Verwenden Sie Spring Security für robuste, standardm??ige Authentifizierung und Autorisierung in Java-Webanwendungen. 2. Implementieren Sie die Authentifizierung über ein formbasiertes Anmeldung oder JWT für staatslose APIs und stellen Sie sicher, dass Kennw?rter mit Bcrypt und Token sicher verwaltet werden. 3. Anwenden Sie die Autorisierung anhand von Kontrollen auf URL-Ebene und Methodenebene (z. B. @Preauthorize) an, um den Zugriff auf der Grundlage von Rollen oder Bedingungen einzuschr?nken. 4. Befolgen Sie die Best Practices der Sicherheit, einschlie?lich HTTPS, sichere Cookies, Eingabevalidierung, CSRF -Schutz und Ratenbegrenzung. 5. Vermeiden Sie ma?gefertigte Authentifizierungsmechanismen, es sei denn, sie sind unbedingt notwendig, da sie fehleranf?llige und integrierte Schutzma?nahmen haben. Frühlingssicherheit bleibt die empfohlene L?sung für sichere, skalierbare und aufrechterhaltene Sicherheitsimplementierung in Java -Web -Apps.

Die Implementierung der Authentifizierung und Autorisierung in einer Java -Webanwendung ist wichtig, um den Zugriff auf Ressourcen zu sichern und sicherzustellen, dass nur legitime Benutzer bestimmte Ma?nahmen ausführen k?nnen. Unabh?ngig davon, ob Sie eine einfache Web-App oder ein vollwertiges Unternehmenssystem erstellen, finden Sie dies effektiv mit Standard-Java-Technologien und -Rahmenbedingungen.

1. W?hlen Sie das richtige Framework: Frühlingssicherheit (empfohlen)

W?hrend Sie Sicherheit mit Servlet -Filtern und Sitzungsmanagement manuell implementieren k?nnen , ist Spring Security der De -facto -Standard für die Authentifizierung und Autorisierung in Java -Web -Apps. Es integriert nahtlos in Spring Boot und bietet robuste, konfigurierbare Sicherheitsfunktionen au?erhalb der Box.

Warum Frühlingssicherheit?

• Verarbeitet Authentifizierung, Autorisierung, Sitzungsmanagement, CSRF -Schutz usw.
• Unterstützt mehrere Authentifizierungsmethoden (Formular Login, OAuth2, JWT, LDAP usw.)
• Feink?rnige Zugangskontrolle über Anmerkungen wie @PreAuthorize
• Aktive Gemeinschaft und umfangreiche Dokumentation

Zu pom.xml (für Maven) hinzufügen:

 <De vorangehen>
    <gruppeID> org.springframework.boot </Groupid>
    <artifactid> Spring-Boot-Starter-Security </artifactid>
</abh?ngig>

2. Einrichten der Authentifizierung: Wie sich Benutzer anmelden

Die Authentifizierung überprüft, wer der Benutzer ist. Gemeinsame Ans?tze:

Formularbasiertes Login (einfacher Benutzername/Passwort)

Spring Security bietet Standard -Anmeldeformulare oder erm?glicht es Ihnen, Ihre eigenen anzupassen.

Beispielkonfiguration:

 @Konfiguration
@EnableWebecurity
?ffentliche Klasse SecurityConfig {

    @Bohne
    Public SecurityFilterChain Filterchain (Httpecurity http) l?st eine Ausnahme {aus {
        http
            .AuthorizeHttprequests (Authz -> Authz
                .RequestMatchers ("/public/**"). erlaubtenAll ()
                .requestMatchers ("/admin/**"). HasRole ("admin")
                .anyRequest (). authentifiziert ()
            )
            .Formlogin (Form -> Form
                .LoginPage ("/login")
                .Permitall ()
                .DefaultSuccessurl ("/home")
            )
            .Logout (logout -> logout.permitall ());
        return http.build ();
    }

    @Bohne
    public userDetailsService userDetailsService () {
        UserDetails user = user.withDefaultPasswordEncoder ()
            .Unername ("Benutzer")
            .Password ("Passwort")
            .roles ("Benutzer")
            .bauen();

        UserDetails admin = user.withDefaultPasswordEncoder ()
            .Unername ("admin")
            .Password ("admin")
            .roles ("admin")
            .bauen();

        Neue InMemoryUserDetailsManager (Benutzer, Administrator) zurückgeben;
    }
}

?? HINWEIS: Verwenden Sie in der Produktion niemals withDefaultPasswordEncoder() . Verwenden Sie stattdessen Bcrypt.

JWT (Staatelose Authentifizierung)

Verwenden Sie für REST -APIs oder Microservices JWT (JSON Web Tokens) anstelle von Sitzungen.

Schritte:

• Benutzer melden sich mit Anmeldeinformationen an.
• Der Server best?tigt und gibt einen signierten JWT zurück.
• Der Kunde sendet JWT in Authorization: Bearer <token> Header.
• Der Server überprüft Token in jeder Anfrage.

Verwenden Sie Bibliotheken wie JJWT :

 <De vorangehen>
    <gruppeID> io.jsonWebtoken </Groupid>
    <artifactid> jjwt-api </artifactid>
    <version> 0.11.5 </Version>
</abh?ngig>

Erstellen Sie einen Filter, um Anforderungen abzufangen und JWT -Token zu validieren.

3. Implementieren Sie die Autorisierung: Was Benutzer tun k?nnen

Die Autorisierung bestimmt, was ein authentifizierter Benutzer tun darf.

Sicherheit auf URL-Ebene

Beschr?nken Sie den Zugriff anhand von URL -Mustern:

 .AuthorizeHttprequests (Authz -> Authz
    .requestMatchers ("/admin/**"). HasRole ("admin")
    .requestMatchers ("/profile"). authenticated ()
    .anyRequest (). GenehmigungAll ()
)

Sicherheit auf Methodenebene

Verwenden Sie Anmerkungen wie @PreAuthorize :

 @Service
Public Class Userservice {

    @Preauthorize ("HasRole ('admin') oder #Userid == Authentifizierung.principal.id"))
    ?ffentlicher Benutzer getUser (int userId) {
        // Nur Admin oder Selbst kann zugreifen
    }
}

Aktivieren Sie die Sicherheit auf Methodenebene:

 @Konfiguration
@EnablemethodSecurity
?ffentliche Klasse SecurityConfig {...}

4.. Sicherste Best Practices

• ? Verwenden Sie HTTPS in der Produktion, um Anmeldeinformationen und Token zu schützen.
• ? Hash -Passw?rter mit starken Algorithmen wie Bcrypt .
• ? Validieren und Desinfizieren von Inputs, um Injektionsangriffe zu verhindern.
• ? Stellen Sie sichere Cookie -Flags (httponly, sicher, samesit) ein.
• ? Umsetzung der Ratenbeschr?nkung , um Brute-Force-Angriffe zu verhindern.
• ? Verwenden Sie den CSRF -Schutz für staatliche Sitzungen (standardm??ig in der Frühjahrssicherheit aktiviert).

5. Alternative: Benutzerdefinierte Authentifizierung (für die meisten F?lle nicht empfohlen)

Sie k?nnen die Authentifizierung manuell mit:

• Servlet -Filter
• HttpSession , um angemeldete Benutzer zu verfolgen
• Benutzerdefinierte Login -Servlets

Dieser Ansatz ist jedoch fehleranf?llig und fehlt ein integrierter Schutz. Betrachten Sie es nur für sehr bestimmte Verm?chtnisbedürfnisse.

Beispiel Filter -Snippet:

 public void dofilter (ServletRequest Req, ServletResponse Res, Filterchain -Kette) {
    HttpServletRequest request = (httpServletRequest) req;
    HttpServletResponse response = (httpServletResponse) res;

    if (request.getSession (). getatTribute ("user") == null) {
        response.sendredirect ("/login");
        zurückkehren;
    }
    chain.dofilter (Anfrage, Antwort);
}

Bevorzugen Sie erneut die Sicherheit von Frühling, es sei denn, Sie haben einen starken Grund, dies nicht zu tun.

Letzte Notizen

• Für einfache Apps: Frühlingssicherheit in Memory- oder Datenbankbenutzern
• Für APIs: Frühlingssicherheit JWT Stateless Setup
• Für die soziale Anmeldung: Frühlingssicherheit OAuth2 / OpenID Connect

Verwenden Sie im Grunde die Spring Security, konfigurieren Sie sie ordnungsgem??, Hash -Passw?rter und best?tigen Sie immer, wer auf was zugreifen kann. Es ist nicht trivial, aber es richtig macht, um Ihre App sicher zu machen.

Das obige ist der detaillierte Inhalt vonImplementierung der Authentifizierung und Autorisierung in einer Java -Web -App. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!