Deaktivieren Sie Sitzungen und CSRF, verwenden Sie SessioncreationPolicy.Stateless und CSRF (). Disable (), um ruh-freundliche Sicherheit zu erreichen; 2. Verwenden Sie JWT für die staatenlose Authentifizierung, generieren und überprüfen Sie Token, die Benutzerrollen und Ablaufzeit über JWTUTIL enthalten. 3.. Erstellen Sie JwtauthenticationFilter, um Anfragen abzufangen, Bearer -Token in der Autorisierungsheader zu analysieren und Authentifizierungsinformationen nach der überprüfung in SecurityContexTHolder zu speichern. 4. Verwenden Sie @PreeAuthorize ("HasRole ('admin')) und andere Anmerkungen, um eine rollenbasierte Zugriffskontrolle zu implementieren und die Sicherheit auf Methodenebene durch @EnableGlobalMethodSecurity (prepostieren = true) zu aktivieren. 5. Geben Sie eine Login -Schnittstelle/eine Anmeldung an und geben Sie das JWT -Token nach erfolgreicher Authentifizierung durch AuthenticationManager zurück. Verwenden Sie unbedingt HTTPS, sicherer Speicher von Schlüssel, vermeiden Sie LocalStorage -Speicher -Token, überprüfen Sie die Signaturen streng und setzen Sie angemessene Verfallsrichtlinien, um die API -Sicherheit zu gew?hrleisten.

Die Sicherung von Rast -APIs mit Frühlingssicherheit in Java ist nicht nur eine beste Praxis - es ist eine Notwendigkeit. Im Gegensatz zu herk?mmlichen Web -Apps, die auf Sitzungs -Cookies angewiesen sind, sind REST -APIs staatenlos, sodass die Sicherheit anders behandelt werden muss. Hier erfahren Sie, wie Sie es mit Spring Security und Java richtig machen k?nnen (ohne Spring Boot, wenn Sie die XML- oder Pure Java -Konfigurationsroute gehen, obwohl wir uns auf die moderne Java -Konfiguration konzentrieren werden).

1. Aktivieren Sie die Frühlingssicherheit auf unruhige Weise

Stellen Sie mit der Java -Konfiguration die Spring Security ein. Sie müssen die Erstellung von Sitzungen und den CSRF-Schutz deaktivieren, da REST-APIs normalerweise eine tokenbasierte Authentifizierung (wie JWT) verwenden, nicht als Sitzungen.

 @Konfiguration
@EnableWebecurity
?ffentliche Klasse SecurityConfig {

    @Bohne
    Public SecurityFilterChain Filterchain (Httpecurity http) l?st eine Ausnahme {aus {
        http
            .csrf (). Disable () // Nein CSRF für aufstandlose APIs
            .SessionManagement ()
                .
            .Und()
            .AuthorizeHttprequests (Authz -> Authz
                .RequestMatchers ("/api/public/**"). Genehmigung ()
                .RequestMatchers ("/api/admin/**"). HasRole ("admin")
                .anyRequest (). authentifiziert ()
            )
            .httpbasic (). Disable () // nicht ideal für Ruhe; verwenden Token
            .AddFilterBefore (jwtfilter (), userernamepasswordAuthenticationFilter.Class);

        return http.build ();
    }

    @Bohne
    public JwtauthenticationFilter jwtfilter () {
        Return New JwtthenticationFilter ();
    }
}

? Schlüsselpunkte:

• STATELESS Sitzungen verhindern, dass der Frühling JSESSIONID -Cookies erstellt.
• Deaktivieren Sie CSRF , da es sich auf den Sitzungsstatus stützt.
• Verwenden Sie requestMatchers() , um ?ffentliche und gesicherte Endpunkte zu definieren.

2. Verwenden Sie JWT für die staatenlose Authentifizierung

JWT (JSON Web Token) ist perfekt für REST -APIs. Der Client meldet sich einmal an, erh?lt ein Token und sendet es in der Authorization: Bearer <token> Header auf nachfolgende Anfragen.

Generieren Sie JWT (Beispiel Utility)

 ?ffentliche Klasse jwtutil {
    private String secret = "yourupersecretkeyThatisatleast256bitslong";

    public String GeneratEToken (String -Benutzername, Sammlung <? Erweitert GrantedAuthority> Beh?rden) {
        return jwts.builder ()
            SETSUBJECT (Benutzername)
            .Claim ("Beh?rden", Beh?rden.stream ()
                .Map (GrantedAuthority :: GetAuthority)
                .Collect (Sammler.Tolist ()))
            .setISEDAT (neues Datum ())
            .setExpiration (neues Datum (System.currentTimemillis () 86400000) // 24h
            .Signwith (SignatureAlgorithm.HS256, Geheimnis)
            .kompakt();
    }

    public boolean isTokenValid (String Token, String Benutzername) {
        return getUnernameFromToken (Token) .Equals (Benutzername) &&! isTokenExpired (Token);
    }

    public String getUnernamefromToken (String Token) {
        return getClaims (token) .getSubject ();
    }

    Private Ansprüche getClaims (String Token) {
        Return jwts.parser ()
            .SetsigningKey (Geheimnis)
            .Parseclaimsjws (Token)
            .getBody ();
    }

    private boolean isTokenexpired (String Token) {
        return getClaims (token) .GetExpiration () vor (neuer Datum ());
    }
}

?? Halten Sie das Geheimnis sicher - nie in der Produktion. Verwenden Sie Umgebungsvariablen oder Konfigurationsserver.

3. Custom JWT -Authentifizierungsfilter

Sie ben?tigen einen Filter, um eingehende Anforderungen abzufangen, das JWT aus dem Authorization zu extrahieren, zu validieren und die Authentifizierung im Kontext der Frühlingssicherheit festzulegen.

 Public Class JwtauthenticationFilter erstreckt sich einst einen EINRECREPLEQUESTFILTER {

    @Autowired
    Privat JWTUTIL JWTUTIL;

    @Autowired
    private userdetailsService userDetailsService;

    @Override
    Protected void Dofilterinternal (HttpServletRequest -Anfrage,
                                    HttpServletResponse -Antwort,
                                    Filterchain Filterchain) l?st ServletException aus, IoException {

        String token = extractoken (Anfrage);

        if (token! = null && jwtutil.validatetoken (token)) {
            String username = jwtutil.getUnernameFromToken (Token);
            UserDetails userDetails = userDetailsService.loadUserByUserName (Benutzername);

            UserernamepasswordAuthenticationToken Authentifizierung =
                Neue usernamePasswordAuthenticationToken (UserDetails, Null, UserDetails.getAuthorities ());
            Authentifizierung.SetDetails (neue WebAuthenticationDetailsSource (). BuildDetails (Anfrage));

            SecurityContextHolder.getContext (). SetAuthentication (Authentifizierung);
        }

        filterchain.dofilter (Anfrage, Antwort);
    }

    private Zeichenfolge extrahiert (httpServletRequest -Anforderung) {{
        String BearerToken = Request.Getheader ("Autorisierung");
        if (BearerToken!
            return BearerToken.Substring (7);
        }
        null zurückkehren;
    }
}

? Dieser Filter l?uft vor der überprüfung der Frühlingsauthentifizierung. Wenn das Token gültig ist, legt es das Authentication so fest, dass @PreAuthorize , hasRole() usw. wie erwartet funktioniert.

4. Sicherere Endpunkte mit rollenbasiertem Zugriff

Sobald die Authentifizierung vorhanden ist, schützen Sie Ihre Endpunkte mithilfe der Sicherheit auf Methodenebene:

 @Restcontroller
@RequestMapping ("/api/admin")
@Preauthorize ("HasRole ('admin')"))
Public Class Admincontroller {

    @Getmapping ("/data")
    public responseentity <String> Gortensistivedata () {
        return responseentity.ok ("Top Secret Data!");
    }
}

Vergessen Sie nicht, die Sicherheit auf Methodenebene zu aktivieren:

 @Konfiguration
@EnableGlobalMethodSecurity (preposteabled = true)
?ffentliche Klasse MethodsCurityConfig {
    // Keine zus?tzlichen Bohnen erforderlich, wenn die globale Methodensicherheit verwendet wird
}

5. Fügen Sie einen Anmeldeendpunkt hinzu, um Token auszugeben

Erstellen Sie einen einfachen Anmeldecontroller, um ein JWT zu authentifizieren und zurückzugeben:

 @Postmapping ("/login")
public responseentity <?> Login (@RequestBody LoginRequest Anfrage) {
    versuchen {
        Authentifizierung Authentifizierung = AuthentifizierungManager.Authenticate (
            Neue usernamepasswordAuthenticationToken (Request.getUername (), Request.getPassword ())
        );
        SecurityContextHolder.getContext (). SetAuthentication (Authentifizierung);

        String token = jwtutil.generatetoken (
            Authentifizierung.getName (),
            (Sammlung <? Erweitert GrantedAuthority>) Authentifizierung.getAuthorities ()
        );

        return responseentity.OK (New JwTeRsponse (Token));
    } catch (authenticationException e) {
        return responseentity.status (httpstatus.unauthorized) .build ();
    }
}

? Sie müssen die AuthenticationManager Bean offenbaren, wenn Sie Spring Boot Auto-Configuration nicht verwenden.

Letzte Notizen

• Lagern Sie niemals JWTs in LocalStorage (XSS -Risiko). Bevorzugen Sie nach M?glichkeit httpOnly -Cookies oder verwenden Sie einen sicheren Speicher in Memory.
• Verwenden Sie immer HTTPS in der Produktion.
• Drehen Sie Geheimnisse und betrachten Sie einen kurzen Token -Ablauf mit Refresh -Token.
• Validieren Sie die Token -Signaturen streng - verwenden Sie none Algorithmus.

Grunds?tzlich h?ngt die Sicherung von REST -APIs mit Frühlingssicherheit auf:

• Deaktivieren von Sitzungen und CSRF.
• Verwenden von JWT (oder OAuth2) für staatsosen Auth.
• Schreiben eines Filters zur Validierung von Token.
• Nutzung der Autorisierungsmechanismen von Spring.

Es ist nicht komplex, aber einfach, falsch zu verstehen. Mach es einmal richtig und deine API bleibt sicher.

Das obige ist der detaillierte Inhalt vonSichern Sie REST -APIs mit Frühlingssicherheit und Java. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!