Override
   public void saveToken(CsrfToken token, HttpServletRequest request, HttpServletResponse response) {
      String tokenValue = (token != null) ? token.getToken() : "";
      Cookie cookie = new Cookie(this.cookieName, tokenValue);
      cookie.setSecure((this.secure != null) ? this.secure : request.isSecure());
      cookie.setPath(StringUtils.hasLength(this.cookiePath) ? this.cookiePath : this.getRequestContext(request));
      cookie.setMaxAge((token != null) ? this.cookieMaxAge : 0);
      cookie.setHttpOnly(this.cookieHttpOnly);
      if (StringUtils.hasLength(this.cookieDomain)) {
         cookie.setDomain(this.cookieDomain);
      }
      response.addCookie(cookie);
   }

   /**
    * 从请求中读取令牌
    * @param request the {@link HttpServletRequest} to use
    * @return
    */
   @Override
   public CsrfToken loadToken(HttpServletRequest request) {
      Cookie cookie = WebUtils.getCookie(request, this.cookieName);
      if (cookie == null) {
         return null;
      }
      String token = cookie.getValue();
      if (!StringUtils.hasLength(token)) {
         return null;
      }
      return new DefaultCsrfToken(this.headerName, this.parameterName, token);
   }
}

1.1.4 LazyCsrfTokenRepository

  • • 懒惰机制的 CsrfTokenRepository,通常情况下是借助 HttpSessionCsrfTokenRepository
  • • 这种懒惰机制体现在了生成的CsrfToken上,通常我们借助HttpSession或者Cookie生成的令牌都是DefaultCsrfToken,这个对象就是简单的存储了令牌值、参数名称的实体
public final class DefaultCsrfToken implements CsrfToken {

   private final String token;

   /**
    * 令牌放在Url后的键
    */
   private final String parameterName;

   /**
    * 令牌放在请求头后的键
    */
   private final String headerName;
   ...
}
  • • 但是LazyCsrfTokenRepository生成的CsrfToken是SaveOnAccessCsrfToken
  • • DefaultCsrfToken是在实例化这个对象的时候就生成Token值,但SaveOnAccessCsrfToken不一样,他是在最后要用令牌的时候才会生成
private static final class SaveOnAccessCsrfToken implements CsrfToken {
   ...
   @Override
   public String getToken() {
      // 生成令牌
      saveTokenIfNecessary();
      return this.delegate.getToken();
   }

   /**
    * 生成令牌
    */
   private void saveTokenIfNecessary() {
      if (this.tokenRepository == null) {
         return;
      }
      synchronized (this) {
         if (this.tokenRepository != null) {
            // 调用真正的存储策略,生成令牌
            this.tokenRepository.saveToken(this.delegate, this.request, this.response);
            // 防止第二次生成
            this.tokenRepository = null;
            this.request = null;
            this.response = null;
         }
      }
   }
   ...
}

1.2 ignoringAntMatchers(...)

  • • 实际上场景中并不是所有的请求都需要被Csrf保护,所以说我们可以通过ignoringAntMatchers(...) 方法放行某些请求
  • • 我们先看DefaultRequiresCsrfMatcher,这是默认的RequestMatcher
  • • 用于表示是否需要CsRE保护。默认是忽略GET, HEAD, TRACE, OPTIONS这四种,而处理所有其他请求
private static final class DefaultRequiresCsrfMatcher implements RequestMatcher {

   private final HashSet<String> allowedMethods = new HashSet<>(Arrays.asList("GET", "HEAD", "TRACE", "OPTIONS"));

   @Override
   public boolean matches(HttpServletRequest request) {
      return !this.allowedMethods.contains(request.getMethod());
   }

   @Override
   public String toString() {
      return "CsrfNotRequired " + this.allowedMethods;
   }

}
  • • RequestMatcher有非常多的实现类,简单举几个例子
  • • 匹配不区分大小写或区分大小写
  • • 使用模式值/** 或 **将被视为通用匹配,它将匹配任何请求
  • • 以/**结尾(没有其他通配符)的模式通过使用子字符串匹配进行优化——/aaa/**的模式将匹配/aaa、/aaa/和任何子目录,如/aaa/bbb/ccc
  • • AnyRequestMatcher:任何请求都返回true的请求匹配器
  • • AntPathRequestMatcher:基于Url通配符和请求方式的请求匹配器
  • • AndRequestMatcher:内部所有请求匹配器都满足才返回true

1.3 sessionAuthenticationStrategy(...)

  • • 此方法是为了注册SessionAuthenticationStrategy
  • • SessionAuthenticationStrategy:是在身份认证成功发生时 执行有关HttpSession的策略,在此过滤器中默认是注册CsrfAuthenticationStrategy
  • • 我们先想象一个场景,当我们用户用A账户认证成功后获取了一个CsrfToken,然后换了一个B账户认证成功了,那这个CsrfToken还能用吗,肯定要换的,所以说CsrfAuthenticationStrategy就应用而生
  • • 分析源码看出当认证成功后,原来有CsrfToken,那现在就换一个,并把CsrfToken丢入请求域中,这样用jsp或者template就可以直接使用
public final class CsrfAuthenticationStrategy implements SessionAuthenticationStrategy {

   private final Log logger = LogFactory.getLog(getClass());

   /**
    * CsrfToken的存储策略
    */
   private final CsrfTokenRepository csrfTokenRepository;

   /**
    * Creates a new instance
    * @param csrfTokenRepository the {@link CsrfTokenRepository} to use
    */
   public CsrfAuthenticationStrategy(CsrfTokenRepository csrfTokenRepository) {
      Assert.notNull(csrfTokenRepository, "csrfTokenRepository cannot be null");
      this.csrfTokenRepository = csrfTokenRepository;
   }

   /**
    * 认证成功后,更换新的csrfToken
    * @param authentication 创建的正确的认证对象,而不是由用户输入的用户名和密码构建的
    * @param request
    * @param response
    * @throws SessionAuthenticationException
    */
   @Override
   public void onAuthentication(Authentication authentication, HttpServletRequest request,
         HttpServletResponse response) throws SessionAuthenticationException {
      boolean containsToken = this.csrfTokenRepository.loadToken(request) != null;
      //如果原来没有csrfToken,那也就不需要换新的csrfToken
      if (containsToken) {
         //清空原csrfToken
         this.csrfTokenRepository.saveToken(null, request, response);
         CsrfToken newToken = this.csrfTokenRepository.generateToken(request);
         //保存新csrfToken
         this.csrfTokenRepository.saveToken(newToken, request, response);
         //将CsrfToken给调用方
         //request中的属性会被SpringMvc的Model操作
         request.setAttribute(CsrfToken.class.getName(), newToken);
         request.setAttribute(newToken.getParameterName(), newToken);
         this.logger.debug("Replaced CSRF Token");
      }
   }

}

1.4 configure(...)

  • • 接下来就轮到了配置类的核心方法
@Override
public void configure(H http) {
   CsrfFilter filter = new CsrfFilter(this.csrfTokenRepository);

   // 设置不需要Csrf保护的请求对应的请求匹配器
   RequestMatcher requireCsrfProtectionMatcher = getRequireCsrfProtectionMatcher();
   if (requireCsrfProtectionMatcher != null) {
      filter.setRequireCsrfProtectionMatcher(requireCsrfProtectionMatcher);
   }

   // 设置访问被拒绝处理器
   AccessDeniedHandler accessDeniedHandler = createAccessDeniedHandler(http);
   if (accessDeniedHandler != null) {
      filter.setAccessDeniedHandler(accessDeniedHandler);
   }

   // 给 LogoutConfigurer 中设置Csrf存储策略
   // 是为了在登出的时候清除Csrf令牌
   LogoutConfigurer<H> logoutConfigurer = http.getConfigurer(LogoutConfigurer.class);
   if (logoutConfigurer != null) {
      logoutConfigurer.addLogoutHandler(new CsrfLogoutHandler(this.csrfTokenRepository));
   }

   // 给 sessionConfigurer 中认证成功后的会话策略
   // 是为了在认证成功后创建Csrf令牌
   SessionManagementConfigurer<H> sessionConfigurer = http.getConfigurer(SessionManagementConfigurer.class);
   if (sessionConfigurer != null) {
      sessionConfigurer.addSessionAuthenticationStrategy(getSessionAuthenticationStrategy());
   }
   filter = postProcess(filter);
   http.addFilter(filter);
}
  • • 配置的时候除了我上述说过的类,还出现了多两个陌生的类
  • • CsrfLogoutHandler:
  • • AccessDeniedHandler:

1.4.1 CsrfLogoutHandler

  • • 当我们登出(注销)的时候,我们的CsrfToken就应该没用了,将在下一次请求时生成一个新的CsrfToken
public final class CsrfLogoutHandler implements LogoutHandler {

   /**
    * CsrfToken的存储策略
    */
   private final CsrfTokenRepository csrfTokenRepository;

   /**
    * Creates a new instance
    * @param csrfTokenRepository the {@link CsrfTokenRepository} to use
    */
   public CsrfLogoutHandler(CsrfTokenRepository csrfTokenRepository) {
      Assert.notNull(csrfTokenRepository, "csrfTokenRepository cannot be null");
      this.csrfTokenRepository = csrfTokenRepository;
   }

   /**
    * Clears the {@link CsrfToken}
    *
    * @see org.springframework.security.web.authentication.logout.LogoutHandler#logout(javax.servlet.http.HttpServletRequest,
    * javax.servlet.http.HttpServletResponse,
    * org.springframework.security.core.Authentication)
    */
   @Override
   public void logout(HttpServletRequest request, HttpServletResponse response, Authentication authentication) {
      this.csrfTokenRepository.saveToken(null, request, response);
   }

}

1.4.2 AccessDeniedHandler

  • • 当我们的CsrfToken和请求上的不一致的情况下,我们需要有对应的操作AccessDeniedHandler就是做这件事情的
  • • 我们看下AccessDeniedHandler是从哪来的
private AccessDeniedHandler createAccessDeniedHandler(H http) {
   // 拿到 HttpSession过期策略
   InvalidSessionStrategy invalidSessionStrategy = getInvalidSessionStrategy(http);
   // 拿到访问被拒绝处理器
   AccessDeniedHandler defaultAccessDeniedHandler = getDefaultAccessDeniedHandler(http);
   if (invalidSessionStrategy == null) {
      return defaultAccessDeniedHandler;
   }
   InvalidSessionAccessDeniedHandler invalidSessionDeniedHandler = new InvalidSessionAccessDeniedHandler(
         invalidSessionStrategy);
   LinkedHashMap<Class<? extends AccessDeniedException>, AccessDeniedHandler> handlers = new LinkedHashMap<>();
   handlers.put(MissingCsrfTokenException.class, invalidSessionDeniedHandler);
   return new DelegatingAccessDeniedHandler(handlers, defaultAccessDeniedHandler);
}

private AccessDeniedHandler createAccessDeniedHandler(H http) {
   // 拿到 HttpSession过期策略
   InvalidSessionStrategy invalidSessionStrategy = getInvalidSessionStrategy(http);
   // 拿到访问被拒绝处理器
   AccessDeniedHandler defaultAccessDeniedHandler = getDefaultAccessDeniedHandler(http);
   if (invalidSessionStrategy == null) {
      return defaultAccessDeniedHandler;
   }
   InvalidSessionAccessDeniedHandler invalidSessionDeniedHandler = new InvalidSessionAccessDeniedHandler(
         invalidSessionStrategy);
   LinkedHashMap<Class<? extends AccessDeniedException>, AccessDeniedHandler> handlers = new LinkedHashMap<>();
   handlers.put(MissingCsrfTokenException.class, invalidSessionDeniedHandler);
   return new DelegatingAccessDeniedHandler(handlers, defaultAccessDeniedHandler);
}

-

1.2 CsrfFilter

  • • 我们接下来看下CsrfFilter的核心方法
public final class CsrfFilter extends OncePerRequestFilter {
   ...
   @Override
   protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain)
         throws ServletException, IOException {
      request.setAttribute(HttpServletResponse.class.getName(), response);
      // 从存储策略中读取令牌
      CsrfToken csrfToken = this.tokenRepository.loadToken(request);
      boolean missingToken = (csrfToken == null);
      // 如果没有先生成后保存
      if (missingToken) {
         csrfToken = this.tokenRepository.generateToken(request);
         this.tokenRepository.saveToken(csrfToken, request, response);
      }

      // 在请求域中暴露Csrf令牌
      request.setAttribute(CsrfToken.class.getName(), csrfToken);
      request.setAttribute(csrfToken.getParameterName(), csrfToken);

      // 判断是否是不需要Csrf保护的
      if (!this.requireCsrfProtectionMatcher.matches(request)) {
         if (this.logger.isTraceEnabled()) {
            this.logger.trace("Did not protect against CSRF since request did not match "
                  + this.requireCsrfProtectionMatcher);
         }
         filterChain.doFilter(request, response);
         return;
      }

      // 从请求头和QueryString中提取Csrf令牌
      String actualToken = request.getHeader(csrfToken.getHeaderName());
      if (actualToken == null) {
         actualToken = request.getParameter(csrfToken.getParameterName());
      }

      // 常数比较令牌是否相同
      if (!equalsConstantTime(csrfToken.getToken(), actualToken)) {
         this.logger.debug(
               LogMessage.of(() -> "Invalid CSRF token found for " + UrlUtils.buildFullRequestUrl(request)));
         AccessDeniedException exception = (!missingToken) ? new InvalidCsrfTokenException(csrfToken, actualToken)
               : new MissingCsrfTokenException(actualToken);
         // 当成访问被拒绝处理
         this.accessDeniedHandler.handle(request, response, exception);
         return;
      }
      // Csrf校验通过
      filterChain.doFilter(request, response);
   }
}
  • • 步骤如下:
  • • 成功:执行下一个过滤器
  • • 失败:执行AccessDeniedHandler
  • • 从CsrfTokenRepository中获取CsrfToken令牌
  • • 在请求域中暴露Csrf令牌
  • • 通过请求匹配器判断当前请求是否需要Csrf保护
  • • 从请求中提取Csrf令牌
  • • 进行比较

3. LoginPageGeneratingFiltereratingFilter

  • • 这里还需要提到一个场景,我们在进行认证(登录)的时候的我们是发起的Post请求,而Post请求是会被Csrf保护,所以说在发起登录请求之前一定会获取到Csrf令牌
  • • 而LoginPageGeneratingFiltereratingFilter正是在发起登录请求之前获取登录页的过滤器
  • • 我们简单的看下这个过滤器,这里会在执行初始化方法的时候会注册一个获得Csrf令牌的函数
  • • 这个函数会在此过滤器构建登录页html代码的时候被调用
public final class DefaultLoginPageConfigurer<H extends HttpSecurityBuilder<H>>
      extends AbstractHttpConfigurer<DefaultLoginPageConfigurer<H>, H> {
   ... 
   @Override
   public void init(H http) {
      //为登入和登出页过滤器设置获取Csrf令牌的函数
      this.loginPageGeneratingFilter.setResolveHiddenInputs(DefaultLoginPageConfigurer.this::hiddenInputs);
      this.logoutPageGeneratingFilter.setResolveHiddenInputs(DefaultLoginPageConfigurer.this::hiddenInputs);
      //将过滤器放入sharedObject中
      http.setSharedObject(DefaultLoginPageGeneratingFilter.class, this.loginPageGeneratingFilter);
   }

   /**
    * 获得Csrf令牌的函数
    * @param request
    * @return
    */
   private Map<String, String> hiddenInputs(HttpServletRequest request) {
      //CsrfToken是CsrfFilter放入request中的
      CsrfToken token = (CsrfToken) request.getAttribute(CsrfToken.class.getName());
      return (token != null) ? Collections.singletonMap(token.getParameterName(), token.getToken())
            : Collections.emptyMap();
   }
}


标签:令牌,SpringSecurity5.6,CsrfFilter,request,private,源码,CsrfToken,null,csrfTokenRepos
From: https://blog.51cto.com/u_14008019/7541903

相关文章

  • 《算法的乐趣》高清高质量PDF 电子书 附源码
    本书从一系列有趣的生活实例出发,全面介绍了构造算法的基础方法及其广泛应用,生动地展现了算法的趣味性和实用性。全书分为两个部分,第一部分介绍了算法的概念、常用的算法结构以及实现方法,第二部分介绍了算法在各个领域的应用,如物理实验、计算机图形学、数字音频处理等。其中,既有各种......
  • 《Python深度学习》高清高质量PDF电子书+源码
    Keras之父,TensorFlow机器学习框架贡献者详尽介绍了用Python和Keras进行深度学习的探索实践,包括计算机视觉、自然语言处理、产生式模型等应用。书中包含30多个代码示例,步骤讲解详细透彻。由于本书立足于人工智能的可达性和大众化,读者无须具备机器学习相关背景知识即可展开阅读。在学......
  • javaweb运行tomcat时Jsp文件显示源码
    今天在写javaweb项目的时候出现了运行一直不打开浏览器,如果手动打开浏览器的话,就会出现自己写的jsp文件中的所有源码,具体如图所示我的问题在Servlet中因为要告诉jsp文件servlet在哪里所以要在类名的上一行写上@WebServlet("/Servlet"),但是由于我的粗心写成了@WebServlet("Servl......
  • C++医学影像(PACS)管理系统源码
    PACS(PictureArchivingandCommunicationsSystem)——图像存储与传输系统,和医院信息化及数字化的目标紧密关联,它是专门为现代化医院的影像管理而设计的包括数字化医学图像信息的采集、显示、处理、存储、诊断、输出、管理、查询、信息处理的综合应用系统,是以数字化诊断(无纸化、无......
  • tgt源码阅读
    读懂一个开源项目源码之前,需要先了解该项目的背景知识。背景知识熟悉了,代码只是具体实现手段而已。源码地址:https://github.com/fujita/tgt对于tgt来说,背景知识是块设备、scsi、iscsi协议。众所周知,一条协议一般指的是一个包头,然后把要收发的数据放在包头后面。scsi协议和iscsi......
  • 直播带货源码,评论框自动控制高度
    直播带货源码,评论框自动控制高度HTML <divclass="cont_comment_cont">  <divid="textareaHeight">    <textareaid="textarea"placeholder="在此输入评论内容~"></textarea>  </div>  <div>发布</di......
  • drf(初始drf,restfull规范 ,源码)
    一web开发模式#前后端混合开发(前后端不分离):通过模版语法,在服务器上处理好html的内容(组合字符串),返回给浏览器一堆字符串(字符串封装到respons对象里),浏览器在渲染#前后端分离:只专注于写后端接口,返回json、xml格式#xml比json笨重#补充:什么是动态页面(需要查数据......
  • 基于微信小程序的在线考试系统设计与实现-计算机毕业设计源码+LW文档
    一、研究的背景意义随着计算机的持续发展,人类进入信息化时代,各种软件和管理系统层出不穷,软件已成为提高办公质量和经济增长的重要手段,由此带来了许多新兴行业。比如在线购物,京东商城、慕课和在线学习的成功有目共睹。基于互联网的管理平台,收集和整理各类信息,这些信息以有序的方式......
  • 基于java的学生课程管理系统-计算机毕业设计源码+LW文档
    计算机技术的发展,改变了的生产生活方式。在高校,越来越多的教务管理使用管理系统进行管理,用来提高管理效率。在传统的教学管理中,高校往往通过大量的人力和物力进行管理,通过手工记录课程信息,统计科目资料。传统的管理方法容易出错,而学生课程管理系统可以帮助教师管理课程信息,查看课程......
  • 基于springboot智能考试系统的设计与实现-计算机毕业设计源码+LW文档
    摘要随着信息技术的发展,管理系统越来越成熟,各种企事业单位使用各种类型的管理系统来提高工作效率,从而降低手工操作的弊端。我国政府一直以来都非常重视中学阶段教育的发展,近几年来学生人数逐渐增加,对在线考试的需求越来越多。因此,通过开发基于springboot智能考试系统来提高学习效......