亚洲国产日韩欧美一区二区三区,精品亚洲国产成人av在线,国产99视频精品免视看7,99国产精品久久久久久久成人热,欧美日韩亚洲国产综合乱

目次
2。無國籍認(rèn)証にはJWTを使用します
JWT(ユーティリティの例)を生成する
3.カスタムJWT認(rèn)証フィルター
4.ロールベースのアクセスを備えたセキュアエンドポイント
5.ログインエンドポイントを追加して、トークンを発行します
最終メモ
ホームページ Java &#&チュートリアル Spring SecurityとJavaでREST APIを確保します

Spring SecurityとJavaでREST APIを確保します

Aug 01, 2025 am 03:31 AM

セッションとCSRFを無効にし、SessionCreationPolicy.StatelessおよびCSRF()。disable()を使用して、休憩に優(yōu)しいセキュリティを?qū)g現(xiàn)します。 2。JWTを使用して、ステートレス認(rèn)証に、ユーザーの役割と有効期限を含むトークンを生成および検証します。 3. JWTAuthenticationFilterを作成して、リクエストを傍受し、認(rèn)証ヘッダーでベアラートークンを解析し、確認(rèn)後に認(rèn)証情報(bào)をSecurityContExtholderに保存します。 4. @preauthorize( "hasrole( 'admin')")およびその他の注釈を使用して、ロールベースのアクセス制御を?qū)g裝し、@enableglobalmethodsecurity(prepostenabled = true)を介してメソッドレベルのセキュリティを有効にします。 5.ログインインターフェイス/ログインを提供し、AuthenticationManagerによる認(rèn)証を成功させた後、JWTトークンを返します。必ずHTTPSを使用し、キーの保管を保護(hù)し、トークンの保管を避け、署名を厳密に検証し、APIセキュリティを確保するために合理的な有効期限ポリシーを設(shè)定してください。

Spring SecurityとJavaでREST APIを確保します

JavaでSpring Securityで休憩APIを確保することは、単なるベストプラクティスではなく、必要です。セッションCookieに依存している従來のWebアプリとは異なり、REST APIはステートレスであるため、セキュリティを異なる方法で処理する必要があります。 Spring SecurityとJavaを使用して正しく行う方法は次のとおりです(XMLまたはPure Java Config Routeを使用している場合はSpring Bootがありませんが、最新のJava構(gòu)成に焦點(diǎn)を當(dāng)てます)。

Spring SecurityとJavaでREST APIを確保します

1.レストに優(yōu)しい方法で春のセキュリティを有効にします

Java構(gòu)成でSpring Securityをセットアップすることから始めます。レストAPIは通常、セッションではなくトークンベースの認(rèn)証(JWTなど)を使用するため、セッションの作成とCSRF保護(hù)を無効にする必要があります。

 @構(gòu)成
@enablewebsecurity
Public Class SecurityConfig {

    @bean
    Public SecurityFilterChain FilterChain(httpsecurity http)スロー例外{
        http
            .csrf()。disable()//ステートレスAPIのcsrfなし
            .sessionManagement()
                .sessioncreationPolicy(SessionCreationPolicy.Stateless)//常にステートレス
            。そして()
            .authorizehttprequests(authz-> authz
                .RequestMatchers( "/api/public/**")。pimitall()
                .requestMatchers( "/api/admin/**")。hasrole( "admin")
                .anyrequest()。authentipted()
            ))
            .httpbasic()。disable()//休憩には理想的ではありません。トークンを使用します
            .addfilterbefore(jwtfilter()、usernamepasswordauthenticationfilter.class);

        return http.build();
    }

    @bean
    public jwtauthenticationfilter jwtfilter(){
        new JwtauthenticationFilter()を返します。
    }
}

?キーポイント:

Spring SecurityとJavaでREST APIを確保します
  • STATELESSセッションでは、SpringがJSESSIONID Cookieを作成するのを防ぎます。
  • セッション狀態(tài)に依存しているため、 CSRFを無効にします。
  • requestMatchers()を使用して、パブリックエンドポイントとセキュリティでのエンドポイントを定義します。

2。無國籍認(rèn)証にはJWTを使用します

JWT(JSON Webトークン)は、REST APIに最適です。クライアントは一度ログインし、トークンを取得し、その後のリクエストでAuthorization: Bearer <token>ヘッダーに送信します。

JWT(ユーティリティの例)を生成する

パブリッククラスjwtutil {
    private string secret = "yoursupersecretkeythatisatleast256bitslong";

    public string generateToken(String username、collection <?拡張grantedauthority>當(dāng)局){
        jwts.builder()を返します
            .setsubject(username)
            .claim( "當(dāng)局"、當(dāng)局.stream()
                .map(grantedauthority :: getauthority)
                .collect(collectors.tolist()))
            .setissuedat(new Date())
            .setExpiration(new Date(System.CurrentTimemillis()86400000)// 24H
            .signwith(signaturealgorithm.hs256、secret)
            。コンパクト();
    }

    public boolean istokenvalid(string token、string username){
        return getUsernamefromToken(token).equals(username)&&!istokenexpired(token);
    }

    public string getUsernamefromtoken(string token){
        return getClaims(token).getSubject();
    }

    プライベートクレームGetClaims(String Token){
        jwts.parser()を返します
            .setingkey(秘密)
            .parsecalimsjws(トークン)
            .getBody();
    }

    private boolean istokenexpired(string token){
        return getClaims(token).getExpiration()。前(new date());
    }
}

secret秘密を安全に保ちます - 生産中のハードコードではありません。環(huán)境変數(shù)または構(gòu)成サーバーを使用します。

Spring SecurityとJavaでREST APIを確保します

3.カスタムJWT認(rèn)証フィルター

著信要求を傍受し、 AuthorizationヘッダーからJWTを抽出し、検証し、Spring Securityのコンテキストで認(rèn)証を設(shè)定するためのフィルターが必要です。

 Public Class JWTAuthenticationFilterは、woneperRequestFilter {

    @Autowired
    Private Jwtutil Jwtutil;

    @Autowired
    Private userDetailsService userDetailsService;

    @オーバーライド
    保護(hù)されたvoid dofilterinternal(httpservletrequestリクエスト、
                                    httpservletResponse応答、
                                    FilterChain FilterChain)ServleTexception、ioException {

        string token = extractoken(request);

        if(token!= null && jwtutil.validatetoken(token)){
            文字列username = jwtutil.getusernamefromtoken(token);
            userdetails userdetails = userdetailsservice.loduserbyusername(username);

            usernamepasswordwordauthenticationToken認(rèn)証=
                new usernamepasswordauthenticationtoken(userdetails、null、userdetails.getauthorities());
            Authentication.setDetails(new WebAuthenticationDetailSSource()。buildDetails(request));

            SecurityContextholder.getContext()。setAuthentication(Authentication);
        }

        filterchain.dofilter(リクエスト、応答);
    }

    プライベートストリングextractoken(httpservletrequestリクエスト){
        string bearertoken = request.getheader( "authorization");
        if(bearertoken!= null && bearertoken.startswith( "Bearer")){
            return bearertoken.substring(7);
        }
        nullを返します。
    }
}

spring Spring Checks Authenticationの前にこのフィルターは実行されます。トークンが有効な場合、 Authenticationオブジェクトを設(shè)定して@PreAuthorizehasRole()などが予想どおりに機(jī)能します。

4.ロールベースのアクセスを備えたセキュアエンドポイント

認(rèn)証が整ったら、メソッドレベルのセキュリティを使用してエンドポイントを保護(hù)します。

 @RestController
@RequestMapping( "/api/admin")
@preauthorize( "hasrole( &#39;admin&#39;)")
パブリッククラスのadmincontroller {

    @getMapping( "/data")
    public ResponseNtity <String> getSensitivedata(){
        RESPONSENTETITY.ok( "Top Secret Data!");
    }
}

メソッドレベルのセキュリティを有効にすることを忘れないでください:

 @構(gòu)成
@enableglobalmethodsecurity(prepostenabled = true)
パブリッククラスMethodsecurityConfig {
    //グローバルメソッドセキュリティを使用する場合、余分な豆は必要ありません
}

5.ログインエンドポイントを追加して、トークンを発行します

JWTを認(rèn)証して返すために、シンプルなログインコントローラーを作成します。

 @postmapping( "/login")
public ResponseNtity <?
    試す {
        Authentication Authentication = AuthenticationManager.authenticate(
            新しいusernamepasswordauthenticationtoken(request.getusername()、request.getPassWord()))
        );
        SecurityContextholder.getContext()。setAuthentication(Authentication);

        string token = jwtutil.generatetoken(
            authentication.getName()、
            (collection <?extends grantedauthority>)authentication.getauthorities()
        );

        RESPONSENTENTITY.OK(new JWTResponse(Token));
    } catch(authenticationexception e){
        RESPONSENTITY.STATUS(httpstatus.uthorized).build();
    }
}

? Spring Boot Auto Configurationを使用していない場合は、 AuthenticationManager Beanを公開する必要があります。

最終メモ

  • JWTSをLocalStorage(XSSリスク)に保存しないでください。可能であれば、 httpOnly Cookieを好むか、セキュアインメモリストレージを使用します。
  • 生産には常にHTTPSを使用してください。
  • 秘密を回転させ、リフレッシュトークンで短いトークンの有効期限を検討します。
  • トークンの署名を厳密に検証します。 noneを使用しないでください。

基本的に、REST APIをSpring Securityで固定することは、次のようになります。

  • セッションとCSRFの無効化。
  • 無國籍認(rèn)証にJWT(またはOAUTH2)を使用します。
  • トークンを検証するフィルターを作成します。
  • Springの承認(rèn)メカニズムを活用します。

複雑ではありませんが、誤解しやすいです。一度正しく行うと、APIは安全なままです。

以上がSpring SecurityとJavaでREST APIを確保しますの詳細(xì)內(nèi)容です。詳細(xì)については、PHP 中國語 Web サイトの他の関連記事を參照してください。

このウェブサイトの聲明
この記事の內(nèi)容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰屬します。このサイトは、それに相當(dāng)する法的責(zé)任を負(fù)いません。盜作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡(luò)ください。

ホットAIツール

Undress AI Tool

Undress AI Tool

脫衣畫像を無料で

Undresser.AI Undress

Undresser.AI Undress

リアルなヌード寫真を作成する AI 搭載アプリ

AI Clothes Remover

AI Clothes Remover

寫真から衣服を削除するオンライン AI ツール。

Clothoff.io

Clothoff.io

AI衣類リムーバー

Video Face Swap

Video Face Swap

完全無料の AI 顔交換ツールを使用して、あらゆるビデオの顔を簡単に交換できます。

ホットツール

メモ帳++7.3.1

メモ帳++7.3.1

使いやすく無料のコードエディター

SublimeText3 中國語版

SublimeText3 中國語版

中國語版、とても使いやすい

ゼンドスタジオ 13.0.1

ゼンドスタジオ 13.0.1

強(qiáng)力な PHP 統(tǒng)合開発環(huán)境

ドリームウィーバー CS6

ドリームウィーバー CS6

ビジュアル Web 開発ツール

SublimeText3 Mac版

SublimeText3 Mac版

神レベルのコード編集ソフト(SublimeText3)

Javaの「Enum」タイプは何ですか? Javaの「Enum」タイプは何ですか? Jul 02, 2025 am 01:31 AM

JavaのEnumsは、一定の値の固定數(shù)を表す特別なクラスです。 1。列挙キーワード定義を使用します。 2。各列挙値は、列挙型のパブリック靜的最終インスタンスです。 3.各定數(shù)に動(dòng)作を追加するフィールド、コンストラクター、および方法を含めることができます。 4.スイッチステートメントで使用し、直接比較をサポートし、name()、ordinal()、values()、valueof()などの組み込みメソッドを提供できます。 5.列挙は、コードのタイプの安全性、読みやすさ、柔軟性を向上させることができ、ステータスコード、色、週などの限られた収集シナリオに適しています。

インターフェイス分離原理は何ですか? インターフェイス分離原理は何ですか? Jul 02, 2025 am 01:24 AM

インターフェイス分離原理(ISP)では、クライアントが未使用のインターフェイスに依存していないことが必要です。コアは、大規(guī)模で完全なインターフェイスを複數(shù)の小さな洗練されたインターフェイスに置き換えることです。この原則の違反には、クラスがインターフェイスを?qū)g裝し、多數(shù)の無効な方法が実裝され、無関係な関數(shù)が同じインターフェイスに強(qiáng)制的に分類されると、実裝されていない例外がスローされました。アプリケーション方法には、インターフェイスを一般的な方法に従って分割し、クライアントに応じたスプリットインターフェイスを使用し、必要に応じてマルチインターフェイスの実裝の代わりに組み合わせを使用します。たとえば、印刷、スキャン、ファックスメソッドを含むマシンインターフェイスをプリンター、スキャナー、ファックスマシンに分割します。小規(guī)模プロジェクトまたはすべてのクライアントですべての方法を使用する場合、ルールを適切にリラックスできます。

現(xiàn)代のジャワの非同期プログラミング技術(shù) 現(xiàn)代のジャワの非同期プログラミング技術(shù) Jul 07, 2025 am 02:24 AM

Javaは、Java19での完了可能なストリーム(ProjectReactorなど)、仮想スレッドの使用など、非同期プログラミングをサポートしています。 1.CompletableFutureチェーンコールを通じてコードの読みやすさとメンテナンスを改善し、タスクオーケストレーションと例外処理をサポートします。 2。ProjectReactorは、バックプレッシャーメカニズムとリッチ演算子を備えた応答性プログラミングを?qū)g裝するためのモノとフラックスタイプを提供します。 3.仮想スレッドは、同時(shí)性コストを削減し、I/O集約型タスクに適しており、従來のプラットフォームスレッドよりも軽量で拡張が容易です。各方法には適用可能なシナリオがあり、適切なツールをお客様のニーズに応じて選択する必要があり、混合モデルはシンプルさを維持するために避ける必要があります

Javaでは、CallableとRunnableの違い Javaでは、CallableとRunnableの違い Jul 04, 2025 am 02:50 AM

Javaでは、CallableとRunnableには3つの主な違いがあります。まず、呼び出し可能な方法は結(jié)果を返すことができます。これは、呼び出し可能などの値を返す必要があるタスクに適しています。 run()runnableメソッドには戻り値がありませんが、ロギングなど、返品する必要のないタスクに適しています。第二に、Callableは、エラーの送信を容易にするためにチェックされた例外をスローすることができます。 runnableは、內(nèi)部的に例外を処理する必要があります。第三に、runnableはスレッドまたはexecutorserviceに直接渡すことができますが、callableはexecutorserviceにのみ提出し、將來のオブジェクトをに返すことができます

Javaで酵素を使用するためのベストプラクティス Javaで酵素を使用するためのベストプラクティス Jul 07, 2025 am 02:35 AM

Javaでは、列挙は固定定數(shù)セットを表すのに適しています。ベストプラクティスには以下が含まれます。1。列挙を使用して固定狀態(tài)またはオプションを表して、タイプの安全性と読みやすさを改善します。 2.フィールド、コンストラクター、ヘルパーメソッドなどの定義など、柔軟性を高めるために、酵素にプロパティとメソッドを追加します。 3. enummapとEnumsetを使用して、パフォーマンスとタイプの安全性を向上させ、配列に??基づいてより効率的であるためです。 4.動(dòng)的値、頻繁な変更、複雑なロジックシナリオなどの列挙の悪用を避けてください。これらは他の方法に置き換える必要があります。列挙の正しい使用は、コードの品質(zhì)を改善し、エラーを減らすことができますが、適用される境界に注意を払う必要があります。

Java Nioとその利點(diǎn)を理解する Java Nioとその利點(diǎn)を理解する Jul 08, 2025 am 02:55 AM

Javanioは、Java 1.4によって導(dǎo)入された新しいIoapiです。 1)バッファとチャネルを?qū)澫螭趣筏皮い蓼埂?)バッファ、チャネル、セレクターのコアコンポーネント、3)ノンブロッキングモードをサポートし、4)従來のIOよりも効率的に並行接続を処理します。その利點(diǎn)は、次のことに反映されます。1)非ブロッキングIOはスレッドオーバーヘッドを減らし、2)データ送信効率を改善し、3)セレクターがマルチプレックスを?qū)g現(xiàn)し、4)メモリマッピングはファイルの読み取りと書き込みを速めます。注:1)バッファのフリップ/クリア操作は混亂しやすく、2)不完全なデータをブロックせずに手動(dòng)で処理する必要があります。3)セレクター登録は時(shí)間內(nèi)にキャンセルする必要があります。4)NIOはすべてのシナリオに適していません。

Javaのさまざまな同期メカニズムの調(diào)査 Javaのさまざまな同期メカニズムの調(diào)査 Jul 04, 2025 am 02:53 AM

JavaprovidesMultipLesynchronizationStoolsforthreadsafety.1.synchronizedBlocksensurexclusionbyLockingmethodsorspeficCodeSections.2.ReentrantLockOfferSollol、TryLockandFairnessPolicies.3.ConditionVarisallowthReadStowaitfor

Java Classloadersの動(dòng)作方法 Java Classloadersの動(dòng)作方法 Jul 06, 2025 am 02:53 AM

Javaのクラスロードメカニズムはクラスローダーを介して実裝されており、そのコアワークフローは、読み込み、リンク、初期化の3つの段階に分けられます。ローディングフェーズ中、クラスローダーはクラスのバイトコードを動(dòng)的に読み取り、クラスオブジェクトを作成します。リンクには、クラスの正しさの確認(rèn)、靜的変數(shù)へのメモリの割り當(dāng)て、およびシンボル?yún)⒄栅谓馕訾蓼欷蓼?。初期化は、靜的コードブロックと靜的変數(shù)割り當(dāng)てを?qū)g行します。クラスの読み込みは、親クラスローダーに優(yōu)先順位を付けてクラスを見つけ、ブートストラップ、拡張機(jī)能、およびアプリケーションクラスローダーを順番に試して、コアクラスライブラリが安全であり、重複した負(fù)荷を回避することを確認(rèn)します。開発者は、urlclasslなどのクラスローダーをカスタマイズできます

See all articles