如何使用Spring Boot和Spring Security保护REST API?
我知道保护REST
API是一个被广泛评论的话题,但是我无法创建一个符合我的标准的小型原型(并且我需要确认这些标准是现实的)。如何保护资源以及如何使用Spring安全性有很多选择,我需要弄清楚我的需求是否现实。
我的要求
- 基于令牌的身份验证器-html" target="_blank">用户将提供其凭据,并获得唯一且受时间限制的访问令牌。我想在自己的实现中管理令牌的创建,检查有效性和到期时间。
- 某些REST资源将是公开的-完全不需要身份验证,
- 某些资源仅对具有管理员权限的用户可用,
- 授权所有用户后,即可访问其他资源。
- 我不想使用基本身份验证
- Java代码配置(非XML)
当前状态
我的REST API运作良好,但现在我需要保护它。当我寻找解决方案时,我创建了一个javax.servlet.Filter过滤器:
@Override
public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
HttpServletRequest request = (HttpServletRequest) req;
String accessToken = request.getHeader(AUTHORIZATION_TOKEN);
Account account = accountDao.find(accessToken);
if (account == null) {
throw new UnauthorizedException();
}
chain.doFilter(req, res);
}
但是这种解决方案javax.servlet.filters无法按我的需要工作,因为通过@ControllerAdviceSpring
处理异常存在问题servlet dispatcher。
我需要的
我想知道这些标准是否切合实际并获得任何帮助,以及如何开始使用Spring Security保护REST API。我阅读了许多教程(例如Spring
Data REST + Spring Security),但是所有教程都在非常基本的配置中工作-带有 凭据的 用户 存储
在配置 中的内存 中,我需要使用DBMS并创建自己的身份验证器。
请给我一些如何开始的想法。
问题答案:
基于令牌的身份验证-用户将提供其凭据,并获得唯一且受时间限制的访问令牌。我想在自己的实现中管理令牌的创建,检查有效性和到期时间。
实际上,将过滤器用于令牌验证-这种情况下的最佳方法
最终,您可以通过Spring Data创建CRUD,以管理Token的属性(例如过期)等。
这是我的令牌过滤器:http :
//pastebin.com/13WWpLq2
和令牌服务实施
http://pastebin.com/dUYM555E
某些REST资源将是公共的-完全不需要身份验证
没问题,您可以通过Spring安全配置来管理资源,如下所示: .antMatchers("/rest/blabla/**").permitAll()
某些资源仅对具有管理员权限的用户可用,
看一下@Secured注解类。例:
@Controller
@RequestMapping(value = "/adminservice")
@Secured("ROLE_ADMIN")
public class AdminServiceController {
授权所有用户后,即可访问其他资源。
返回Spring Security配置,您可以像这样配置URL:
http
.authorizeRequests()
.antMatchers("/openforall/**").permitAll()
.antMatchers("/alsoopen/**").permitAll()
.anyRequest().authenticated()
我不想使用基本身份验证
是的,通过令牌过滤器,您的用户将通过身份验证。
Java代码配置(非XML)
回到上面的话,看@EnableWebSecurity。您的课程将是:
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {}
您必须重写 configure 方法。下面的代码仅作为示例,介绍如何配置匹配器。它来自另一个项目。
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.authorizeRequests()
.antMatchers("/assets/**").permitAll()
.anyRequest().authenticated()
.and()
.formLogin()
.usernameParameter("j_username")
.passwordParameter("j_password")
.loginPage("/login")
.defaultSuccessUrl("/", true)
.successHandler(customAuthenticationSuccessHandler)
.permitAll()
.and()
.logout()
.logoutUrl("/logout")
.invalidateHttpSession(true)
.logoutSuccessUrl("/")
.deleteCookies("JSESSIONID")
.logoutRequestMatcher(new AntPathRequestMatcher("/logout"))
.and()
.csrf();
}
-
本文向大家介绍如何使用SpringSecurity保护程序安全,包括了如何使用SpringSecurity保护程序安全的使用技巧和注意事项,需要的朋友参考一下 首先,引入依赖: 引入此依赖之后,你的web程序将拥有以下功能: 所有请求路径都需要认证 不需要特定的角色和权限 没有登录页面,使用HTTP基本身份认证 只有一个用户,名称为user 配置SpringSecurity springsecur
-
我正在运行spring boot,KafkaListener是我的客户。问题是我们如何从失败的kafka配置中恢复,并避免应用程序在退出代码为0的过程结束时停止。例如,不正确的配置可能是不正确的endpointurl。如果无法访问Kafka服务器,也会出现同样的情况。因此,在任何情况下,KafkaListner进程都不应该杀死服务器。 ontext.java:895应用程序上下文异常:未能启动be
-
null 当前状态 请给我一些如何开始的点子。
-
我正在开发配置了SSO/OAuth2安全性的Spring Boot应用程序。身份验证对我的rest控制器很有效,现在我需要用restendpoint保护我的Apache Camel路由。 据我所知,有几种方法可以做到这一点: 通过将身份验证处理器添加到我的路线 通过向我的路线添加策略(SpringSecurityAuthorizationPolicy) jettyendpoint的“按处理程序”选
-
我正在尝试在zookeeper和kafka之间设置kerberos标识。 我遵循了此处提供的配置步骤:https://docs.confluent.io/4.1.1/kafka/authentication_sasl_gssapi.html#sasl-gssapi经纪人。 Kafka代理成功连接到zookeeper集合,代理正在zNode上设置ACL。 在Zookeeper中,我可以看到znode
-
问题内容: 通常在服务器级别阻止DDoS(分布式拒绝服务攻击),对吗? 有没有办法在PHP级别上阻止它,或者至少减少它? 如果没有,阻止DDoS攻击的最快,最常见的方法是什么? 问题答案: DDOS是一系列攻击,它们淹没了数据中心的关键系统,其中包括: 托管中心与互联网的网络连接 托管中心的内部网络和路由器 您的防火墙和负载平衡器 您的Web服务器,应用程序服务器和数据库。 在开始构建DDOS防御