Utilisation de SpringSecurity pour le contrôle de sécurité dans le développement d'API Java-javaDidacticiel-php.cn

Maison

Java

javaDidacticiel

Utilisation de SpringSecurity pour le contrôle de sécurité dans le développement d'API Java

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB

Jun 18, 2023 am 09:50 AM

java springsecurity 安全控制

Avec le développement d'Internet, de plus en plus d'applications nécessitent un contrôle de sécurité. Spring Security est un framework open source qui fournit des fonctionnalités d'authentification et d'autorisation qui peuvent être intégrées à diverses applications Java. Cet article explique comment utiliser Spring Security pour le contrôle de sécurité dans le développement d'API Java.

1. Qu'est-ce que Spring Security

Spring Security est un framework d'extension pour le contrôle de sécurité dans le framework Spring. Il fournit certaines fonctions de sécurité courantes, telles que l'authentification des utilisateurs, l'autorisation et la protection contre les attaques courantes. Spring Security s'appelait Acegi Security à ses débuts et a été développé par Acegi Technology. Il a ensuite été acquis par SpringSource (maintenant VMware) et est devenu un projet open source de SpringSource. Spring Security est extensible et flexible et peut être utilisé avec plusieurs méthodes d'authentification (telles que basées sur des formulaires, CAS, LDAP, OpenID, etc.). Dans cet article, nous présenterons les méthodes d'authentification basées sur des formulaires.

2. Principes de base de Spring Security

Spring Security implémente un contrôle de sécurité basé sur la technologie Servlet et Filter. Il intercepte les demandes des clients via la chaîne de filtrage, les authentifie et les autorise. Le filtre le plus couramment utilisé dans Spring Security est DelegatingFilterProxy, qui peut transmettre les demandes des clients au FilterChainProxy de Spring Security pour traitement. FilterChainProxy de Spring Security est responsable de la sélection de la FilterChain correspondante pour le traitement en fonction des règles de correspondance de l'URL de la demande. Chaque FilterChain contient un ensemble de filtres, et chaque filtre est chargé d'effectuer des opérations de contrôle de sécurité spécifiques, telles que l'authentification d'identité, l'autorisation, la prévention des attaques CSRF, etc.

3. Configuration de Spring Security

Ce qui suit est un exemple d'utilisation du fichier de configuration Spring Security :

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Autowired
    public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
        auth
            .inMemoryAuthentication()
                .withUser("user").password("{noop}password").roles("USER")
                .and()
                .withUser("admin").password("{noop}password").roles("USER", "ADMIN");
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
                .antMatchers("/admin/**").hasRole("ADMIN")
                .anyRequest().authenticated()
                .and()
            .formLogin()
                .and()
            .logout()
                .logoutUrl("/logout")
                .logoutSuccessUrl("/login");
    }
}

Copier après la connexion

Le fichier de configuration ci-dessus définit deux noms d'utilisateur et mots de passe, ainsi que les rôles correspondants. Parmi eux, {noop} signifie utiliser le stockage de mots de passe en texte brut. Dans le développement actuel, il est recommandé d'utiliser des algorithmes de cryptage pour crypter et stocker les mots de passe. Pour l'authentification et l'autorisation, nous pouvons utiliser la méthode authorizeRequests pour la configuration. Dans la configuration ci-dessus, les demandes d'accès à /admin/** ne sont accessibles qu'aux utilisateurs dotés du rôle ADMIN. Pour toute autre demande, seule une authentification est requise. Spring Security fournit également une fonction d'authentification par formulaire. Nous la configurons en appelant la méthode formLogin et utilisons la méthode de déconnexion pour implémenter la fonction de déconnexion.

4. Utilisez Spring Security pour l'authentification et l'autorisation

Ce qui suit est un exemple de code qui inclut l'authentification et l'autorisation :

@RestController
@RequestMapping("/api")
public class ApiController {
    @GetMapping("/hello")
    public String hello() {
        return "Hello, world!";
    }

    @GetMapping("/admin")
    public String admin() {
        return "Welcome, admin!";
    }
}

Copier après la connexion

Le code ci-dessus contient une API Hello World et une API qui nécessite des privilèges d'administrateur. Pour utiliser Spring Security afin d'effectuer un contrôle de sécurité sur ces API, nous devons créer une classe qui hérite de WebSecurityConfigurerAdapter et implémenter la méthode configure :

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
                .antMatchers("/api/admin").hasRole("ADMIN")
                .anyRequest().authenticated()
                .and()
            .formLogin();
    }

    @Autowired
    public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
        auth
            .inMemoryAuthentication()
                .withUser("user").password("{noop}password").roles("USER")
                .and()
                .withUser("admin").password("{noop}password").roles("USER", "ADMIN");
    }
}

Copier après la connexion

Dans le code ci-dessus, nous avons utilisé la méthode inMemoryAuthentication de Spring Security pour créer deux utilisateurs, l'un utilisant USER. Rôles, on utilise les rôles ADMIN et USER. Dans la méthode configure, nous utilisons la méthode authorizeRequests pour configurer l'API /api/admin afin d'autoriser uniquement l'accès aux utilisateurs dotés du rôle ADMIN, et utilisons anyRequest pour configurer que toute autre demande nécessite une authentification. Enfin, nous configurons la fonctionnalité d'authentification par formulaire à l'aide de la méthode formLogin.

Après avoir utilisé la configuration ci-dessus, lorsque l'utilisateur accède à une API qui nécessite une authentification d'identité, Spring Security sera redirigé vers une page de connexion par défaut. Après avoir entré le nom d'utilisateur et le mot de passe corrects, il peut obtenir une autorisation et accéder à l'API qui nécessite une autorisation. API.

5. Résumé

Cet article présente comment utiliser Spring Security pour le contrôle de sécurité dans le développement d'API Java et explique en détail les principes de base, la configuration et l'utilisation de Spring Security. Spring Security est un cadre de sécurité puissant, facile à utiliser, flexible et extensible qui fournit des fonctions complètes d'authentification et d'autorisation d'identité pour les applications Java. Il mérite une étude et une application approfondies par les programmeurs.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!

Déclaration de ce site Web

Le contenu de cet article est volontairement contribué par les internautes et les droits d'auteur appartiennent à l'auteur original. Ce site n'assume aucune responsabilité légale correspondante. Si vous trouvez un contenu suspecté de plagiat ou de contrefaçon, veuillez contacter admin@php.cn

Outils d'IA chauds

Undresser.AI Undress

Application basée sur l'IA pour créer des photos de nu réalistes

AI Clothes Remover

Outil d'IA en ligne pour supprimer les vêtements des photos.

Undress AI Tool

Images de déshabillage gratuites

Clothoff.io

Dissolvant de vêtements AI

AI Hentai Generator

Générez AI Hentai gratuitement.

Afficher plus

Article chaud

R.E.P.O. Crystals d'énergie expliqués et ce qu'ils font (cristal jaune)

1 Il y a quelques mois By 尊渡假赌尊渡假赌尊渡假赌

R.E.P.O. Meilleurs paramètres graphiques

1 Il y a quelques mois By 尊渡假赌尊渡假赌尊渡假赌

Assassin's Creed Shadows: Solution d'énigmes de coquille

2 Il y a quelques semaines By DDD

R.E.P.O. Comment réparer l'audio si vous n'entendez personne

1 Il y a quelques mois By 尊渡假赌尊渡假赌尊渡假赌

R.E.P.O. Commandes de chat et comment les utiliser

1 Il y a quelques mois By 尊渡假赌尊渡假赌尊渡假赌

Afficher plus

Outils chauds

Bloc-notes++7.3.1

Éditeur de code facile à utiliser et gratuit

SublimeText3 version chinoise

Version chinoise, très simple à utiliser

Envoyer Studio 13.0.1

Puissant environnement de développement intégré PHP

Dreamweaver CS6

Outils de développement Web visuel

SublimeText3 version Mac

Logiciel d'édition de code au niveau de Dieu (SublimeText3)

Afficher plus

Sujets chauds

Où se trouve l'entrée de connexion pour la messagerie Gmail ?

7532

Tutoriel CakePHP

1379

Quel est le format du nom de compte de Steam

Clé d&amp;amp;amp;amp;amp;amp;#39;activation Win11 permanent

NYT Connexions Indices et réponses

Afficher plus

Related knowledge

Nombre parfait en Java Aug 30, 2024 pm 04:28 PM

Guide du nombre parfait en Java. Nous discutons ici de la définition, comment vérifier le nombre parfait en Java ?, des exemples d'implémentation de code.

Générateur de nombres aléatoires en Java Aug 30, 2024 pm 04:27 PM

Guide du générateur de nombres aléatoires en Java. Nous discutons ici des fonctions en Java avec des exemples et de deux générateurs différents avec d'autres exemples.

Weka en Java Aug 30, 2024 pm 04:28 PM

Guide de Weka en Java. Nous discutons ici de l'introduction, de la façon d'utiliser Weka Java, du type de plate-forme et des avantages avec des exemples.

Numéro de Smith en Java Aug 30, 2024 pm 04:28 PM

Guide du nombre de Smith en Java. Nous discutons ici de la définition, comment vérifier le numéro Smith en Java ? exemple avec implémentation de code.

Questions d'entretien chez Java Spring Aug 30, 2024 pm 04:29 PM

Dans cet article, nous avons conservé les questions d'entretien Java Spring les plus posées avec leurs réponses détaillées. Pour que vous puissiez réussir l'interview.

Break or Return of Java 8 Stream Forach? Feb 07, 2025 pm 12:09 PM

Java 8 présente l'API Stream, fournissant un moyen puissant et expressif de traiter les collections de données. Cependant, une question courante lors de l'utilisation du flux est: comment se casser ou revenir d'une opération FOREAK? Les boucles traditionnelles permettent une interruption ou un retour précoce, mais la méthode Foreach de Stream ne prend pas directement en charge cette méthode. Cet article expliquera les raisons et explorera des méthodes alternatives pour la mise en œuvre de terminaison prématurée dans les systèmes de traitement de flux. Lire plus approfondie: Améliorations de l'API Java Stream Comprendre le flux Forach La méthode foreach est une opération terminale qui effectue une opération sur chaque élément du flux. Son intention de conception est

Horodatage à ce jour en Java Aug 30, 2024 pm 04:28 PM

Guide de TimeStamp to Date en Java. Ici, nous discutons également de l'introduction et de la façon de convertir l'horodatage en date en Java avec des exemples.

Programme Java pour trouver le volume de la capsule Feb 07, 2025 am 11:37 AM

Les capsules sont des figures géométriques tridimensionnelles, composées d'un cylindre et d'un hémisphère aux deux extrémités. Le volume de la capsule peut être calculé en ajoutant le volume du cylindre et le volume de l'hémisphère aux deux extrémités. Ce tutoriel discutera de la façon de calculer le volume d'une capsule donnée en Java en utilisant différentes méthodes. Formule de volume de capsule La formule du volume de la capsule est la suivante: Volume de capsule = volume cylindrique volume de deux hémisphères volume dans, R: Le rayon de l'hémisphère. H: La hauteur du cylindre (à l'exclusion de l'hémisphère). Exemple 1 entrer Rayon = 5 unités Hauteur = 10 unités Sortir Volume = 1570,8 unités cubes expliquer Calculer le volume à l'aide de la formule: Volume = π × r2 × h (4

See all articles