Spring Rest api和Spring基本安全性
你好,我是Spring和Spring保安新来的。目前我正在Spring开发rest api。根据spring提供rest API。rest api是无状态的,所以我们不能创建到rest api的会话。因为它是一个无状态的,如果我们这样做,那么它是违反rest设计的。所以我的问题是,在REST中,我们是不是可以永远保持服务器端用户的状态?我们可以维护它的客户端吗??怎么做??在spring basic security中,我们登录并得到当前用户的使用原则。spring rest身份验证中的情况相同。所以在rest api的情况下,所有需要的都是当前登录的用户?。如果spring rest api是无状态的,那么spring security如何维护当前登录的用户。我读了一些关于spring的块,我们通过它使用基于令牌的身份验证,在其中我们可以发送用户名和密码,然后我们得到令牌,每次当我们请求时,我们都发送那个令牌,并且知道发送当前请求的用户。令牌存储在cookie中。因此cookie存储在客户端。在这种情况下,如果浏览器禁用了cookie,我们如何验证用户和当前登录的用户?
共有1个答案
REST与安全性没有任何关系,它只是关于数据操作,而不是关于安全性。
因此,通常,您会在REST请求的同时提供某种标识信息。它可以是一组凭据、一个令牌、一个加密令牌等等。例如,令牌的格式之一是JWT令牌。但理论上,您也可以使用不同的格式。
Spring security支持许多不同的流。有时,您将不得不在这里和那里扩展它,并插入一些功能。但总而言之,spring security是非常可扩展的,并且允许许多不同级别的灵活性,它的设计是为了支持许多不同的流。
-
我正在尝试建立一个带有基本身份验证的普通Spring Boot环境。 基本上,我只想自定义用户、受保护的路径和自定义密码编码器。 Spring Boot留档状态: 要在不更改任何其他自动配置功能的情况下覆盖访问规则,请添加一个带有@Order(SecurityProperties.access_override_Order)的WebConfigurerAdapter类型的@Bean。 注意:我认为
-
以下是Web安全性的配置: }
-
我试图实现一个简单的Spring启动项目。我有几个Restendpoint,我必须以不同的方式保护它们。一个必须由基本身份验证保护,另一个必须由OAuth保护,另一个必须由自定义安全实现保护。 REST-endpoint: /基本/授权 从教程中,我知道我必须设置安全适配器的顺序。我的第一个意图是在十个步骤中设置顺序(例如,),以防我需要在两者之间添加其他安全过滤器。通过这样做,我调查了以下行为:
-
我有两个RESTendpoint: 我想只为提供登录,并直接访问。 当我在中使用以下模式时 我只在中得到登录提示,而在中没有得到,这是预期的。 但是当我使用下面的模式时,我得到了和的登录提示,这对我来说是非常意外的。 我已经知道我做错了什么,所以我想知道为什么我不能只登录和直接访问。 更新 @Nully这有一定的意义,但却打破了我对其他情况的理解。假设我使用这个模式: 只允许user=“java
-
问题内容: 我正在使用ResponseEntityExceptionHandler全局处理错误,并且几乎可以正常工作,只是我想用spring处理错误的请求。通过任何逻辑,handleNoSuchRequestHandlingMethod都应处理此问题,但是总是要进行处理 HTTP Status 404 - type Status report message description The req
-
由于PHP语言在建立基于数据库驱动的动态网站所表现的高度灵活性,它已成为最流行的网站开发工具之一。它同时还可以与其它开源软件如MySql数据库和Apache服务器完美结合。但是,随着越来越多的网站使用PHP开发,它们也成为了恶意攻击者的目标,因此,开发者必须要做到应对攻击的准备。