Fügen Sie Frühlingssicherheit und JWT -Abh?ngigkeiten in pom.xml hinzu, um die Sicherheits- und Token -Handhabung zu erm?glichen. 2. Erstellen Sie einen JWTrequestFilter, um Anforderungen abzufangen, JWT -Token zu extrahieren und zu validieren und die Authentifizierung im Sicherheitskontext festzulegen. 3. Konfigurieren Sie SecurityConfig, um CSRF zu deaktivieren, den ?ffentlichen Zugriff auf /authentifizieren und /registrieren Sie die Authentifizierung für alle anderen Endpunkte, setzen Sie die Sitzung der Sitzung auf staatslos und fügen Sie den JWT -Filter vor dem Standardauthentifizierungsfilter hinzu. V. 5. Befolgen Sie die Best Practices wie die Verwendung von HTTPS, die Vermeidung von Lokalstors für JWT -Speicher, das Festlegen von kurzen Token -Ablaufzeiten mit Aktualisierungstoken, verwenden BCRYPT für die Kennwortcodierung und die Validierung der Eingaben, um Angriffe zu verhindern. Ihre API ist nun mit der staatenlosen Authentifizierung unter Verwendung von JWT und Frühlingssicherheit gesichert, um einen robusten Schutz vor gemeinsamen Bedrohungen zu gew?hrleisten.

Die Sicherung einer Java-REST-API mit Frühlingssicherheit ist nicht nur ein nettes Have-es ist wesentlich. Im Gegensatz zu herk?mmlichen Web-Apps, die sich auf Sitzungen und HTML-Formulare verlassen, verwenden REST-APIs staatenlos und verwenden normalerweise eine tokenbasierte Authentifizierung wie JWT (JSON Web Tokens). Hier erfahren Sie, wie Sie es mit Spring Security richtig machen k?nnen.

1. Richten Sie Frühlingssicherheitsabh?ngigkeiten ein

Fügen Sie zun?chst die erforderlichen Abh?ngigkeiten in Ihr pom.xml (für Maven) hinzu:

 <De vorangehen>
    <gruppeID> org.springframework.boot </Groupid>
    <artifactid> Spring-Boot-Starter-Security </artifactid>
</abh?ngig>
<De vorangehen>
    <gruppeID> io.jsonWebtoken </Groupid>
    <artifactid> jjwt </artifactid>
    <version> 0.9.1 </Version>
</abh?ngig>

Die Frühlingssicherheit schützt automatisch alle Endpunkte, sobald hinzugefügt wird. Sie müssen es konfigurieren, um den ?ffentlichen Zugriff auf Anmeld-/Registerrouten zu erm?glichen und den Rest zu sichern.

2. Konfigurieren Sie die staatenlose Authentifizierung mit JWT

Rest-APIs sollten staatenlos sein-ohne serverseitige Sitzungsspeicher. JWTs sind dafür perfekt.

Schlüsselkomponenten:

• JWTUTIL CLASS : Erzeugt und validiert Token.
• JwTrequestFilter : Abfangen eingehende Anforderungen, Schecks für JWT und legt die Authentifizierung fest.
• UserDetailsService : l?dt benutzerspezifische Daten.
• PasswordEnCoder : Hashes Passw?rter.

Beispiel JwTrequestFilter:

 @Komponente
Public Class JwTrequestFilter erstreckt sich einst einPerRequestFilter {

    @Autowired
    private userdetailsService userDetailsService;

    @Autowired
    Privat JWTUTIL JWTUTIL;

    @Override
    Protected Void Dofilterinternal (httpServletRequest -Anforderung, HttpServletResponse -Antwort, Filterchain -Kette)
            l?st ServletException aus, ioException {

        Final String AuthorizationHeader = Request.Getheader ("Autorisierung");

        String username = null;
        String jwt = null;

        if (AuthorizationHeader! = NULL && AuthorizationHeader
            Jwt = AuthorizationHeader.substring (7);
            userername = jwtutil.extractractusername (jwt);
        }

        if (Benutzername! = NULL && SecurityContextHolder.getContext ().
            UserDetails userDetails = this.userDetailsService.loadUserByUserName (Benutzername);

            if (jwtutil.validatetoken (jwt, userdetails)) {
                UserernamepasswordAuthenticationToken authToken = new usernamepasswordAuthenticationToken (
                        UserDetails, Null, userDetails.getAuthorities ());
                AuthToken.SetDetails (neue WebAuthenticationDetailsSource (). BuildDetails (Anfrage));
                SecurityContextHolder.getContext (). SetAuthentication (authToken);
            }
        }
        chain.dofilter (Anfrage, Antwort);
    }
}

Dieser Filter wird auf jeder Anfrage ausgeführt, das Token extrahiert, best?tigt es und legt den authentifizierten Benutzer im Sicherheitskontext fest.

3. Konfigurieren Sie Spring Security (SecurityConfig)

Erstellen Sie eine SecurityConfig -Klasse, um das Sicherheitsverhalten anzupassen:

 @Konfiguration
@EnableWebecurity
?ffentliche Klasse SecurityConfig {

    @Autowired
    private userdetailsService userDetailsService;

    @Autowired
    Privat JwTrequestFilter JwTrequestFilter;

    @Bohne
    public passwayEncoder passwordEncoder () {
        Neue bcryptPasswordEnCoder () zurückgeben;
    }

    @Bohne
    public AuthenticationManager AuthenticationManager (AuthenticationConfiguration config) l?st Ausnahme {
        return config.getAuthenticationManager ();
    }

    @Bohne
    Public SecurityFilterChain Filterchain (Httpecurity http) l?st eine Ausnahme {aus {
        http.csrf (). Disable ())
            .AuthorizeHttprequests (Auth -> Auth
                .RequestMatchers ("/authenticate", "/register"). erlaubensAll ()
                .anyRequest (). authentifiziert ()
            )
            .

        http.addFilterBefore (jwtrequestFilter, usernamePasswordAuthenticationFilter.Class);

        return http.build ();
    }
}

Was das tut:

• Deaktiviert CSRF (sicher für staatenlose APIs).
• Erm?glicht den ?ffentlichen Zugriff auf /authenticate und /register .
• Ben?tigt Authentifizierung für alle anderen Endpunkte.
• Legt die Sitzungserstellung auf STATELESS fest.
• Fügt den JWT -Filter vor dem Standardauthentifizierungsfilter hinzu.

4. Authentifizierungsendpunkt implementieren

Erstellen Sie einen Controller, um beim Anmeldung Token zu generieren:

 @Postmapping ("/authenticate")
public responseentity <?> createAuthenticationToken (@RequestBody AuthenticationRequest Anfrage) {
    versuchen {
        AuthenticationManager.Authenticate (
            Neue usernamepasswordAuthenticationToken (Request.getUername (), Request.getPassword ())
        );
    } catch (badcredentialSexception e) {
        Neue Ausnahmewirkung werfen ("Ungültige Anmeldeinformationen", httpstatus.unauthorized);
    }

    endgültige Zeichenfolge jwt = jwtutil.generatetoken (request.getUnername ());
    return responseentity.OK (neue Authentifizierungsprose (JWT));
}

Die AuthenticationRequest enth?lt Benutzername und Passwort. AuthenticationResponse gibt die JWT zurück.

5. Best Practices und gemeinsame Fallstricke

• Lagern Sie niemals JWTs in LocalStorage (XSS -Risiko). Bevorzugen Sie nach M?glichkeit HttpOnly -Cookies oder verwenden Sie einen sicheren Speicher mit ordnungsgem??em XSS -Schutz.
• Verwenden Sie immer HTTPS in der Produktion.
• Stellen Sie angemessene Token -Ablaufzeiten (z. B. 15–30 Minuten) ein und implementieren Sie Aktualisierungstoken.
• Verwenden Sie eine starke Kennwortcodierung (Bcrypt ist gut).
• Validieren Sie die Eingabe rigoros, um Injektionsangriffe zu verhindern.
• Vermeiden Sie es, sensible Benutzerdaten in JWT -Ansprüchen aufzudecken.

Letzte Notizen

Frühlingssicherheit ist leistungsstark, aber komplex. Bei REST -APIs liegt der Schlüssel darin, die Staatenlosigkeit und die korrekte Verwendung von JWT zu verwenden. Sobald Sie die Filterkette, die Token -Handhabung und die ordnungsgem??e Endpunktsicherheit eingerichtet haben, haben Sie ein solides Fundament.

Verwenden Sie @PreAuthorize für die Sicherheit auf Methodenebene (z. B. @PreAuthorize("hasRole('ADMIN')") ) und betrachten Sie OAuth2, wenn Sie einen sozialen Anmeldung oder einen Zugriff auf Drittanbieter ben?tigen.

Grunds?tzlich: Sichern Sie die Endpunkte, validieren Sie Token auf jeder Anfrage, behalten Sie keine Sitzung und vertrauen Sie dem Kunden niemals.

Das war's - Ihre API ist jetzt deutlich sicherer.

Das obige ist der detaillierte Inhalt vonSicherung einer Java Rest -API mit Frühlingssicherheit. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!