首页

如何使用Spring Boot和Spring Security来保护REST API?

rest java spring spring-security
2022-08-31 11:18:47

我知道保护REST API是被广泛评论的主题,但我无法创建一个符合我的标准的小型原型(我需要确认这些标准是否现实)。有很多选择如何保护资源以及如何与Spring安全一起工作,我需要澄清我的需求是否现实。

我的要求

  • 基于令牌的身份验证器 - 用户将提供其凭据并获得唯一且有时间限制的访问令牌。我想在我自己的实现中管理令牌创建,检查有效性,过期。
  • 一些 REST 资源将是公开的 - 根本不需要进行身份验证,
  • 某些资源将仅对具有管理员权限的用户进行访问,
  • 所有用户在授权后都可以访问其他资源。
  • 我不想使用基本身份验证
  • Java 代码配置(不是 XML)

现状

我的 REST API 运行良好,但现在我需要保护它。当我在寻找解决方案时,我创建了一个过滤器:javax.servlet.Filter

  @Override
    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {

        HttpServletRequest request = (HttpServletRequest) req;

        String accessToken = request.getHeader(AUTHORIZATION_TOKEN);
        Account account = accountDao.find(accessToken);

        if (account == null) {    
            throw new UnauthorizedException();    
        }

        chain.doFilter(req, res);

    }

但是这个解决方案不能像我需要的那样工作,因为通过Spring进行异常处理存在问题。javax.servlet.filters@ControllerAdviceservlet dispatcher

我需要什么

我想知道这些标准是否现实并获得任何帮助,如何开始使用Spring Security保护REST API。我阅读了许多教程(例如Spring Data REST + Spring Security),但所有教程都以非常基本的配置工作 - 具有凭据的用户在配置中存储在内存中,我需要使用DBMS并创建自己的身份验证器。

请给我一些如何开始的想法。


答案 1

基于令牌的身份验证 - 用户将提供其凭据并获得唯一且有时间限制的访问令牌。我想在我自己的实现中管理令牌创建,检查有效性,过期。

实际上,使用过滤器进行令牌身份验证 - 在这种情况下,最好的方法

最终,您可以通过Spring Data创建CRUD,用于管理Token的属性,例如过期等。

这是我的令牌过滤器:http://pastebin.com/13WWpLq2

和令牌服务实现

http://pastebin.com/dUYM555E

某些 REST 资源将是公共的 - 根本不需要进行身份验证

这不是问题,您可以通过Spring安全配置来管理您的资源,如下所示:.antMatchers("/rest/blabla/**").permitAll()

某些资源将仅对具有管理员权限的用户进行访问,

看看课堂注释。例:@Secured

@Controller
@RequestMapping(value = "/adminservice")
@Secured("ROLE_ADMIN")
public class AdminServiceController {

所有用户在授权后都可以访问其他资源。

回到Spring Security配置,你可以像这样配置你的网址:

    http
            .authorizeRequests()
            .antMatchers("/openforall/**").permitAll()
            .antMatchers("/alsoopen/**").permitAll()
            .anyRequest().authenticated()

我不想使用基本身份验证

是的,通过令牌过滤器,您的用户将进行身份验证。

Java 代码配置(不是 XML)

回到上面的话,看看.您的课程将是:@EnableWebSecurity

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {}

您必须重写配置方法。下面的代码,例如,如何配置匹配器。它来自另一个项目。

    @Override
protected void configure(HttpSecurity http) throws Exception {
    http
            .authorizeRequests()
            .antMatchers("/assets/**").permitAll()
            .anyRequest().authenticated()
            .and()
            .formLogin()
                .usernameParameter("j_username")
                .passwordParameter("j_password")
                .loginPage("/login")
                .defaultSuccessUrl("/", true)
                .successHandler(customAuthenticationSuccessHandler)
                .permitAll()
            .and()
                .logout()
                .logoutUrl("/logout")
                .invalidateHttpSession(true)
                .logoutSuccessUrl("/")
                .deleteCookies("JSESSIONID")
                .logoutRequestMatcher(new AntPathRequestMatcher("/logout"))
            .and()
                .csrf();
}

答案 2

Spring安全性对于为REST URL提供身份验证和授权也非常有用。我们无需指定任何自定义实现。

首先,您需要在安全配置中指定 entry-point-ref to restAuthenticationEntryPoint,如下所示。

 <security:http pattern="/api/**" entry-point-ref="restAuthenticationEntryPoint" use-expressions="true" auto-config="true" create-session="stateless" >

    <security:intercept-url pattern="/api/userList" access="hasRole('ROLE_USER')"/>
    <security:intercept-url pattern="/api/managerList" access="hasRole('ROLE_ADMIN')"/>
    <security:custom-filter ref="preAuthFilter" position="PRE_AUTH_FILTER"/>
</security:http>

restAuthenticationEntryPoint 的实现可能如下所示。

 @Component
public class RestAuthenticationEntryPoint implements AuthenticationEntryPoint {

   public void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException authException ) throws IOException {
      response.sendError( HttpServletResponse.SC_UNAUTHORIZED, "Unauthorized" );
   }
}

在此之后,您需要指定 RequestHeaderAuthenticationFilter。它包含 RequestHeader 键。这基本上用于识别用户的身份验证。通常,RequestHeader 在进行 REST 调用时会携带此信息。例如,考虑以下代码

   <bean id="preAuthFilter" class="org.springframework.security.web.authentication.preauth.RequestHeaderAuthenticationFilter">
    <property name="principalRequestHeader" value="Authorization"/>
    <property name="authenticationManager" ref="authenticationManager" />
  </bean>

这里

<property name="principalRequestHeader" value="Authorization"/>

“授权”是传入请求中呈现的密钥。它保存所需用户的身份验证信息。此外,您还需要配置预身份验证身份验证提供程序以满足我们的要求。

   <bean id="preauthAuthProvider" class="org.springframework.security.web.authentication.preauth.PreAuthenticatedAuthenticationProvider">
<property name="preAuthenticatedUserDetailsService">
  <bean id="userDetailsServiceWrapper"
      class="org.springframework.security.core.userdetails.UserDetailsByNameServiceWrapper">
    <property name="userDetailsService" ref="authenticationService"/>
  </bean>
</property>
</bean>

此代码将用于通过身份验证和授权来保护 REST URL,而无需任何自定义实现。

有关完整代码,请找到以下链接:

https://github.com/srinivas1918/spring-rest-security


推荐
更多 »
标签
更多 »
php pass-by-reference optional-parameters default-value javascript arrays dom function string object serialization tostring visibility syntax jslint use-strict operators equality equality-operator identity-operator datetime timestamp date-arithmetic redirect angularjs loops foreach iteration scope variables
推荐
更多 »