Mengamankan API rehat di Java menggunakan keselamatan musim bunga
Jul 28, 2025 am 03:08 AM
Lumpuhkan CSRF dan menetapkan dasar penciptaan sesi ke Stateless di SecurityConfig untuk memastikan tiada sesi dibuat; 2. Gunakan JWT untuk pengesahan berasaskan token dengan menghasilkan token yang ditandatangani selepas log masuk dan mengembalikannya kepada pelanggan; 3. Mengesahkan JWT dalam penapis tersuai (JWTAuthFilter) yang mengekstrak token dari tajuk kebenaran dan menetapkan pengesahan dalam konteks keselamatan; 4. Titik akhir selamat menggunakan kawalan akses berasaskan peranan melalui pencocokan permintaan atau anotasi peringkat kaedah seperti @Preauthorize; 5. Ikuti amalan terbaik termasuk menggunakan HTTPS, token jangka pendek, token menyegarkan, mengehadkan kadar, dan mengelakkan pembalakan token untuk meningkatkan keselamatan. Pendekatan ini memastikan API REST yang selamat, tanpa statik, dan berskala di Jawa dengan keselamatan musim bunga.
Mengamankan API REST di Java Menggunakan Keselamatan Spring adalah keperluan umum untuk aplikasi web moden. Oleh kerana API REST tidak bertauliah dengan reka bentuk, keselamatan berasaskan sesi tradisional tidak sesuai dengan baik. Walau bagaimanapun, keselamatan musim bunga menyediakan alat yang fleksibel untuk menjamin titik akhir REST dengan berkesan-terutamanya apabila digabungkan dengan pengesahan berasaskan token seperti JWT (JSON Web Tokens).
Inilah cara untuk mengamankan API REST dengan betul di Java menggunakan keselamatan musim bunga:
1. Lumpuhkan csrf dan aktifkan pengesahan tanpa statur
API REST biasanya dimakan oleh aplikasi frontend, pelanggan mudah alih, atau perkhidmatan pihak ketiga, bukan pelayar yang bergantung kepada kuki. Oleh itu, perlindungan CSRF tidak perlu dan boleh mengganggu panggilan API.
Di SecurityConfig anda, lumpuhkan CSRF dan tetapkan strategi sesi ke tanpa statur :
@Configuration
@EnableWebsecurity
kelas awam SecurityConfig {
@Bean
Public SecurityFilterChain FilterChain (httpsecurity http) melemparkan pengecualian {
http
.csrf (). lumpuhkan () // tidak diperlukan untuk API tanpa statur
.SessionManagement (). sessionCeationPolicy (sessionCeationPolicy.Stateless)
.dan ()
. AkhorizeSHttPrequests (Authz -> Authz
.RequestMatchers ("/API/public/**"). PermitAll ()
.RequestMatchers ("/API/Admin/**"). Hasrole ("Admin")
.yeRequest (). Disahkan ()
)
.httpbasic (). lumpuhkan () // lebih suka berasaskan token atas asas auth
.AddFilterBefore (JWTAuthFilter (), userNamePassWordAuthenticationFilter.class);
kembali http.build ();
}
@Bean
Public AuthenticationManager AuthenticationManager (
AuthenticationConfiguration AuthConfig) melemparkan Pengecualian {
kembali authConfig.getAuthenticationManager ();
}
@Bean
public jwtauthfilter jwtauthfilter () {
kembali jwtauthfilter baru ();
}
}? Titik Utama: Gunakan
SessionCreationPolicy.STATELESSSo Spring tidak membuat atau menggunakan sesi HTTP.
2. Gunakan JWT untuk pengesahan berasaskan token
JWT adalah cara yang padat, selamat untuk mewakili tuntutan antara pihak. Ia sesuai untuk API REST kerana ia membawa maklumat pengguna dan mandiri.
Langkah -langkah untuk melaksanakan JWT:
- Menjana token : Selepas log masuk yang berjaya, menghasilkan JWT yang mengandungi butiran pengguna (misalnya, nama pengguna, peranan).
- Hantar Token : Kembalikannya dalam respons (biasanya dalam badan JSON atau tajuk
Authorization). - Mengesahkan Token : Pada setiap permintaan, ekstrak dan sahkan JWT dari Header
Authorization: Bearer <token>.
Contoh kelas JwtUtil yang mudah:
@Component
jwtutil kelas awam {
RECRICE STRINE SRETRICE = "YoursEcretKey"; // Gunakan kunci yang kuat dari persekitaran
Int Expiry Private = 86400; // 24 jam
rentetan awam generateToken (userDetails userDetails) {
Peta <string, object> claims = hashMap baru <> ();
kembali jwts.builder ()
.setClaims (tuntutan)
.setSubject (userDetails.getUserName ())
.SetIsedat (tarikh baru ())
.SetExpiration (tarikh baru (System.CurrentTimemillis () tamat * 1000))
.signwith (signaturealgorithm.hs512, rahsia)
.compact ();
}
public boolean isTokenValid (String Token, String Username) {
kembali getUsernameFromToken (token) .equals (nama pengguna) &&! iSTOKeNExpired (token);
}
String public getUsernameFromToken (String Token) {
kembali getClaim (token, tuntutan :: getSubject);
}
Private <t> t getClaim (token string, fungsi <tuntutan, t> resolver) {
Tuntutan tuntutan = jwts.parser ()
.SetsigningKey (Rahsia)
.parseclaimsjws (token)
.getBody ();
mengembalikan resolver.apply (tuntutan);
}
Boolean Private isTokenExpired (String Token) {
kembali getClaim (token, tuntutan :: getExpiration). Sebelum (tarikh baru ());
}
}?? Never Hardcode Kunci rahsia dalam pembolehubah persekitaran penggunaan pengeluaran atau pengurus rahsia.
3. Penapis tersuai untuk memintas dan mengesahkan JWT
Buat penapis yang berjalan sebelum rantaian pengesahan utama untuk memeriksa JWT dalam tajuk permintaan.
@Component
Kelas awam JWTAuthFilter memanjangkan OncePerRequestFilter {
@Autowired
UserDetailSService UserDetailSService;
@Autowired
Jwtutil swasta JWtutil;
@Override
dilindungi void dofilterinternal (permintaan httpservletrequest,
HttpservletResponse Response,
Rantaian Filterchain) melemparkan ServletException, ioException {
header rentetan akhir = request.geTheader ("kebenaran");
String jwt = null;
Nama pengguna String = null;
jika (header! = null && header.startswith ("pembawa")) {
jwt = header.substring (7);
Cuba {
nama pengguna = jwtutil.getusernamefromtoken (jwt);
} menangkap (pengecualian e) {
// token tidak sah
}
}
jika (nama pengguna! = null && keselamatanContexTholder.getContext (). getAuthentication () == null) {
UserDetails userDetails = userDetailsService.loadUserByUserName (username);
jika (jwtutil.istokenvalid (jwt, userDetails.getuserName ())) {
UserNamePassWordAuthenticationToken AuthToken =
newAnamePassWordAuthenticationToken (userDetails, null, userDetails.getAuthorities ());
authToken.setDetails (baru WebAuthenticationDetailSsource (). BuildDetails (Request));
KeselamatanContexTholder.getContext (). SetAuthentication (authToken);
}
}
chain.dofilter (permintaan, respons);
}
}Penapis ini:
- Ekstrak token dari tajuk
Authorization. - Parses dan mengesahkannya.
- Memuatkan pengguna dan menetapkan pengesahan dalam konteks keselamatan.
4. Titik akhir selamat dengan akses berasaskan peranan yang betul
Gunakan anotasi keselamatan musim bunga untuk melindungi kaedah atau titik akhir:
@RestController
@RequestMapping ("/API/Admin")
@Preauthorize ("Hasrole ('Admin')")
ADMINCONTROLLER kelas awam {
@GetMapping ("/Users")
Senarai awam <gusu> getAllUsers () {
// hanya boleh diakses oleh pentadbir
}
}Dayakan Keselamatan Tahap Kaedah:
@Configuration
@EnableGlobalMethodSecurity (prepostenabled = true)
MethodSecurityConfig Kelas Kelas Awam {
// tidak diperlukan konfigurasi tambahan
}5. Amalan terbaik keselamatan tambahan
- ? Gunakan HTTPS : Sentiasa berkhidmat API ke atas HTTPS untuk melindungi token dalam transit.
- ? Tetapkan token pendek tamat : Kurangkan tetingkap pendedahan jika token dicuri.
- ? Token Refresh : Gunakan mekanisme token penyegaran untuk menerbitkan semula token akses tanpa login semula.
- ? Mengehadkan kadar : Mencegah serangan kekerasan menggunakan alat seperti
Bucket4jatauSpring Cloud Gateway. - ? Elakkan token pembalakan : Pastikan token tidak secara tidak sengaja log masuk log pelayan.
Ringkasan
Untuk mengamankan API rehat di Java dengan keselamatan musim bunga:
- Lumpuhkan CSRF dan gunakan sesi tanpa stat.
- Gunakan JWT untuk pengesahan dan bukan sesi.
- Mengesahkan token melalui penapis tersuai.
- Menguatkuasakan kawalan akses dengan kaedah atau keselamatan peringkat.
- Ikuti amalan terbaik keselamatan (HTTPS, token jangka pendek, dll.).
Dengan persediaan ini, API REST anda akan selamat dan berskala -sempurna untuk spa, aplikasi mudah alih, atau microservices.
Pada asasnya, ia tidak kompleks apabila anda mendapat aliran: mengesahkan sekali, dapatkan token, dan membuktikan identiti pada setiap permintaan tanpa sesi.
Atas ialah kandungan terperinci Mengamankan API rehat di Java menggunakan keselamatan musim bunga. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!
Alat AI Hot
Undress AI Tool
Gambar buka pakaian secara percuma
Undresser.AI Undress
Apl berkuasa AI untuk mencipta foto bogel yang realistik
AI Clothes Remover
Alat AI dalam talian untuk mengeluarkan pakaian daripada foto.
Clothoff.io
Penyingkiran pakaian AI
Video Face Swap
Tukar muka dalam mana-mana video dengan mudah menggunakan alat tukar muka AI percuma kami!
Artikel Panas
Alat panas
Notepad++7.3.1
Editor kod yang mudah digunakan dan percuma
SublimeText3 versi Cina
Versi Cina, sangat mudah digunakan
Hantar Studio 13.0.1
Persekitaran pembangunan bersepadu PHP yang berkuasa
Dreamweaver CS6
Alat pembangunan web visual
SublimeText3 versi Mac
Perisian penyuntingan kod peringkat Tuhan (SublimeText3)
Topik panas
Membina API Restful di Jawa dengan Jakarta EE
Jul 30, 2025 am 03:05 AM
SetupaMaven/gradleprojectwithjax-rsdependencyiSejersey; 2.createarescresourceUsingAnnotationssuchas@pathand@get; 3.configuretheapplicationviaapplicationsubclassorweb.xml;
Panduan Pemaju untuk Maven untuk Pengurusan Projek Java
Jul 30, 2025 am 02:41 AM
Maven adalah alat standard untuk pengurusan dan pembinaan projek Java. Jawapannya terletak pada hakikat bahawa ia menggunakan pom.xml untuk menyeragamkan struktur projek, pengurusan pergantungan, automasi kitaran hayat pembinaan dan sambungan pemalam; 1. Gunakan pom.xml untuk menentukan kumpulan, artifactid, versi dan kebergantungan; 2. Perintah teras utama seperti mvnclean, penyusun, ujian, pakej, memasang dan menggunakan; 3. Gunakan DependencyManagement dan Pengecualian untuk Menguruskan Versi Ketergantungan dan Konflik; 4. Mengatur aplikasi besar melalui struktur projek multi-modul dan diuruskan secara seragam oleh POM induk; 5.
CSS Dark Mode Togol Contoh
Jul 30, 2025 am 05:28 AM
Pertama, gunakan JavaScript untuk mendapatkan pilihan sistem pengguna dan tetapan tema yang disimpan di dalam negara, dan memulakan tema halaman; 1. Struktur HTML mengandungi butang untuk mencetuskan Topik Switching; 2. CSS menggunakan: Root untuk menentukan pembolehubah tema yang cerah, kelas mod-mode mentakrifkan pembolehubah tema gelap, dan menggunakan pembolehubah ini melalui VAR (); 3. JavaScript mengesan lebih suka skema-skema dan membaca LocalStorage untuk menentukan tema awal; 4. Tukar kelas mod gelap pada elemen HTML apabila mengklik butang, dan menjimatkan keadaan semasa ke LocalStorage; 5. Semua perubahan warna disertakan dengan animasi peralihan 0.3 saat untuk meningkatkan pengguna
Contoh Menu Dropdown CSS
Jul 30, 2025 am 05:36 AM
Ya, menu drop-down CSS biasa boleh dilaksanakan melalui HTML dan CSS tulen tanpa JavaScript. 1. Gunakan UL dan Li bersarang untuk membina struktur menu; 2. Gunakan: Hover pseudo-Class untuk mengawal paparan dan menyembunyikan kandungan tarik-turun; 3. Tetapkan Kedudukan: Relatif untuk Ibu Bapa Li, dan submenu diletakkan menggunakan kedudukan: mutlak; 4. Submenu mungkir untuk memaparkan: Tiada, yang menjadi paparan: blok apabila melayang; 5. Multi-level pull-down boleh dicapai melalui bersarang, digabungkan dengan peralihan, dan menambah animasi pudar, dan disesuaikan dengan terminal mudah alih dengan pertanyaan media. Penyelesaian keseluruhannya mudah dan tidak memerlukan sokongan JavaScript, yang sesuai untuk besar
Bagaimana cara menggunakan java messagedigest untuk hashing (MD5, SHA-256)?
Jul 30, 2025 am 02:58 AM
Untuk menjana nilai hash menggunakan Java, ia boleh dilaksanakan melalui kelas MessageDigest. 1. Dapatkan contoh algoritma yang ditentukan, seperti MD5 atau SHA-256; 2. Panggil kaedah .Update () untuk lulus dalam data untuk disulitkan; 3. Panggil kaedah .digest () untuk mendapatkan pelbagai hash byte; 4. Tukar array byte ke dalam rentetan heksadesimal untuk membaca; Untuk input seperti fail besar, baca dalam ketulan dan panggilan .Update () beberapa kali; Adalah disyorkan untuk menggunakan SHA-256 dan bukannya MD5 atau SHA-1 untuk memastikan keselamatan.
Contoh Rentetan Tarikh Python Python
Jul 30, 2025 am 03:32 AM
Gunakan DateTime.StrpTime () untuk menukar rentetan tarikh ke dalam objek DateTime. 1. Penggunaan Asas: Parse "2023-10-05" sebagai objek DateTime melalui "%y-%m-%d"; 2. Menyokong pelbagai format seperti "%m/%d/%y" untuk menghuraikan tarikh Amerika, "%d/%m/%y" untuk menghuraikan tarikh British, "%b%d,%y%i:%m%p" untuk menghuraikan masa dengan am/pm; 3. Gunakan dateUtil.parser.parse () untuk secara automatik menyimpulkan format yang tidak diketahui; 4. Gunakan .D
VSCODE SETTINGS.JSON Lokasi
Aug 01, 2025 am 06:12 AM
Fail Tetapan.JSON terletak di laluan peringkat pengguna atau ruang kerja dan digunakan untuk menyesuaikan tetapan vscode. 1. Laluan peringkat pengguna: Windows adalah C: \ Users \\ AppData \ Roaming \ code \ user \ settings.json, macOS adalah /users//library/applicationsupport/code/user/settings.json, linux adalah/ 2. Laluan Tahap Ruang Kerja: .VSCODE/Tetapan dalam Direktori Root Projek
Teks Teks Sublime Tutup HTML
Jul 30, 2025 am 02:41 AM
Memasang plug-in Emmet boleh mencapai penutupan automatik pintar tag dan sintaks singkatan sokongan; 2. Dayakan "AUTO_MATCH_ENABLED": benar untuk membolehkan SUBLIME untuk melengkapkan tag mudah secara automatik; 3. Gunakan alt. (Menang) atau peralihan CTRL. (Mac) Kekunci pintasan untuk menutup secara manual tag semasa - disyorkan untuk menggunakan Emmet dalam kehidupan seharian. Dua kaedah yang terakhir boleh digabungkan, yang cekap dan mudah untuk ditetapkan.
