Sicherung von REST -APIs in Java mithilfe der Frühlingssicherheit
Jul 28, 2025 am 03:08 AM
Deaktivieren Sie CSRF und setzen Sie die Sitzungserstellungspolitik in SecurityConfig auf die Erstellung von Sitzungen, um sicherzustellen, dass keine Sitzung erstellt wird. 2. Verwenden Sie JWT für die tokenbasierte Authentifizierung, indem Sie nach dem Anmeldung ein signiertes Token generieren und an den Client zurückgeben. 3.. Validieren Sie den JWT in einem benutzerdefinierten Filter (JWtauthFilter), der das Token aus dem Autorisierungsheader extrahiert und die Authentifizierung im Sicherheitskontext festlegt. 4. Sichere Endpunkte verwenden rollenbasierte Zugriffskontrolle über Anforderungsüberg?nge oder Anmerkungen auf Methodenebene wie @PreaThorize; 5. Befolgen Sie die Best Practices, einschlie?lich der Verwendung von HTTPS, kurzlebigen Token, Aktualisieren von Token, Ratenbegrenzung und Vermeidung von Token-Protokollierung zur Verbesserung der Sicherheit. Dieser Ansatz sorgt für sichere, staatenlose und skalierbare REST -APIs in Java mit Frühlingssicherheit.
Die Sicherung von REST -APIs in Java unter Verwendung der Spring Security ist eine h?ufige Voraussetzung für moderne Webanwendungen. Da REST-APIs für Design staatsfreundlich sind, passt die traditionelle Sitzungssicherheit nicht gut. Die Spring Security bietet jedoch flexible Tools, um die Endpunkte effektiv zu sichern-insbesondere in Kombination mit einer tokenbasierten Authentifizierung wie JWT (JSON Web Tokens).
Hier erfahren Sie, wie Sie REST -APIs in Java mithilfe der Frühlingssicherheit ordnungsgem?? sichern k?nnen:
1. Deaktivieren Sie CSRF und aktivieren Sie die staatenlose Authentifizierung
Rest-APIs werden in der Regel von Frontend-Apps, mobilen Kunden oder Diensten von Drittanbietern konsumiert, nicht von Browsern, die sich auf Cookies verlassen. Der CSRF -Schutz ist also unn?tig und kann die API -Anrufe beeintr?chtigen.
Deaktivieren Sie in Ihrem SecurityConfig CSRF und setzen Sie die Sitzungsstrategie auf staatenlose fest:
@Konfiguration
@EnableWebecurity
?ffentliche Klasse SecurityConfig {
@Bohne
Public SecurityFilterChain Filterchain (Httpecurity http) l?st eine Ausnahme {aus {
http
.csrf (). Disable () // für staatenlose APIs nicht ben?tigt
.
.Und()
.AuthorizeHttprequests (Authz -> Authz
.RequestMatchers ("/api/public/**"). Genehmigung ()
.RequestMatchers ("/api/admin/**"). HasRole ("admin")
.anyRequest (). authentifiziert ()
)
.htttpbasic (). Disable () // bevorzugen Token-basiert gegenüber Basic Author
.AddFilterBefore (jwtauthFilter (), usernamepasswordAuthenticationFilter.class);
return http.build ();
}
@Bohne
Public AuthenticationManager AuthenticationManager (
AuthenticationConfiguration Authconfig) l?st Ausnahme {aus
return authconfig.getAuthenticationManager ();
}
@Bohne
public jwtthFilter jwtauthfilter () {
return New JwtauthFilter ();
}
}? Schlüsselpunkt: Verwenden Sie
SessionCreationPolicy.STATELESSSo erstellen oder verwenden Sie keine HTTP -Sitzungen.
2. Verwenden Sie JWT für die tokenbasierte Authentifizierung
JWT ist eine kompakte, urlsichere Art, um Ansprüche zwischen den Parteien zu vertreten. Es ist ideal für REST-APIs, da es Benutzerinformationen tr?gt und in sich geschlossen ist.
Schritte zur Implementierung von JWT:
- Token generieren : Generieren Sie nach erfolgreichem Login eine JWT -enthaltende Benutzerdetails (z. B. Benutzername, Rollen).
- Senden Sie Token : Geben Sie es in die Antwort zurück (normalerweise in JSON -K?rper- oder
Authorization). - Validieren Sie Token : Extrahieren und validieren Sie auf jeder Anfrage die JWT aus der
Authorization: Bearer <token>Header.
Beispiel einer einfachen JwtUtil -Klasse:
@Komponente
?ffentliche Klasse jwtutil {
private String secret = "your yourecretkey"; // Verwenden Sie einen starken Schlüssel aus der Umgebung
private int abiry = 86400; // 24 Stunden
public String GeneratEToken (UserDetails UserDetails) {
Karte <String, Object> Ansprüche = new HashMap <> ();
return jwts.builder ()
.SetClaims (Ansprüche)
SETSUBJECT (userDetails.getUnername ())
.setISEDAT (neues Datum ())
.setExpiration (neues Datum (System.currentTimemillis () Ablauf * 1000))
.Signwith (SignatureAlgorithm.HS512, Geheimnis)
.kompakt();
}
public boolean isTokenValid (String Token, String Benutzername) {
return getUnernameFromToken (Token) .Equals (Benutzername) &&! isTokenExpired (Token);
}
public String getUnernamefromToken (String Token) {
return getClaim (Token, Ansprüche :: Getubject);
}
private <t> t getClaim (String Token, Funktion <Ansprüche, t> Resolver) {
Ansprüche Ansprüche = jwts.parser ()
.SetsigningKey (Geheimnis)
.Parseclaimsjws (Token)
.getBody ();
return Resolver.Apply (Ansprüche);
}
private boolean isTokenexpired (String Token) {
return getClaim (Token, Ansprüche :: GetExpiration) .before (neues Datum ());
}
}?? Hardcode nie den geheimen Schlüssel in der Produktion - Verwenden Sie Umgebungsvariablen oder einen Secrets -Manager.
3.. Benutzerdefinierte Filter, um JWT abzufangen und zu validieren
Erstellen Sie einen Filter, der vor der Hauptauthentifizierungskette ausgeführt wird, um nach dem JWT im Anforderungsheader zu überprüfen.
@Komponente
Public Class JwtauthFilter erstreckt sich einst einRequestFilter {
@Autowired
private userdetailsService userDetailsService;
@Autowired
Privat JWTUTIL JWTUTIL;
@Override
Protected void Dofilterinternal (HttpServletRequest -Anfrage,
HttpServletResponse -Antwort,
Filterchain -Kette) l?st ServletException aus, IoException {
Final String Header = Request.Getheader ("Autorisierung");
String jwt = null;
String username = null;
if (header! = null && header
jwt = header.substring (7);
versuchen {
userername = jwtutil.getUnernameFromToken (jwt);
} catch (Ausnahme e) {
// Invalid Token
}
}
if (Benutzername! = NULL && SecurityContextHolder.getContext ().
UserDetails userDetails = userDetailsService.loadUserByUserName (Benutzername);
if (jwtutil.istokenvalid (jwt, userDetails.getUnername ())) {
UserernamepasswordAuthenticationToken authToken =
Neue usernamePasswordAuthenticationToken (UserDetails, Null, UserDetails.getAuthorities ());
AuthToken.SetDetails (neue WebAuthenticationDetailsSource (). BuildDetails (Anfrage));
SecurityContextHolder.getContext (). SetAuthentication (authToken);
}
}
chain.dofilter (Anfrage, Antwort);
}
}Dieser Filter:
- Extrahiert das Token aus dem
Authorization. - Parsen und best?tigt es.
- L?dt den Benutzer und legt die Authentifizierung im Sicherheitskontext fest.
4. Sicherere Endpunkte mit ordnungsgem??em rollenbasiertem Zugriff
Verwenden Sie Frühlingssicherheitsanmerkungen, um Methoden oder Endpunkte zu schützen:
@Restcontroller
@RequestMapping ("/api/admin")
@Preauthorize ("HasRole ('admin')"))
Public Class Admincontroller {
@Getmapping ("/user")
public list <Nutzern> getAllusers () {
// nur für admin zug?nglich zug?nglich
}
}Aktivieren Sie die Sicherheit auf Methodenebene:
@Konfiguration
@EnableGlobalMethodSecurity (preposteabled = true)
?ffentliche Klasse MethodsCurityConfig {
// Keine zus?tzliche Konfiguration erforderlich
}5. Zus?tzliche Best Practices für Sicherheitsversicherungen
- ? Verwenden Sie HTTPS : Servieren Sie immer APIs über HTTPS, um die Token w?hrend des Transports zu schützen.
- ? Setzen Sie einen kurzen Token -Ablauf : Reduzieren Sie das Expositionsfenster, wenn ein Token gestohlen wird.
- ? Token auffrischen : Verwenden Sie einen Refresh-Token-Mechanismus, um Zugangsantriebs-Token ohne Wiederbelebung neu auszugeben.
- ? Rate Limiting : Verhindern Sie Brute-Force-Angriffe mit Werkzeugen wie
Bucket4joderSpring Cloud Gateway. - ? Vermeiden Sie Protokollierungstoken : Stellen Sie sicher, dass Token nicht versehentlich in Serverprotokollen angemeldet sind.
Zusammenfassung
Um REST -APIs in Java mit Frühlingssicherheit zu sichern:
- Deaktivieren Sie CSRF und verwenden Sie Staatenlose Sitzungen.
- Verwenden Sie JWT zur Authentifizierung anstelle von Sitzungen.
- Validieren Sie die Token über einen benutzerdefinierten Filter.
- Erzwingen Sie die Zugriffskontrolle mit Methode oder Sicherheit auf Pfadebene.
- Befolgen Sie die Best Practices (HTTPS, kurzlebige Token usw.).
Mit diesem Setup sind Ihre REST -APIs sowohl sicher als auch skalierbar - perfekt für Spas, mobile Apps oder Microservices.
Grunds?tzlich ist es nicht komplex, wenn Sie den Fluss erhalten: Authentifizieren Sie einmal, holen Sie sich ein Token und beweisen Sie die Identit?t auf jeder Anfrage ohne Sitzungen.
Das obige ist der detaillierte Inhalt vonSicherung von REST -APIs in Java mithilfe der Frühlingssicherheit. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!
Hei?e KI -Werkzeuge
Undress AI Tool
Ausziehbilder kostenlos
Undresser.AI Undress
KI-gestützte App zum Erstellen realistischer Aktfotos
AI Clothes Remover
Online-KI-Tool zum Entfernen von Kleidung aus Fotos.
Clothoff.io
KI-Kleiderentferner
Video Face Swap
Tauschen Sie Gesichter in jedem Video mühelos mit unserem v?llig kostenlosen KI-Gesichtstausch-Tool aus!
Hei?er Artikel
Hei?e Werkzeuge
Notepad++7.3.1
Einfach zu bedienender und kostenloser Code-Editor
SublimeText3 chinesische Version
Chinesische Version, sehr einfach zu bedienen
Senden Sie Studio 13.0.1
Leistungsstarke integrierte PHP-Entwicklungsumgebung
Dreamweaver CS6
Visuelle Webentwicklungstools
SublimeText3 Mac-Version
Codebearbeitungssoftware auf Gottesniveau (SublimeText3)
Hei?e Themen
1597
29
1488
72
Aufbau erholsamer APIs in Java mit Jakarta EE
Jul 30, 2025 am 03:05 AM
Setupamaven/GradleProjectWithjax-rsdependencies-?hnlich Jersey; 2. CreatearestresourcEUntationSuchas@pathand@Get; 3.ConfiguretheApplicationviaApplicationSubclitsorweb.xml;
Ein Entwicklerleitfaden für Java Project Management zu Maven für Java
Jul 30, 2025 am 02:41 AM
Maven ist ein Standardwerkzeug für Java -Projektmanagement und -aufbau. Die Antwort liegt in der Tatsache, dass Pom.xml verwendet wird, um Projektstruktur, Abh?ngigkeitsmanagement, Konstruktionslebenszyklusautomation und Plug-in-Erweiterungen zu standardisieren. 1. Verwenden Sie POM.xml, um Gruppen, Artefaktid, Version und Abh?ngigkeiten zu definieren; 2. Master -Kernbefehle wie MVNClean, Compile, Test, Paket, Installation und Bereitstellen; Fn. V. 5.
CSS -Beispiel für Dunkelmodus umschalten
Jul 30, 2025 am 05:28 AM
Verwenden Sie zun?chst JavaScript, um die Einstellungen für Benutzersysteme und lokal gespeicherte Themeneinstellungen zu erhalten und das Seitenthema zu initialisieren. 1. Die HTML -Struktur enth?lt eine Schaltfl?che zum Ausl?sen von Themenwechsel. 2. CSS verwendet: root, um helle Themenvariablen zu definieren, .Dark-Mode-Klasse definiert dunkle Themenvariablen und wendet diese Variablen über var () an. 3.. JavaScript erkennt bevorzuge-farbige Scheme und liest LocalStorage, um das ursprüngliche Thema zu bestimmen. 4. Schalten Sie die Dark-Mode-Klasse im HTML-Element beim Klicken auf die Schaltfl?che und speichern Sie den aktuellen Status vor LocalStorage. 5. Alle Farb?nderungen werden mit einer übergangsanimation von 0,3 Sekunden begleitet, um den Benutzer zu verbessern
CSS -Dropdown -Menü Beispiel
Jul 30, 2025 am 05:36 AM
Ja, ein gemeinsames CSS-Dropdown-Menü kann mit reinem HTML und CSS ohne JavaScript implementiert werden. 1. Verwenden Sie verschachtelte UL und Li, um eine Menüstruktur zu erstellen. 2. Verwenden Sie die: Hover Pseudo-Klasse, um die Anzeige und das Verstecken von Pulldown-Inhalten zu steuern. 3.. Setzen Sie Position: Relativ für Eltern -Li, und das Untermenü wird unter Verwendung von Position positioniert: absolut; 4. Das untergeordnete Standards ist angezeigt: Keine, die angezeigt wird: Block, wenn sie schwebend sind; 5. Multi-Level-Pulldown kann durch Verschachtelung, kombiniert mit dem übergang und Fade-In-Animationen erzielt und an mobile Terminals mit Medienabfragen angepasst werden. Die gesamte L?sung ist einfach und erfordert keine JavaScript -Unterstützung, was für gro?e geeignet ist
Wie benutze ich Java Messagedigest für Hashing (MD5, SHA-256)?
Jul 30, 2025 am 02:58 AM
Um Hash -Werte mit Java zu generieren, kann es über die MessagedIGest -Klasse implementiert werden. 1. Holen Sie sich eine Instanz des angegebenen Algorithmus wie MD5 oder SHA-256; 2. Rufen Sie die Methode .update () auf, um die zu verschlüsselnden Daten zu übergeben. 3. Nennen Sie die Methode .Digest (), um ein Hash -Byte -Array zu erhalten. 4. Umwandeln Sie das Byte -Array in eine hexadezimale Zeichenfolge zum Lesen; Lesen Sie für Eingaben wie gro?e Dateien in Stücken und rufen Sie .update () mehrmals auf. Es wird empfohlen, SHA-256 anstelle von MD5 oder SHA-1 zu verwenden, um die Sicherheit zu gew?hrleisten.
Python Parse Datum String Beispiel
Jul 30, 2025 am 03:32 AM
Verwenden Sie datetime.strptime (), um Datumszeichenfolgen in DateTime -Objekt umzuwandeln. 1. Grundnutzung: Analyse "2023-10-05" als DateTime-Objekt über "%y-%M-%d"; 2. unterstützt mehrere Formate wie "%M/%d/%y", um amerikanische Daten zu analysieren, "%d/%m/%y", um britische Daten zu analysieren ",%b%d,%y%i:%m%p", um die Zeit mit AM/PM zu analysieren; 3.. Verwenden Sie DateUtil.Parser.Parse (), um unbekannte Formate automatisch zu schlie?en; 4. Verwenden Sie .D
VSCODE Settings.json Standort
Aug 01, 2025 am 06:12 AM
Die Datei "Settings.JSON" befindet sich auf dem Pfad auf Benutzerebene oder Arbeitsbereichsebene und wird verwendet, um die VSCODE-Einstellungen anzupassen. 1. Benutzer-Level-Pfad: Windows ist C: \ Benutzer \\ AppData \ Roaming \ Code \ User \ Settings.json, MacOS is /users//library/applicationsupport/code/user/settings.json, Linux is /home/.config/code/usser/setings.json; 2. Pfad auf Arbeitsbereichsebene: .VSCODE/Einstellungen im Projekt Root Directory
Sublime Text automatisch HTML -Tags schlie?en
Jul 30, 2025 am 02:41 AM
Durch die Installation des EMMET-Plug-Ins k?nnen Sie das intelligente automatische Schlie?en von Tags erreichen und die Abkürzungssyntax unterstützen. 2. Aktivieren Sie "auto_match_enabled": true, damit Sublime einfache Tags automatisch vervollst?ndigen kann. 3. Verwenden Sie Alt. (Gewinn) oder Strg -Verschiebung. (MAC) Verknüpfungsschlüssel zum manuellen Schlie?en des aktuellen Tags - Es wird empfohlen, Emmet im t?glichen Leben zu verwenden. Die beiden letztgenannten Methoden k?nnen kombiniert werden, was effizient und einfach eingestellt ist.
