Verwenden Sie Spring Security und JWT, um eine sichere Authentifizierung und Autorisierung der REST-API in Java zu implementieren, die für staatenlose und skalierbare Architekturen wie Microservices, mobile Anwendungen und einseitige Anwendungen geeignet sind. 2. Fügen Sie zuerst Spring Boot Web, Spring Security und JJW -Abh?ngigkeiten in pom.xml hinzu; 3. Erstellen Sie Benutzer- und LoginRequest -Modellklassen für Benutzerinformationen und Anmeldungsanforderungen. V. 5. Konfigurieren Sie die Sicherheitsconfig -Klasse, um CSRF zu deaktivieren, die Richtlinien für die staatenlose Sitzung festlegen, die Authentifizierungsschnittstelle freigeben und JWT -Filter registrieren. 6. Implementieren Sie den JWTrequestFilter -Filter, um JWT aus dem Autorisierungsheader zu extrahieren und zu überprüfen, und legen Sie den Authentifizierungskontext fest, wenn er gültig ist. 7. Erstellen Sie einen AuthController, um eine /authentifizierte Anmeldestellung bereitzustellen, und geben Sie das JWT -Token zurück, nachdem Sie die Anmeldeinformationen überprüft haben. 8. Definieren Sie geschützte API -Endpunkte wie /gesichert, auf die nur zugegriffen werden kann, wenn auf die Anforderung einen gültigen Tr?gertoken enth?lt. 9. Zu den besten Verfahren geh?ren die Verwendung von HTTPS, sichere Speicher-Token, die Einstellung einer kurzen Ablaufzeit und die Koordinierung mit Aktualisierungstoken, die Priorisierung der Verwendung von RS256-Algorithmus, überprüfung der Token-Deklarationen und die Begrenzung der H?ufigkeit von Anmeldestellgrenztern, um Brute-Force-Risse zu verhindern. Durch die ordnungsgem??e Vermittlung der API und nach Sicherheitsspezifikationen stellt diese L?sung die Staatenlosigkeit, Sicherheit und hohe Skalierbarkeit der API sicher.
Die Sicherung von REST -APIs in Java unter Verwendung von Spring Security und JWT ist eine h?ufige Voraussetzung für moderne Webanwendungen, insbesondere beim Aufbau eines aufstandslosen, skalierbaren Backends. Hier finden Sie eine praktische Anleitung zur Implementierung einer sicheren Authentifizierung und Autorisierung mit Spring Security und JSON Web Tokens (JWT).
Warum Spring Security JWT verwenden?
Spring Security bietet einen leistungsstarken und ma?geschneiderten Rahmen für die Behandlung von Authentifizierung und Autorisierung in Java -Anwendungen. In Kombination mit JWT erm?glicht es eine staatenlose Authentifizierung , sodass der Server keine Sitzungsdaten speichern muss. Stattdessen enth?lt jede Anfrage ein signiertes Token, das die Identit?t des Benutzers beweist.
Dies ist ideal für:
- Microservices Architekturen
- Mobile und einseitige Anwendungen (SPAs)
- APIs, die horizontal skalieren müssen
Schritt 1: Abh?ngigkeiten einrichten
Fügen Sie die erforderlichen Abh?ngigkeiten in Ihr pom.xml (für Maven) hinzu:
<Depecies>
<De vorangehen>
<gruppeID> org.springframework.boot </Groupid>
<artifactid> Spring-Boot-Starter-Web </artifactid>
</abh?ngig>
<De vorangehen>
<gruppeID> org.springframework.boot </Groupid>
<artifactid> Spring-Boot-Starter-Security </artifactid>
</abh?ngig>
<De vorangehen>
<gruppeID> io.jsonWebtoken </Groupid>
<artifactid> jjwt-api </artifactid>
<version> 0.11.5 </Version>
</abh?ngig>
<De vorangehen>
<gruppeID> io.jsonWebtoken </Groupid>
<artifactid> jjwt-impl </artifactid>
<version> 0.11.5 </Version>
<Scope> Laufzeit </Scope>
</abh?ngig>
<De vorangehen>
<gruppeID> io.jsonWebtoken </Groupid>
<artifactid> jjwt-jackson </artifactid>
<version> 0.11.5 </Version>
<Scope> Laufzeit </Scope>
</abh?ngig>
</Abh?ngigkeiten>Schritt 2: Erstellen Sie Benutzermodell und Authentifizierungsanforderung
Definieren Sie ein einfaches Benutzermodell und login DTO an:
Benutzer der ?ffentlichen Klasse {
privater String -Benutzername;
privates Zeichenfolgenkennwort;
// Konstruktoren, Getters, Setters
} LoginRequest der ?ffentlichen Klasse {
privater String -Benutzername;
privates Zeichenfolgenkennwort;
// Getter und Setzer
}Schritt 3: JWT erzeugen und validieren
Erstellen Sie eine Versorgungsklasse, um Token zu generieren und zu analysieren:
@Komponente
?ffentliche Klasse jwtutil {
private String screy_key = "Ihr Seetkret-Key"; // Umgebungsvariable oder Keystore in der Produktion verwenden
public String GeneratEToken (UserDetails UserDetails) {
return jwts.builder ()
SETSUBJECT (userDetails.getUnername ())
.setISEDAT (neues Datum ())
.setExpiration (neues Datum (System.currentTimemillis () 1000 * 60 * 60 * 10)) // 10 Stunden
.Signwith (SignatureAlgorithm.HS256, Secret_key)
.kompakt();
}
public boolean validatEToken (String Token, UserDetails UserDetails) {
Final String userername = extractUserName (Token);
return (userername.equals (userDetails.getUnername ()) &&! isTokenExpired (token));
}
public String extractUnername (String Token) {
return jwts.parser ().
}
private boolean isTokenexpired (String Token) {
return jwts.parser (). setSigningKey (secry_key) .ParSeclaimsjws (token) .getBody (). getExpiration () vor (neuer Datum ());
}
}? Sicherheitstipp : Niemals den geheimen Schlüssel harte. Verwenden Sie
@Value("${jwt.secret}")mit Umgebungsvariablen oder einem sicheren Schlüsselverwaltungssystem.
Schritt 4: Konfigurieren Sie die Spring Security
Erstellen Sie eine Sicherheitskonfigurationsklasse:
@Konfiguration
@EnableWebecurity
?ffentliche Klasse SecurityConfig {
@Autowired
private userdetailsService userDetailsService;
@Autowired
Privat JwTrequestFilter JwTrequestFilter;
@Bohne
public passwayEncoder passwordEncoder () {
Neue bcryptPasswordEnCoder () zurückgeben;
}
@Bohne
public AuthenticationManager AuthenticationManager (AuthenticationConfiguration config) l?st Ausnahme {
return config.getAuthenticationManager ();
}
@Bohne
Protected SecurityFilterChain Filterchain (httpecurity http) l?st Ausnahme {
http.csrf (). Disable ())
.AuthorizeHttprequests (Auth -> Auth
.RequestMatchers ("/authenticate"). erlaubtenAll ()
.anyRequest (). authentifiziert ()
)
.
http.addFilterBefore (jwtrequestFilter, usernamePasswordAuthenticationFilter.Class);
return http.build ();
}
}Schritt 5: Implementieren Sie den JWT -Filter
Erstellen Sie einen Filter, um eingehende Anforderungen abzufangen und die JWT zu validieren:
@Komponente
Public Class JwTrequestFilter erstreckt sich einst einPerRequestFilter {
@Autowired
private userdetailsService userDetailsService;
@Autowired
Privat JWTUTIL JWTUTIL;
@Override
Protected Void Dofilterinternal (httpServletRequest -Anforderung, HttpServletResponse -Antwort, Filterchain -Kette)
l?st ServletException aus, ioException {
Final String AuthorizationHeader = Request.Getheader ("Autorisierung");
String username = null;
String jwt = null;
if (AuthorizationHeader! = NULL && AuthorizationHeader
Jwt = AuthorizationHeader.substring (7);
userername = jwtutil.extractractusername (jwt);
}
if (Benutzername! = NULL && SecurityContextHolder.getContext ().
UserDetails userDetails = this.userDetailsService.loadUserByUserName (Benutzername);
if (jwtutil.validatetoken (jwt, userdetails)) {
UserernamepasswordAuthenticationToken authToken = new usernamepasswordAuthenticationToken (
UserDetails, Null, userDetails.getAuthorities ());
AuthToken.SetDetails (neue WebAuthenticationDetailsSource (). BuildDetails (Anfrage));
SecurityContextHolder.getContext (). SetAuthentication (authToken);
}
}
chain.dofilter (Anfrage, Antwort);
}
}Schritt 6: Authentifizierungsendpunkt erstellen
Entdecken Sie einen Endpunkt, um ein Token beim Login zu generieren:
@Restcontroller
public class authcontroller {
@Autowired
Private AuthenticationManager AuthenticationManager;
@Autowired
private userdetailsService userDetailsService;
@Autowired
Privat JWTUTIL JWTUTIL;
@Postmapping ("/authenticate")
public responseentity <?> createAuthenticationToken (@RequestBody LoginRequest LoginRequest) l?st Ausnahme {aus {
versuchen {
AuthenticationManager.Authenticate (
Neue usernamepasswordAuthenticationToken (loginRequest.getUnername (), loginRequest.getPassword ())
);
} catch (badcredentialSexception e) {
Neue Ausnahme ("falscher Benutzername oder Passwort", e);
}
endgültige userDetails userDetails = userDetailsService.loadUserByUserName (loginRequest.getUnername ());
endgültige Zeichenfolge jwt = jwtutil.generatetoken (userDetails);
return responseentity.ok (New JwTeRsponse (JWT));
}
}Und die Antwort DTO:
?ffentliche Klasse jwTresponse {
privates String -Token;
public JWTresponse (String Token) {
this.token = token;
}
// Getter
}Schritt 7: Testen Sie die gesicherte API
Jeder andere Endpunkt als /authenticate erfordert nun ein gültiges JWT:
@Restcontroller
Demokontroller der ?ffentlichen Klasse {
@Getmapping ("/gesichert")
public String Segeedendpoint () {
Rückkehr "Hallo, du bist authentifiziert!";
}
} Um Zugang zu /secured , schlie?en Sie den Header ein:
Autorisierung: Tr?ger <Your-Jwt-token>
Best Practices und Sicherheitstipps
- ? HTTPS in der Produktion verwenden
- ? Store JWTS sicher auf dem Client (meiden Sie nach M?glichkeit
localStorage; bevorzugen SiehttpOnly-Cookies für Web -Apps). - ? Setzen Sie die kurzen Ablaufzeiten und implementieren Sie Aktualisierungstoken
- ? Verwenden Sie starke Geheimnisse oder RSA -Schlüssel (RS256 anstelle von HS256 für eine bessere Schlüsseltrennung)
- ? Validieren Sie Emittent, Publikum und Ansprüche in der Produktion
- ? Endpunkte der Rate-Limit-Authentifizierung, um Brute-Force-Angriffe zu verhindern
Abschluss
Spring Security mit JWT bietet Ihnen eine robuste Grundlage für die Sicherung von REST -APIs in Java. W?hrend das Setup mehrere Komponenten umfasst - Filter, Token -Generierung und Konfiguration - ist das Muster wiederverwendbar und passt gut zu modernen Anwendungsarchitekturen.
Mit dem richtigen Schlüsselmanagement und Token -Handhabung h?lt dieser Ansatz Ihre APIs sicher, zustandsfrei und skalierbar.
Verdrehen Sie im Grunde den Filter einfach, schützen Sie Ihre Endpunkte und validieren Sie auf jeder Anfrage Token - und Sie k?nnen loslegen.
Das obige ist der detaillierte Inhalt vonSicherung von REST -APIs in Java mit Frühlingssicherheit und JWT. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!
Hei?e KI -Werkzeuge
Undress AI Tool
Ausziehbilder kostenlos
Undresser.AI Undress
KI-gestützte App zum Erstellen realistischer Aktfotos
AI Clothes Remover
Online-KI-Tool zum Entfernen von Kleidung aus Fotos.
Clothoff.io
KI-Kleiderentferner
Video Face Swap
Tauschen Sie Gesichter in jedem Video mühelos mit unserem v?llig kostenlosen KI-Gesichtstausch-Tool aus!
Hei?er Artikel
Hei?e Werkzeuge
Notepad++7.3.1
Einfach zu bedienender und kostenloser Code-Editor
SublimeText3 chinesische Version
Chinesische Version, sehr einfach zu bedienen
Senden Sie Studio 13.0.1
Leistungsstarke integrierte PHP-Entwicklungsumgebung
Dreamweaver CS6
Visuelle Webentwicklungstools
SublimeText3 Mac-Version
Codebearbeitungssoftware auf Gottesniveau (SublimeText3)
Hei?e Themen
1597
29
1488
72
Was ist der Typ 'Enum' in Java?
Jul 02, 2025 am 01:31 AM
Enums in Java sind spezielle Klassen, die eine feste Anzahl konstanter Werte darstellen. 1. Verwenden Sie die Definition der Enum -Schlüsselwort. 2. Jeder Enumswert ist eine ?ffentliche statische endgültige Instanz des Enumentyps; 3.. Es kann Felder, Konstruktoren und Methoden enthalten, um jeder Konstante Verhalten zu verleihen. 4.. Es kann in Switch-Anweisungen verwendet werden, unterstützt direkten Vergleich und liefert integrierte Methoden wie name (), ordinal (), values ??() und valueOf (); 5. Aufz?hlung kann die Sicherheit, Lesbarkeit und Flexibilit?t des Codes vom Typ verbessern und eignet sich für begrenzte Sammlungsszenarien wie Statuscodes, Farben oder Woche.
Was ist das Prinzip der Schnittstellensegregation?
Jul 02, 2025 am 01:24 AM
Das Interface -Isolationsprinzip (ISP) erfordert, dass Kunden nicht auf nicht verwendete Schnittstellen angewiesen sind. Der Kern soll gro?e und komplette Schnittstellen durch mehrere kleine und raffinierte Schnittstellen ersetzen. Zu den Verst??en gegen dieses Prinzip geh?ren: Eine unimplementierte Ausnahme wurde ausgel?st, wenn die Klasse eine Schnittstelle implementiert, eine gro?e Anzahl ungültiger Methoden implementiert und irrelevante Funktionen gewaltsam in dieselbe Schnittstelle eingeteilt werden. Zu den Anwendungsmethoden geh?ren: Dividieren von Schnittstellen nach gemeinsamen Methoden, unter Verwendung von Split-Schnittstellen entsprechend den Clients und bei der Verwendung von Kombinationen anstelle von Mehrwertimplementierungen bei Bedarf. Teilen Sie beispielsweise die Maschinenschnittstellen mit Druck-, Scan- und Faxmethoden in Drucker, Scanner und Faxmaachine auf. Regeln k?nnen angemessen entspannt werden, wenn alle Methoden für kleine Projekte oder alle Kunden angewendet werden.
Asynchrone Programmierungstechniken in modernen Java
Jul 07, 2025 am 02:24 AM
Java unterstützt asynchrone Programmierungen, einschlie?lich der Verwendung von Vervollst?ndigungsfuture, reaktionsschnellen Streams (wie Projecreactor) und virtuellen Threads in Java19. 1.CompletableFuture verbessert die Code -Lesbarkeit und -wartung durch Kettenaufrufe und unterstützt Aufgabenorchestrierung und Ausnahmebehandlung. 2. Projecreactor bietet Mono- und Flusstypen zur Implementierung der reaktionsschnellen Programmierung mit Backpressure -Mechanismus und reichhaltigen Operatoren. 3.. Virtuelle Themen senken die Parallelit?tskosten, sind für E/O-intensive Aufgaben geeignet und sind leichter und leichter zu erweitern als herk?mmliche Plattformf?den. Jede Methode hat anwendbare Szenarien, und entsprechende Tools sollten entsprechend Ihren Anforderungen ausgew?hlt werden, und gemischte Modelle sollten vermieden werden, um die Einfachheit aufrechtzuerhalten
Unterschiede zwischen Callable und Runnable in Java
Jul 04, 2025 am 02:50 AM
Es gibt drei Hauptunterschiede zwischen Callable und Runnable in Java. Zun?chst kann die Callable -Methode das Ergebnis zurückgeben, das für Aufgaben geeignet ist, die Werte wie Callable zurückgeben müssen. W?hrend die Run () -Methode von Runnable keinen Rückgabewert hat, geeignet für Aufgaben, die nicht zurückkehren müssen, z. B. die Protokollierung. Zweitens erm?glicht Callable überprüfte Ausnahmen, um die Fehlerübertragung zu erleichtern. w?hrend laufbar Ausnahmen innen verarbeiten müssen. Drittens kann Runnable direkt an Thread oder Executorservice übergeben werden, w?hrend Callable nur an ExecutorService übermittelt werden kann und das zukünftige Objekt an zurückgibt
Best Practices für die Verwendung von Enums in Java
Jul 07, 2025 am 02:35 AM
In Java eignen sich Enums für die Darstellung fester konstanter Sets. Zu den Best Practices geh?ren: 1. Enum verwenden, um festen Zustand oder Optionen zur Verbesserung der Sicherheit und der Lesbarkeit der Art darzustellen; 2. Fügen Sie ENUs Eigenschaften und Methoden hinzu, um die Flexibilit?t zu verbessern, z. B. Felder, Konstruktoren, Helfermethoden usw.; 3. Verwenden Sie ENUMMAP und Enumset, um die Leistung und die Typensicherheit zu verbessern, da sie basierend auf Arrays effizienter sind. 4. Vermeiden Sie den Missbrauch von Enums, wie z. B. dynamische Werte, h?ufige ?nderungen oder komplexe Logikszenarien, die durch andere Methoden ersetzt werden sollten. Die korrekte Verwendung von Enum kann die Codequalit?t verbessern und Fehler reduzieren. Sie müssen jedoch auf seine geltenden Grenzen achten.
Java Nio und seine Vorteile verstehen
Jul 08, 2025 am 02:55 AM
Javanio ist ein neuer IOAPI, der von Java 1.4 eingeführt wurde. 1) richtet sich an Puffer und Kan?le, 2) enth?lt Puffer-, Kanal- und Selektorkomponenten, 3) unterstützt den nicht blockierenden Modus und 4) verhandelt gleichzeitiger Verbindungen effizienter als herk?mmliches IO. Die Vorteile spiegeln sich in: 1) Nicht blockierender IO reduziert den überkopf der Gewinde, 2) Puffer verbessert die Datenübertragungseffizienz, 3) Selektor realisiert Multiplexing und 4) Speicherzuordnungsgeschwindigkeit des Lesens und Schreibens von Dateien. Beachten Sie bei Verwendung: 1) Der Flip/Clear -Betrieb des Puffers ist leicht verwirrt zu sein, 2) unvollst?ndige Daten müssen manuell ohne Blockierung verarbeitet werden, 3) Die Registrierung der Selektor muss rechtzeitig storniert werden, 4) NIO ist nicht für alle Szenarien geeignet.
Untersuchung verschiedener Synchronisationsmechanismen in Java
Jul 04, 2025 am 02:53 AM
JavaprovidesMultiPLesynchronizationToolsForthreadsafety.1.SynchronizedblocksensuremutualexclusionByLockingMethodSorspecificcodesction.2.REENNRANTLANTLOCKOFFERSADVEDCONTROL, einschlie?lich TrylockandfairnessPolicies.
Wie Java -Klassenloader intern funktionieren
Jul 06, 2025 am 02:53 AM
Der Klassenladermechanismus von Java wird über den Classloader implementiert und sein Kernworkflow ist in drei Stufen unterteilt: Laden, Verknüpfung und Initialisierung. W?hrend der Ladephase liest Classloader den Bytecode der Klasse dynamisch und erstellt Klassenobjekte. Zu den Links geh?ren die überprüfung der Richtigkeit der Klasse, die Zuweisung von Ged?chtnissen für statische Variablen und das Parsen von Symbolreferenzen; Die Initialisierung führt statische Codebl?cke und statische Variablenzuordnungen durch. Die Klassenbelastung übernimmt das übergeordnete Delegationsmodell und priorisiert den übergeordneten Klassenlader, um Klassen zu finden, und probieren Sie Bootstrap, Erweiterung und ApplicationClassloader. Entwickler k?nnen Klassenloader wie URLASSL anpassen
