Désactiver les sessions et CSRF, utilisez SessionCreationPolicy.Stateless et CSRF (). Disable () pour atteindre la sécurité conviviale; 2. Utilisez JWT pour l'authentification sans état, générez et vérifiez les jetons contenant des r?les utilisateur et le temps d'expiration via JWTUtil; 3. Créez JWTAuthenticationFilter pour intercepter les demandes, analyser les jetons de support dans l'en-tête d'autorisation et stocker les informations d'authentification dans SecurityContextholder après vérification; 4. Utiliser @preAuthorize ("Hasrole ('admin')") et d'autres annotations pour implémenter le contr?le d'accès basé sur les r?les et activer la sécurité au niveau de la méthode via @enableglobalMethodSecurity (PreposseNabled = true); 5. Fournissez une interface / connexion de connexion et renvoyez le jeton JWT après une authentification réussie par AuthenticationManager; Assurez-vous d'utiliser HTTPS, de stockage sécurisé des clés, d'éviter les jetons de stockage localstorage, de vérifier strictement les signatures et de définir des politiques d'expiration raisonnables pour assurer la sécurité de l'API.
La sécurisation des API REST avec la sécurité du printemps en Java n'est pas seulement une meilleure pratique - c'est une nécessité. Contrairement aux applications Web traditionnelles qui reposent sur les cookies de session, les API REST sont apatrides, de sorte que la sécurité doit être gérée différemment. Voici comment faire les choses correctement en utilisant Spring Security et Java (sans Spring Boot si vous allez la route XML ou Pure Java Config, bien que nous nous concentrerons sur la configuration Java moderne).
1. Activer la sécurité du printemps d'une manière conviviale
Commencez par configurer Spring Security avec la configuration Java. Vous devrez désactiver la création de session et la protection CSRF car les API REST utilisent généralement l'authentification basée sur les jetons (comme JWT), pas les sessions.
@Configuration
@Enablewebsecurity
classe publique SecurityConfig {
@Haricot
Sécurité publiqueFilterChain FilterChain (httpSecurity http) lève une exception {
http
.csrf (). Disable () // Pas de CSRF pour les API sans état
.SessionManagement ()
.SessionCreationPolicy (SessionCreationPolicy.Stateless) // Toujours sans état
.et()
.AuthorizeHttpRequests (Authz -> Authz
.requestmatchers ("/ api / public / **"). permutall ()
.requestmatchers ("/ api / admin / **"). Hasrole ("admin")
.anyRequest (). Authenticated ()
)
.httpbasic (). Disable () // pas idéal pour le repos; utiliser des jetons
.AddFilterBefore (jwtFilter (), usernamePasswordAuthenticationFilter.class);
return http.build ();
}
@Haricot
public jwtAuthenticationFilter jwtfilter () {
retourner new jwtAuthenticationFilter ();
}
}? Points clés:
- Les séances
STATELESSempêchent le printemps de créer des cookiesJSESSIONID.- Désactiver
CSRFcar il repose sur l'état de session.- Utilisez
requestMatchers()pour définir le public vs des points de terminaison sécurisés.
2. Utilisez JWT pour l'authentification sans état
JWT (jeton Web JSON) est parfait pour les API REST. Le client se connecte une fois, obtient un jeton et l'envoie dans l'en-tête Authorization: Bearer <token> sur les demandes suivantes.
Générer JWT (exemple utilitaire)
classe publique jwtutil {
String privé secret = "YOTSUPERSECRETKEYTHATISATLEAST256BITSLONG";
Public String generateToken (nom d'utilisateur de cha?ne, collection <? étend l'autorité accorde> les autorités) {
return jwts.builder ()
.SetSubject (nom d'utilisateur)
.Claim ("Autorités", autorités.stream ()
.map (AccordedAuthority :: GetAuthority)
.Collect (collectionners.tolist ()))
.setShedat (new Date ())
.SetExpiration (nouvelle date (System.CurrentTimemillis () 86400000)) // 24h
.signWith (Signaturealgorithm.hs256, secret)
.compact();
}
public boolean istokenvalid (token de cha?ne, nom d'utilisateur de cha?ne) {
return getUserNameFromToken (token) .equals (nom d'utilisateur) &&! istoKenexpired (token);
}
String public getUserNameFromToken (token de cha?ne) {
return getClaims (token) .getSubject ();
}
Réclations privées getClaims (jeton de cha?ne) {
return jwts.parser ()
.SetsigningKey (secret)
.Parseclaidsjws (jeton)
.getBody ();
}
booléen privé istokenexpired (token de cha?ne) {
return getClaims (token) .getExpiration (). avant (new Date ());
}
}?? Gardez le secret en sécurité - jamais le code dur dans la production. Utilisez des variables d'environnement ou des serveurs de configuration.
3. Filtre d'authentification JWT personnalisé
Vous avez besoin d'un filtre pour intercepter les demandes entrantes, extraire le JWT de l'en-tête Authorization , le valider et définir l'authentification dans le contexte de Spring Security.
La classe publique JWTAUTHENTICTIONSFILTER étend une foisPerRequestFilter {
@Autowired
JWTUTIL JWTUTIL;
@Autowired
UserDetailSService privé UserDetailSService;
@Outrepasser
VOID DOFILTERINTERNAL (demande httpServleRequest,
Réponse httpservletResponse,
FilterChain FilterChain) lève ServletException, ioException {
String token = extractToken (demande);
if (token! = null && jwtutil.validateToken (token)) {
String username = jwtutil.getUserNameFromToken (token);
UserDetails userDetails = userDetailsService.LoadUserByUserName (nom d'utilisateur);
UserNamepasswordAuthenticationToken Authentication =
Nouveau userNamepasswordAuthenticationToken (UserDetails, NULL, UserDetails.GetAuthorities ());
authentication.setDetails (new webAuthenticationDetailsSource (). buildDetails (demande));
SecurityContexTholder.getContext (). SetAuthentication (authentification);
}
FilterChain.Dofilter (demande, réponse);
}
ExtractToken de cha?ne privée (requête httpservletRequest) {
String BearertElk = request.GetHeader ("Autorisation");
if (Bearertoken! = null && bearertoken.startswith ("Bearer")) {
RETOUR BEARERERTKENK.SUBSTRING (7);
}
retourner null;
}
}? Ce filtre s'exécute avant que Spring vérifie l'authentification. Si le jeton est valide, il définit l'objet
Authenticationainsi@PreAuthorize,hasRole(), etc., fonctionnez comme prévu.
4. Secure de terminaison avec un accès basé sur les r?les
Une fois l'authentification en place, protégez vos points de terminaison en utilisant la sécurité au niveau de la méthode:
@RestController
@RequestMapping ("/ api / admin")
@PreAuthorize ("Hasrole ('admin')")
Classe publique AdminController {
@Getmapping ("/ data")
Public Responsentity <string> getSensivedata () {
return réponsentity.ok ("Top Secret Data!");
}
}N'oubliez pas d'activer la sécurité au niveau de la méthode:
@Configuration
@Enableglobalthodsecurity (prepossenabled = true)
classe publique MethodsEcurityConfig {
// Pas de haricots supplémentaires nécessaires si vous utilisez la sécurité de la méthode globale
}5. Ajouter un point de terminaison de connexion pour émettre des jetons
Créez un contr?leur de connexion simple pour authentifier et renvoyer un JWT:
@Postmapping ("/ login")
Public Responsentity <?> Login (@Requestbody LoginRequest Request) {
essayer {
Authentification Authentication = AuthenticationManager.Authenticiate (
Nouveau userNamePasswordAuthenticationToken (request.getUserName (), request.getPassword ())
));
SecurityContexTholder.getContext (). SetAuthentication (authentification);
Token de cha?ne = jwtutil.generatetoken (
authentication.getName (),
(Collection <? étend l'autorité accordé>) Authentication.getAuthorities ()
));
return réponsentity.ok (new JWTResponse (jeton));
} catch (AuthenticationException e) {
return réponsentity.status (httpstatus.unauthorized) .build ();
}
}? Vous devrez exposer le bean
AuthenticationManagersi vous n'utilisez pas la configuration automatique de Spring Boot.
Notes finales
- Ne stockez jamais JWTS dans LocalStorage (Risque XSS). Préférez les cookies
httpOnlysi possible, ou utilisez un stockage sécurisé en mémoire. - Utilisez toujours HTTPS en production.
- Faites tourner les secrets et considérez l'expiration des jetons courts avec des jetons de rafra?chissement.
- Valider strictement les signatures de jeton - n'utilisez pas
nonealgorithme.
Fondamentalement, sécuriser les API REST avec la sécurité du printemps se résume à:
- Séances de désactivation et CSRF.
- Utilisation de JWT (ou OAuth2) pour Autant sans état.
- écriture d'un filtre pour valider les jetons.
- Tirer parti des mécanismes d'autorisation de Spring.
Ce n'est pas complexe, mais facile de se tromper. Faites-le une fois bien et votre API reste en sécurité.
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!
Outils d'IA chauds
Undress AI Tool
Images de déshabillage gratuites
Undresser.AI Undress
Application basée sur l'IA pour créer des photos de nu réalistes
AI Clothes Remover
Outil d'IA en ligne pour supprimer les vêtements des photos.
Clothoff.io
Dissolvant de vêtements AI
Video Face Swap
échangez les visages dans n'importe quelle vidéo sans effort grace à notre outil d'échange de visage AI entièrement gratuit?!
Article chaud
Outils chauds
Bloc-notes++7.3.1
éditeur de code facile à utiliser et gratuit
SublimeText3 version chinoise
Version chinoise, très simple à utiliser
Envoyer Studio 13.0.1
Puissant environnement de développement intégré PHP
Dreamweaver CS6
Outils de développement Web visuel
SublimeText3 version Mac
Logiciel d'édition de code au niveau de Dieu (SublimeText3)
Sujets chauds
Quel est le type ?enum? en Java?
Jul 02, 2025 am 01:31 AM
Les énumérations en Java sont des classes spéciales qui représentent le nombre fixe de valeurs constantes. 1. Utilisez la définition du mot-clé énuméré; 2. Chaque valeur d'énumération est une instance finale statique publique du type d'énumération; 3. Il peut inclure des champs, des constructeurs et des méthodes pour ajouter un comportement à chaque constante; 4. Il peut être utilisé dans les instructions de commutation, prend en charge la comparaison directe et fournit des méthodes intégrées telles que Name (), Ordinal (), Values ??() et ValueOf (); 5. L'énumération peut améliorer la sécurité, la lisibilité et la flexibilité du type, et convient aux scénarios de collecte limités tels que les codes d'état, les couleurs ou la semaine.
Quel est le principe de ségrégation de l'interface?
Jul 02, 2025 am 01:24 AM
Le principe d'isolement de l'interface (ISP) exige que les clients ne comptent pas sur des interfaces inutilisées. Le noyau est de remplacer les interfaces grandes et complètes par plusieurs interfaces petites et raffinées. Les violations de ce principe comprennent: une exception non implémentée a été lancée lorsque la classe met en ?uvre une interface, un grand nombre de méthodes non valides sont implémentées et des fonctions non pertinentes sont classées de force dans la même interface. Les méthodes d'application incluent: Diviser les interfaces en fonction des méthodes communes, en utilisant des interfaces divisées en fonction des clients et en utilisant des combinaisons au lieu d'implémentations multi-interfaces si nécessaire. Par exemple, divisez les interfaces machine contenant des méthodes d'impression, de balayage et de fax en imprimante, scanner et faxmachine. Les règles peuvent être assouplies de manière appropriée lors de l'utilisation de toutes les méthodes sur de petits projets ou tous les clients.
Techniques de programmation asynchrones dans Java moderne
Jul 07, 2025 am 02:24 AM
Java prend en charge la programmation asynchrone, y compris l'utilisation de la transition complète, des flux réactifs (tels que ProjectActor) et des threads virtuels dans Java19. 1.COMPLETABLEFUTURE Améliore la lisibilité et la maintenance du code à travers les appels de cha?ne et prend en charge l'orchestration des taches et la gestion des exceptions; 2. ProjectAacteur fournit des types de mono et de flux pour implémenter une programmation réactive, avec mécanisme de contre-pression et des opérateurs riches; 3. Les fils virtuels réduisent les co?ts de concurrence, conviennent aux taches à forte intensité d'E / S et sont plus légères et plus faciles à développer que les fils de plate-forme traditionnels. Chaque méthode a des scénarios applicables, et les outils appropriés doivent être sélectionnés en fonction de vos besoins et les modèles mixtes doivent être évités pour maintenir la simplicité
Différences entre callable et coulable en java
Jul 04, 2025 am 02:50 AM
Il existe trois principales différences entre lesquelles appelant et coulable en Java. Tout d'abord, la méthode callable peut renvoyer le résultat, adapté aux taches qui doivent retourner des valeurs, telles que callable; Alors que la méthode Run () de Runnable n'a pas de valeur de retour, adaptée aux taches qui n'ont pas besoin de retourner, comme la journalisation. Deuxièmement, Callable permet de lancer des exceptions vérifiées pour faciliter la transmission d'erreur; tandis que Runnable doit gérer les exceptions en interne. Troisièmement, Runnable peut être directement transmis sur le thread ou l'exécutor-service, tandis que Callable ne peut être soumis qu'à ExecutorService et renvoie le futur objet à
Meilleures pratiques pour utiliser des énumérations en java
Jul 07, 2025 am 02:35 AM
En Java, les énumérations conviennent à représenter des ensembles constants fixes. Les meilleures pratiques incluent: 1. Utilisez ENUM pour représenter l'état fixe ou les options pour améliorer la sécurité et la lisibilité des types; 2. Ajouter des propriétés et des méthodes aux énumérations pour améliorer la flexibilité, telles que la définition des champs, des constructeurs, des méthodes d'assistance, etc.; 3. Utilisez Enuummap et Enumset pour améliorer les performances et la sécurité des types car ils sont plus efficaces en fonction des tableaux; 4. évitez l'abus des énumérations, tels que des valeurs dynamiques, des changements fréquents ou des scénarios logiques complexes, qui doivent être remplacés par d'autres méthodes. L'utilisation correcte de l'énumération peut améliorer la qualité du code et réduire les erreurs, mais vous devez faire attention à ses limites applicables.
Comprendre Java Nio et ses avantages
Jul 08, 2025 am 02:55 AM
Javanio est un nouvel IOAPI introduit par Java 1.4. 1) s'adresse aux tampons et aux canaux, 2) contient des composants de tampon, de canal et de sélecteur, 3) prend en charge le mode non bloquant et 4) gère les connexions simultanées plus efficacement que l'OI traditionnel. Ses avantages se reflètent dans: 1) IO non bloquant les réductions de la surcharge du thread, 2) le tampon améliore l'efficacité de transmission des données, 3) le sélecteur réalise le multiplexage et 4) la cartographie de la mémoire accélère la lecture et l'écriture de la lecture de fichiers. Remarque Lorsque vous utilisez: 1) le fonctionnement FLIP / clair du tampon est facile à confondre, 2) les données incomplètes doivent être traitées manuellement sans blocage, 3) l'enregistrement du sélecteur doit être annulé à temps, 4) Nio ne convient pas à tous les scénarios.
Explorer différents mécanismes de synchronisation en Java
Jul 04, 2025 am 02:53 AM
JavaprovidesMultiplesynchronisationToolsforthReadsafety.1.SynchroniséBlockSenSureMutualExclusionByLockingMethodSorseCificcodesesections.2.ReentrantLockoffersAdvancedControl, y compris les éperons
Comment les chargeurs de classe Java fonctionnent en interne
Jul 06, 2025 am 02:53 AM
Le mécanisme de chargement des classes de Java est implémenté via Classloader, et son flux de travail principal est divisé en trois étapes: chargement, liaison et initialisation. Pendant la phase de chargement, Classloader lit dynamiquement le bytecode de la classe et crée des objets de classe; Les liens incluent la vérification de l'exactitude de la classe, l'allocation de la mémoire aux variables statiques et les références de symbole d'analyse; L'initialisation effectue des blocs de code statique et des affectations de variables statiques. Le chargement des classes adopte le modèle de délégation parent et hiérarchise le chargeur de classe parent pour trouver des classes et essayez Bootstrap, Extension et ApplicationClassloader pour s'assurer que la bibliothèque de classe de base est s?re et évite le chargement en double. Les développeurs peuvent personnaliser le chargeur de classe, comme UrlClassl
