Gunakan Spring Security dan JWT untuk melaksanakan pengesahan yang selamat dan kebenaran API REST di Java, sesuai untuk arkitek tanpa statur dan berskala seperti microservices, aplikasi mudah alih dan aplikasi satu halaman; 2. Pertama tambah Web Boot Spring, Keselamatan Spring dan JJW Dependencies di POM.xml; 3. Buat kelas model pengguna dan loginRequest untuk maklumat pengguna dan permintaan log masuk; 4. Tulis kelas alat JWTutil untuk menjana, menghuraikan dan mengesahkan JWT, perhatikan bahawa kunci harus dikonfigurasi melalui pembolehubah persekitaran dan bukannya dikodkan keras; 5. Konfigurasi Kelas SecurityConfig untuk melumpuhkan CSRF, menetapkan dasar sesi tanpa stat, melepaskan antara muka pengesahan, dan mendaftarkan penapis JWT; 6. Melaksanakan penapis JWTrequestFilter untuk mengekstrak dan mengesahkan JWT dari tajuk kebenaran, dan tetapkan konteks pengesahan jika ia sah; 7. Buat AuthController untuk menyediakan antara muka log masuk /mengesahkan, dan mengembalikan token JWT selepas mengesahkan kelayakan; 8. Tentukan titik akhir API yang dilindungi seperti /selamat, yang hanya boleh diakses jika permintaan itu membawa token pembawa yang sah; 9. Amalan terbaik termasuk menggunakan HTTPS, token penyimpanan yang selamat, menetapkan masa tamat tempoh yang singkat dan menyelaraskan dengan token penyegaran, mengutamakan penggunaan algoritma RS256, mengesahkan pengisytiharan token, dan mengehadkan kekerapan antara muka log masuk untuk mencegah keretakan kekerasan. Dengan meletakkan API dengan betul dan mengikuti spesifikasi keselamatan, penyelesaian ini memastikan ketiadaan, keselamatan dan skalabiliti tinggi API.
Mengamankan API REST di Java menggunakan Spring Security dan JWT adalah keperluan umum untuk aplikasi web moden, terutama ketika membina backends yang tidak berskala, berskala. Berikut adalah panduan praktikal untuk melaksanakan pengesahan dan kebenaran yang selamat dengan Spring Security dan JSON Web Tokens (JWT).
Mengapa menggunakan JWT Keselamatan Spring?
Keselamatan Spring menyediakan rangka kerja yang kuat dan disesuaikan untuk mengendalikan pengesahan dan kebenaran dalam aplikasi Java. Apabila digabungkan dengan JWT, ia membolehkan pengesahan tanpa stateless , yang bermaksud pelayan tidak perlu menyimpan data sesi. Sebaliknya, setiap permintaan termasuk token yang ditandatangani yang membuktikan identiti pengguna.
Ini sesuai untuk:
- Microservices Architectures
- Aplikasi mudah alih dan satu halaman (SPA)
- API yang perlu skala secara mendatar
Langkah 1: Sediakan ketergantungan
Tambahkan kebergantungan yang diperlukan dalam pom.xml anda (untuk maven):
<dependencies>
<geterlihat>
<groupId> org.springframework.boot </groupId>
<stistfactid> Spring-Boot-Starter-Web </artifactid>
</ketergantungan>
<geterlihat>
<groupId> org.springframework.boot </groupId>
<stifactid> Spring-Boot-Starter-Security </artifactid>
</ketergantungan>
<geterlihat>
<groupId> io.jsonwebtoken </groupId>
<stistfactid> jjwt-api </artifactid>
<versi> 0.11.5 </versi>
</ketergantungan>
<geterlihat>
<groupId> io.jsonwebtoken </groupId>
<stistfactid> jjwt-impl </artifactid>
<versi> 0.11.5 </versi>
<scope> runtime </scope>
</ketergantungan>
<geterlihat>
<groupId> io.jsonwebtoken </groupId>
<ctiFactId> JJWT-Jackson </artifactid>
<versi> 0.11.5 </versi>
<scope> runtime </scope>
</ketergantungan>
</dependencies>Langkah 2: Buat model pengguna dan permintaan pengesahan
Tentukan model pengguna yang mudah dan login DTO:
pengguna kelas awam {
Nama Pengguna String Peribadi;
kata laluan rentetan peribadi;
// Pembina, Getters, Setters
} LoginRequest kelas awam {
Nama Pengguna String Peribadi;
kata laluan rentetan peribadi;
// getters dan setters
}Langkah 3: Menjana dan Mengesahkan JWT
Buat kelas utiliti untuk menjana dan menghuraikan token:
@Component
jwtutil kelas awam {
rentetan swasta rahsia = "anda-secret-key"; // Gunakan pembolehubah persekitaran atau kedai utama dalam pengeluaran
rentetan awam generateToken (userDetails userDetails) {
kembali jwts.builder ()
.setSubject (userDetails.getUserName ())
.SetIsedat (tarikh baru ())
.SetExpiration (Tarikh Baru (System.CurrentTimemillis () 1000 * 60 * 60 * 10)) // 10 jam
.signwith (signatureAlgorithm.hs256, rahsia_key)
.compact ();
}
public boolean validateToken (string token, userDetails userDetails) {
Final String userName = ExtractUserName (token);
kembali (username.equals (userDetails.getUserName ()) &&! isTokeNexpired (token));
}
String awam ExtractUserName (String Token) {
kembali jwts.parser () setsigningKey (rahsia) .parseclaimsjws (token) .getBody (). getSubject ();
}
Boolean Private isTokenExpired (String Token) {
kembali jwts.parser () setsigningKey (rahsia) .parseclaimsjws (token) .getBody (). getExpiration () sebelum (tarikh baru ());
}
}? Petua Keselamatan : Jangan Kod Hardcode Kunci Rahsia. Gunakan
@Value("${jwt.secret}")dengan pembolehubah persekitaran atau sistem pengurusan kunci yang selamat.
Langkah 4: Konfigurasikan keselamatan musim bunga
Buat Kelas Konfigurasi Keselamatan:
@Configuration
@EnableWebsecurity
kelas awam SecurityConfig {
@Autowired
UserDetailSService UserDetailSService;
@Autowired
swasta JWTrequestfilter JWTrequestFilter;
@Bean
kata laluan kata laluan awamCoder () {
kembali bcryptpasswordencoder baru ();
}
@Bean
Public AuthenticationManager AuthenticationManager (Pengesahan Konfigurasi Konfigurasi) melemparkan Pengecualian {
kembali config.getAuthenticationManager ();
}
@Bean
Filterchain SecurityFilterChain yang dilindungi (httpsecurity http) melemparkan pengecualian {
http.csrf (). lumpuhkan ()
. AkhorizeDHttPrequests (Auth -> Auth
.RequestMatchers ("/mengesahkan"). PermitAll ()
.yeRequest (). Disahkan ()
)
.SessionManagement (sess -> sess.SessionCreationPolicy (sessionCreationPolicy.Stateless));
http.addfilterBefore (JWTrequestFilter, usernamePasswordAuthenticationFilter.class);
kembali http.build ();
}
}Langkah 5: Melaksanakan penapis JWT
Buat penapis untuk memintas permintaan masuk dan mengesahkan JWT:
@Component
kelas awam JWTrequestFilter memanjangkan OncePerRequestFilter {
@Autowired
UserDetailSService UserDetailSService;
@Autowired
Jwtutil swasta JWtutil;
@Override
DOFILTERINTERNAL VOID DOFILTERNAL (HTTPSERVLETREQUEST, HTTPSERVLETRESPONSE RESPONE, FILTERCHAIN CHAIN)
melemparkan servletException, ioException {
Final String AuthorizationHeader = Request.GeTheader ("kebenaran");
Nama pengguna String = null;
String jwt = null;
jika (Pihak BerkuasaMeader! = NULL && AUTERNIZATIONHEADER.STARTSWITH ("pembawa")) {
JWT = Pihak berkuasa.Substring (7);
nama pengguna = jwtutil.extractuserName (jwt);
}
jika (nama pengguna! = null && keselamatanContexTholder.getContext (). getAuthentication () == null) {
UserDetails userDetails = this.userDetailsService.loadUserByuserName (username);
jika (jwtutil.validateToken (jwt, userDetails)) {
UsernamePasswordAuthenticationToken authToken = newPasswordAuthenticationToken (
userDetails, null, userDetails.getAuthorities ());
authToken.setDetails (baru WebAuthenticationDetailSsource (). BuildDetails (Request));
KeselamatanContexTholder.getContext (). SetAuthentication (authToken);
}
}
chain.dofilter (permintaan, respons);
}
}Langkah 6: Buat titik akhir pengesahan
Dedahkan titik akhir untuk menjana tanda apabila log masuk:
@RestController
kelas awam AuthController {
@Autowired
Authentication Private AuthenticationManager;
@Autowired
UserDetailSService UserDetailSService;
@Autowired
Jwtutil swasta JWtutil;
@PostMapping ("/mengesahkan")
Tindak Balas Awam <?> CreateAuthenticationToken (@RequestBody LoginRequest LoginRequest) melemparkan Pengecualian {
Cuba {
AuthenticationManager.Authenticate (
NeweMamePassWordAuthenticationToken (loginRequest.getUserName (), loginRequest.getPassword ())
);
} menangkap (badcredentialSexception e) {
Buang pengecualian baru ("Nama pengguna atau kata laluan yang tidak betul", e);
}
UserDetails akhir userDetails = userDetailsService.LoadUserByUserName (loginRequest.getuserName ());
String akhir jwt = jwtutil.generateToken (userDetails);
kembali responseNtity.OK (JWTresponse baru (JWT));
}
}Dan tindak balas DTO:
kelas awam jwtresponse {
token rentetan peribadi;
public jwtresponse (token string) {
this.token = token;
}
// getter
}Langkah 7: Uji API yang dijamin
Sekarang, mana -mana titik akhir selain daripada /authenticate memerlukan JWT yang sah:
@RestController
Democontroller kelas awam {
@GetMapping ("/terjamin")
rentetan awam SecureDEndPoint () {
kembali "Halo, anda disahkan!";
}
} Untuk mengakses /secured , sertakan tajuk:
Kebenaran: Pembawa <Your-Jwt-poken>
Amalan Terbaik & Petua Keselamatan
- ? Gunakan HTTPS dalam pengeluaran
- ? Simpan JWTS dengan selamat pada pelanggan (elakkan
localStoragejika boleh; lebih suka cookieshttpOnlyuntuk aplikasi web) - ? Tetapkan masa tamat tempoh pendek dan laksanakan token penyegaran
- ? Gunakan Rahsia Kuat atau Kekunci RSA (RS256 dan bukannya HS256 untuk pemisahan kunci yang lebih baik)
- ? Mengesahkan penerbit, penonton, dan tuntutan dalam pengeluaran
- ? Titik akhir pengesahan kadar untuk mengelakkan serangan kekerasan
Kesimpulan
Keselamatan Spring dengan JWT memberi anda asas yang mantap untuk mendapatkan API REST di Java. Walaupun persediaan melibatkan beberapa komponen -penggali, generasi token, dan konfigurasi -corak boleh diguna semula dan sesuai dengan seni bina aplikasi moden.
Dengan pengurusan utama dan pengendalian token yang betul, pendekatan ini menjadikan API anda selamat, tidak bersuara, dan berskala.
Pada dasarnya hanya wayar penapis, melindungi titik akhir anda, dan mengesahkan token pada setiap permintaan - dan anda baik untuk pergi.
Atas ialah kandungan terperinci Mengamankan API rehat di Java dengan keselamatan musim bunga dan JWT. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!
Alat AI Hot
Undress AI Tool
Gambar buka pakaian secara percuma
Undresser.AI Undress
Apl berkuasa AI untuk mencipta foto bogel yang realistik
AI Clothes Remover
Alat AI dalam talian untuk mengeluarkan pakaian daripada foto.
Clothoff.io
Penyingkiran pakaian AI
Video Face Swap
Tukar muka dalam mana-mana video dengan mudah menggunakan alat tukar muka AI percuma kami!
Artikel Panas
Alat panas
Notepad++7.3.1
Editor kod yang mudah digunakan dan percuma
SublimeText3 versi Cina
Versi Cina, sangat mudah digunakan
Hantar Studio 13.0.1
Persekitaran pembangunan bersepadu PHP yang berkuasa
Dreamweaver CS6
Alat pembangunan web visual
SublimeText3 versi Mac
Perisian penyuntingan kod peringkat Tuhan (SublimeText3)
Topik panas
Apakah jenis `enum` di Java?
Jul 02, 2025 am 01:31 AM
Enums di Java adalah kelas khas yang mewakili bilangan tetap nilai tetap. 1. Gunakan definisi kata kunci enum; 2. Setiap nilai enum adalah contoh akhir statik awam jenis enum; 3. Ia boleh termasuk bidang, pembina dan kaedah untuk menambah tingkah laku kepada setiap pemalar; 4. Ia boleh digunakan dalam pernyataan suis, menyokong perbandingan langsung, dan menyediakan kaedah terbina dalam seperti nama (), ordinal (), nilai () dan nilai (); 5. Penghitungan boleh meningkatkan jenis keselamatan, kebolehbacaan dan fleksibiliti kod, dan sesuai untuk senario pengumpulan terhad seperti kod status, warna atau minggu.
Apakah prinsip pemisahan antara muka?
Jul 02, 2025 am 01:24 AM
Prinsip pengasingan antara muka (ISP) menghendaki pelanggan tidak bergantung pada antara muka yang tidak digunakan. Inti adalah untuk menggantikan antara muka yang besar dan lengkap dengan pelbagai antara muka kecil dan halus. Pelanggaran prinsip ini termasuk: Pengecualian yang tidak diletakkan dilemparkan apabila kelas melaksanakan antara muka, sebilangan besar kaedah tidak sah dilaksanakan, dan fungsi yang tidak relevan secara paksa diklasifikasikan ke antara muka yang sama. Kaedah permohonan termasuk: membahagikan antara muka mengikut kaedah biasa, menggunakan antara muka berpecah mengikut pelanggan, dan menggunakan kombinasi dan bukannya pelaksanaan pelbagai antara muka jika perlu. Sebagai contoh, perpecahan antara muka mesin yang mengandungi kaedah percetakan, pengimbasan, dan faks ke dalam pencetak, pengimbas, dan faxmachine. Peraturan boleh dilonggarkan dengan sewajarnya apabila menggunakan semua kaedah pada projek kecil atau semua pelanggan.
Teknik Pengaturcaraan Asynchronous di Java Moden
Jul 07, 2025 am 02:24 AM
Java menyokong pengaturcaraan asynchronous termasuk penggunaan aliran yang boleh diselesaikan, aliran responsif (seperti ProjectReactor), dan benang maya di Java19. 1.CompletableFuture meningkatkan kebolehbacaan dan penyelenggaraan kod melalui panggilan rantai, dan menyokong orkestrasi tugas dan pengendalian pengecualian; 2. ProjectReactor menyediakan jenis mono dan fluks untuk melaksanakan pengaturcaraan responsif, dengan mekanisme tekanan belakang dan pengendali yang kaya; 3. Thread maya mengurangkan kos konvensional, sesuai untuk tugas I/O-intensif, dan lebih ringan dan lebih mudah untuk berkembang daripada benang platform tradisional. Setiap kaedah mempunyai senario yang berkenaan, dan alat yang sesuai harus dipilih mengikut keperluan anda dan model campuran harus dielakkan untuk mengekalkan kesederhanaan
Perbezaan antara boleh dipanggil dan boleh dijalankan di Java
Jul 04, 2025 am 02:50 AM
Terdapat tiga perbezaan utama antara yang boleh dipanggil dan boleh dijalankan di Jawa. Pertama, kaedah yang boleh dipanggil boleh mengembalikan hasilnya, sesuai untuk tugas -tugas yang perlu mengembalikan nilai, seperti yang boleh dipanggil; Walaupun kaedah run () runnable tidak mempunyai nilai pulangan, sesuai untuk tugas -tugas yang tidak perlu kembali, seperti pembalakan. Kedua, Callable membolehkan untuk membuang pengecualian yang diperiksa untuk memudahkan penghantaran ralat; Walaupun Runnable mesti mengendalikan pengecualian secara dalaman. Ketiga, Runnable boleh dihantar secara langsung ke benang atau executorservice, sementara yang boleh dipanggil hanya boleh dikemukakan ke executorservice dan mengembalikan objek masa depan untuk
Amalan terbaik untuk menggunakan enum di java
Jul 07, 2025 am 02:35 AM
Di Java, enums sesuai untuk mewakili set tetap tetap. Amalan terbaik termasuk: 1. Gunakan enum untuk mewakili keadaan tetap atau pilihan untuk meningkatkan keselamatan jenis dan kebolehbacaan; 2. Tambah sifat dan kaedah untuk meningkatkan fleksibiliti, seperti menentukan bidang, pembina, kaedah penolong, dan lain -lain; 3. Gunakan enummap dan enumset untuk meningkatkan prestasi dan jenis keselamatan kerana mereka lebih cekap berdasarkan tatasusunan; 4. Elakkan penyalahgunaan enum, seperti nilai dinamik, perubahan kerap atau senario logik kompleks, yang harus digantikan dengan kaedah lain. Penggunaan enum yang betul boleh meningkatkan kualiti kod dan mengurangkan kesilapan, tetapi anda perlu memberi perhatian kepada sempadannya yang berkenaan.
Memahami Java Nio dan kelebihannya
Jul 08, 2025 am 02:55 AM
Javanio adalah IOAPI baru yang diperkenalkan oleh Java 1.4. 1) bertujuan untuk penampan dan saluran, 2) mengandungi komponen teras penampan, saluran dan pemilih, 3) menyokong mod tidak menyekat, dan 4) mengendalikan sambungan serentak lebih cekap daripada IO tradisional. Kelebihannya dicerminkan dalam: 1) IO yang tidak menyekat mengurangkan overhead thread, 2) Buffer meningkatkan kecekapan penghantaran data, 3) pemilih menyedari multiplexing, dan 4) memori pemetaan memori sehingga membaca dan menulis fail. Nota Apabila menggunakan: 1) Operasi flip/jelas penampan mudah dikelirukan, 2) Data yang tidak lengkap perlu diproses secara manual tanpa menyekat, 3) Pendaftaran pemilih mesti dibatalkan dalam masa, 4) NIO tidak sesuai untuk semua senario.
Meneroka mekanisme penyegerakan yang berbeza di Java
Jul 04, 2025 am 02:53 AM
JavaprovidesmultiplesynchronizationToolsforthreadsafety.1.SynchronizedBlockSensensureMutualExclusionByLockingMethodsorspecificcodesections.2.reentrantlockoffersadvancedControl, termasuktrylockandfairnesspolicies.condition
Bagaimana Pemuat Kelas Java Berfungsi Secara Dalaman
Jul 06, 2025 am 02:53 AM
Mekanisme pemuatan kelas Java dilaksanakan melalui kelas, dan aliran kerja terasnya dibahagikan kepada tiga peringkat: memuatkan, menghubungkan dan memulakan. Semasa fasa pemuatan, kelas muat turun secara dinamik membaca bytecode kelas dan mencipta objek kelas; Pautan termasuk mengesahkan ketepatan kelas, memperuntukkan memori kepada pembolehubah statik, dan rujukan simbol parsing; Inisialisasi melakukan blok kod statik dan tugasan pembolehubah statik. Pemuatan kelas mengamalkan model delegasi induk, dan mengutamakan loader kelas induk untuk mencari kelas, dan cuba bootstrap, lanjutan, dan appliclassloader pada gilirannya untuk memastikan perpustakaan kelas teras selamat dan mengelakkan pemuatan pendua. Pemaju boleh menyesuaikan kelas, seperti UrlClassl
