Quelques termes importants dans Spring Security

Spring est le framework web Java le plus connu aujourd'hui. Il est utilisé pour créer des applications Web via le langage de programmation Java. Pour utiliser ce framework, une solide expérience et une compréhension de Java sont nécessaires.

Protéger nos précieuses données contre les pratiques contraires à l’éthique est crucial. Dans cet article, nous présenterons quelques termes importants dans Spring Security qui nous aident à protéger les données des utilisateurs. Nous n’analyserons aucune terminologie en profondeur.

Conditions liées à Spring Security

Spring Security est un framework de sécurité open source qui fournit une solution de sécurité complète pour vos applications Spring. Il peut être facilement intégré au framework Spring et Spring Boot. Il gère les principaux domaines de la sécurité des applications tels que l'authentification, l'autorisation, CSRF, etc.

Discutons de quelques termes liés à Spring Security -

Authentification

Il s'agit du processus de vérification ou de vérification de l'identité de la personne interagissant avec l'application. Pour utiliser d'autres services de l'application, l'identité de l'utilisateur doit être vérifiée, ce qui constitue l'étape la plus importante. L'un des moyens courants d'authentifier un utilisateur consiste à saisir un nom d'utilisateur et un mot de passe. Spring Security possède son propre ensemble de fonctionnalités d'authentification qui peuvent être intégrées aux technologies suivantes -

• Authentification HTTP.

• LDAP, fournissant des exigences d'authentification multiplateforme.

• Authentification OpenID.

• Authentification basée sur un formulaire

• L'authentification automatique, comme "Remember Me", est une case à cocher sur le formulaire de connexion pour éviter une ré-authentification pendant un certain temps.

Spring Security dispose d'une excellente fonctionnalité appelée authentification en mémoire, qui permet de stocker les données utilisateur dans la mémoire de l'application ou dans la RAM. Nous pouvons nous authentifier sans perturber les autres bases de données. Cela nous fait gagner du temps et augmente l’efficacité.

Autorisation

Après avoir authentifié un utilisateur, l'étape suivante consiste à vérifier quelles actions un utilisateur spécifique est autorisé à effectuer, cette activité est appelée autorisation. Par exemple, un système de gestion des ressources humaines comporte deux types d’utilisateurs : l’un est constitué d’employés et l’autre d’administrateurs. Il existe certaines différences entre les autorisations des employés et des administrateurs. Les employés réguliers ne peuvent pas ajouter, mettre à jour ou supprimer des informations de quelque nature que ce soit, mais les administrateurs peuvent avoir le pouvoir de le faire.

Comprenons en termes très simples comment fonctionne l'autorisation dans Spring Security. Lors du processus d'authentification, une liste d'objets « GrantedAuthority » est créée. Ces objets représentent les autorisations accordées à un utilisateur ou à un système. Ces objets sont ensuite insérés dans l'objet "Authentication" par le "AuthenticationManager". Lors du processus de décision d'autorisation, l'objet "GrantedAuthority" est lu par "AccessDecisionMangers".

Encodage du mot de passe

Dans le monde, la plupart des appareils sont piratés et phishing en raison de mots de passe faibles. Évidemment, le renforcement des mots de passe est un autre sujet. Nous discuterons ici des mesures de sécurité prises par Spring Security.

L'erreur la plus grave est peut-être de stocker le mot de passe de l'utilisateur en texte clair. Heureusement, Spring Security permet l'utilisation de diverses méthodes d'encodage de mot de passe telles que MD5 et scrypt. Par défaut, BCrypt est utilisé pour chiffrer les mots de passe. Toutes ces techniques sont des algorithmes de hachage et nous n'avons pas besoin de les développer nous-mêmes. Ils sont écrits dans l'élément '<password-encoder>'.

La traduction chinoise de

Principal

est :

Principal

Ce terme a une signification particulière dans le cadre Spring Security. Il fait référence à l'utilisateur, à l'appareil ou à tout type de système qui interagit avec votre application et effectue tout type d'action.

Filtre

Pour appliquer ses services, Spring Security utilise une série de filtres. Chaque fois qu'il y a une demande d'un client, elle passe d'abord par ces filtres puis est exécutée. Certaines utilisations des filtres sont discutées ci-dessous −

• BasicAuthenticationFilter - L'authentification de base de l'utilisateur est prise en charge par ce filtre.

• FormBasedAuthenticationFilter - Il authentifie les demandes provenant des technologies de connexion basées sur des formulaires.

• CsrfFilter - Il gère les requêtes intersites.

• CorsFilter - Ce filtre gère le partage de ressources entre domaines.

Conclusion

Les deux principaux domaines cibles du framework Spring Security sont l'authentification et l'autorisation. Dans cet article, nous abordons les différentes techniques et méthodes utilisées par Sprind Security pour sécuriser les applications. La plupart des fonctionnalités sont entièrement personnalisables et peuvent être configurées selon nos besoins.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!