Java 백엔드 개발: Spring Security를 사용한 API 보안
최신 웹 애플리케이션의 성장과 함께 API는 웹 개발의 중요한 부분이 되었습니다. 이러한 API는 모바일 장치, 웹 애플리케이션 및 기타 서비스에서 호출될 수 있으므로 API 보안이 중요합니다. Java 백엔드 개발에서 Spring Security는 API 보안을 보호하고 관리하는 강력한 프레임워크를 제공하는 인기 있는 선택입니다.
Spring Security는 API가 사용자 데이터를 보다 안전하게 보호하는 데 도움이 되는 강력하고 유연한 프레임워크입니다. Spring 프레임워크를 기반으로 하며 보안 메커니즘을 갖추고 있으며 인증, 권한 부여, Single Sign-On, 비밀번호 관리 등과 같은 많은 보안 기능을 제공합니다. 이 기사에서는 Java 백엔드에서 Spring Security를 사용하여 API를 보호하는 방법에 중점을 둘 것입니다.
Spring Security를 사용하여 API 보안을 구현하는 단계는 다음과 같습니다.
- Spring Security 구성
Spring Security 구성에서 가장 중요한 부분은 SecurityConfig 클래스입니다. 이 수업에서는 어떤 URL을 안전하게 관리해야 하는지, 어떤 URL을 해제해야 하는지 정의해야 합니다. 여기서 인증 및 권한 부여 메커니즘을 정의할 수도 있습니다.
샘플 코드:
@Configuration
@EnableWebSecurity
public class SecurityConfig 확장 WebSecurityConfigurerAdapter {
@Autowired
private AuthUserDetailsService userDetailsService;
@Autowired
private CustomAuthenticationProvider authProvider;
@Override
public voidconfigure(AuthenticationManagerBuilder auth)에서 예외가 발생했습니다. {
auth.authenticationProvider(authProvider); auth.userDetailsService(userDetailsService);
}
@Override
protected voidconfigure(HttpSecurity http) throws Exception {
http.authorizeRequests()
.antMatchers("/admin/**").hasAuthority("ADMIN")
.antMatchers("/api/**").authenticated()
.and()
.csrf().disable()
.formLogin().disable()
.httpBasic();}
}
위 샘플 코드에서는 Spring에서 제공하는 WebSecurityConfigurerAdapter 클래스를 상속하는 SecurityConfig 클래스를 정의합니다. 사용자 정보 인증을 위해 @Autowired 주석을 사용하여 자체 userDetailsService 및 authProvider를 삽입합니다. 구성() 메소드에서는 안전하게 관리해야 하는 URL을 정의합니다. 예를 들어 /admin/에는 액세스하려면 ADMIN 권한이 필요하고, /api/에는 액세스하기 전에 인증이 필요합니다.
- 사용자 정의 인증 구현
인증은 Spring 애플리케이션에서 가장 복잡한 부분 중 하나인 경우가 많습니다. Spring Security 프레임워크의 사용자 정의 인증 메커니즘을 사용하면 애플리케이션에서 인증을 쉽게 구현할 수 있습니다.
AuthenticationProvider 인터페이스의 authenticate(인증 인증) 메소드를 대체하여 인증 논리를 사용자 정의할 수 있습니다. 샘플 코드는 다음과 같습니다.
public 클래스 CustomAuthenticationProvider는 AuthenticationProvider {
@Override
public Authentication authenticate(Authentication authentication) throws AuthenticationException {
String username = authentication.getName();
String password = authentication.getCredentials().toString();
AuthUserDetails user = userDetailsService.loadUserByUsername(username);
if (!passwordEncoder.matches(password, user.getPassword())) {
throw new BadCredentialsException("Invalid username or password");
}
List<GrantedAuthority> authorities = new ArrayList<>();
for (AuthRole role : user.getAuthorities()) {
authorities.add(new SimpleGrantedAuthority(role.getRoleName()));
}
return new UsernamePasswordAuthenticationToken(user.getUsername(), null, authorities);
}
@Override
public boolean supports(Class<?> authentication) {
return authentication.equals(UsernamePasswordAuthenticationToken.class);
}}
를 구현합니다. 위 코드에서는 사용자 정의 인증의 논리를 한 줄씩 설명합니다. 먼저 수신 사용자 인증 정보를 얻은 후 맞춤형 인증 서비스를 통해 인증합니다. 사용자 이름과 비밀번호가 정확하면 인증 개체가 반환되고, 그렇지 않으면 BadCredentialsException이 발생합니다. 마지막으로 인증이 성공하면 UsernamePasswordAuthenticationToken 객체가 반환되고 Spring Security는 후속 인증 및 권한 부여 처리에 이 객체를 사용합니다.
- 역할 권한 부여 메커니즘 구현
Spring Security에서 @PreAuthorize 주석을 사용하여 어떤 역할이 어떤 리소스에 액세스할 수 있는지 정의할 수 있습니다. 이 주석에서는 SecurityConfig 클래스에서 정의한 역할을 정의할 수 있습니다.
샘플 코드:
@RestController
@RequestMapping("/api/v1/users")
public class UserController {
@Autowired
private UserService userService;
@GetMapping("/")
@PreAuthorize("hasAuthority('USER')")
public List<UserDTO> getUsers() {
List<User> users = userService.getUsers();
return UserMapper.toDtos(users);
}
@PostMapping("/")
@PreAuthorize("hasAuthority('ADMIN')")
public void createUser(@RequestBody UserDTO userDTO) {
User user = UserMapper.toEntity(userDTO);
userService.createUser(user);
}}
위 코드에서는 두 개의 getUser 메소드를 포함하는 사용자 컨트롤러 클래스를 정의합니다. () 및 createUser() @PreAuthorize 주석을 통한 보안 인증을 위한 것입니다. getUser() 메소드의 @PreAuthorize 주석은 'hasAuthority('USER')'이며, 이는 SecurityConfig 클래스에 정의된 역할에 해당합니다. 마찬가지로 createUser() 메서드의 @PreAuthorize 주석은 'hasAuthority('ADMIN')'이며, 이는 SecurityConfig 클래스에 정의된 역할에 해당합니다.
결론:
Spring Security 프레임워크를 사용하면 API 보안을 쉽게 수행할 수 있습니다. 인증 및 역할 권한 부여 메커니즘을 사용자 정의함으로써 애플리케이션을 더욱 안전하게 만들 수 있습니다. API 보안 관리를 위해 Spring Security를 사용할 때는 애플리케이션의 보안 요구사항을 고려한 후 요구사항에 따라 점진적으로 구성하고 구현해야 합니다.
위 내용은 Java 백엔드 개발: Spring Security를 사용한 API 보안의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!
핫 AI 도구
Undresser.AI Undress
사실적인 누드 사진을 만들기 위한 AI 기반 앱
AI Clothes Remover
사진에서 옷을 제거하는 온라인 AI 도구입니다.
Undress AI Tool
무료로 이미지를 벗다
Clothoff.io
AI 옷 제거제
AI Hentai Generator
AI Hentai를 무료로 생성하십시오.
인기 기사
뜨거운 도구
메모장++7.3.1
사용하기 쉬운 무료 코드 편집기
SublimeText3 중국어 버전
중국어 버전, 사용하기 매우 쉽습니다.
스튜디오 13.0.1 보내기
강력한 PHP 통합 개발 환경
드림위버 CS6
시각적 웹 개발 도구
SublimeText3 Mac 버전
신 수준의 코드 편집 소프트웨어(SublimeText3)
뜨거운 주제
7555
15
1382
52
83
11
59
19
28
96
Spring Security 6: cors()는 더 이상 사용되지 않으며 제거 대상으로 표시됩니다.
Feb 10, 2024 pm 11:45 PM
나는 아래에 있는 혁신적인 대안: publicSecurityFilterChainsecurityFilterChain(HttpSecurityhttp)throwsException{returnhttp.httpBasic().disable().cors().and().csrf().disable().authorizeHttpRequests().requestMatchers("
Java를 사용하여 Spring Security SAML 기반 Single Sign-On 시스템을 개발하는 방법
Sep 22, 2023 am 08:49 AM
Java를 사용하여 SpringSecuritySAML 기반 싱글 사인온 시스템을 개발하는 방법 소개: 인터넷의 급속한 발전으로 점점 더 많은 애플리케이션이 개발됩니다. 이러한 애플리케이션에서 사용자 로그인은 가장 일반적인 기능 중 하나입니다. 그러나 엔터프라이즈 수준 애플리케이션의 경우 사용자는 여러 시스템에 로그인해야 하므로 사용자 로그인 경험이 매우 저하됩니다. 이러한 문제를 해결하기 위해 싱글 사인온(SingleSign-On, SSO라고도 함) 시스템이 등장했습니다. 단순한
자신에게 가장 적합한 Java 진로를 선택할 수 있는 5가지 옵션은 무엇입니까?
Jan 30, 2024 am 10:35 AM
Java 업계에는 5가지 취업 방향이 있는데, 어떤 방향이 귀하에게 적합합니까? 소프트웨어 개발 분야에서 널리 사용되는 프로그래밍 언어인 Java는 항상 인기가 있었습니다. 강력한 크로스 플랫폼 특성과 풍부한 개발 프레임워크로 인해 Java 개발자는 다양한 산업 분야에서 폭넓은 채용 기회를 갖습니다. Java 산업에는 JavaWeb 개발, 모바일 애플리케이션 개발, 빅데이터 개발, 임베디드 개발, 클라우드 컴퓨팅 개발 등 5가지 주요 채용 방향이 있습니다. 각 방향에는 고유한 특성과 장점이 있습니다. 아래에서는 다섯 가지 방향에 대해 설명합니다.
GO 인증 액세스 토큰(keycloak)
Feb 09, 2024 am 09:30 AM
GO를 사용하여 액세스 토큰 유효성 검사를 구현하려고 합니다. 하지만 온라인에서 본 예에서는 TOKEN_SECRET을 사용하여 유효성을 검사하는 것 같습니다. 하지만 저는 Javaspring 프로그래밍에 익숙하므로 TOKEN_SECRET을 사용할 필요가 없습니다. jwk-set-uri를 제공하면 유효성(자동 보안 필터 등)이 확인되고 oauth 서버와 통신하여 유효성 검사를 수행한다는 것을 알고 있습니다. oauth 서버에 요청하여 토큰이 유효한지 확인하는 라이브러리가 Go에 없나요? oauth 서버의 userinfo 엔드포인트(http://localh)에 요청하여 이 작업을 수동으로 수행할 수 있다는 것을 알고 있습니다.
Java 백엔드 개발: Akka HTTP를 사용하여 반응형 API 구축
Jun 17, 2023 am 11:09 AM
반응형 프로그래밍은 오늘날의 웹 개발에서 점점 더 중요해지고 있습니다. AkkaHTTP는 Akka 기반의 고성능 HTTP 프레임워크로 반응형 REST 스타일 API를 구축하는 데 적합합니다. 이 기사에서는 AkkaHTTP를 사용하여 반응형 API를 구축하는 방법을 소개하고 몇 가지 실용적인 예를 제공합니다. 시작하자! AkkaHTTP를 선택하는 이유 반응형 API를 개발할 때 올바른 프레임워크를 선택하는 것이 중요합니다. AkkaHTTP는 매우 좋은 선택입니다.
Spring Security 권한 제어 프레임워크 사용 가이드
Feb 18, 2024 pm 05:00 PM
백엔드 관리 시스템에서는 일반적으로 다양한 사용자의 인터페이스 액세스 기능을 제한하기 위해 액세스 권한 제어가 필요합니다. 사용자에게 특정 권한이 없으면 특정 인터페이스에 액세스할 수 없습니다. 이 기사에서는 waynboot-mall 프로젝트를 예로 들어 일반적인 백엔드 관리 시스템이 권한 제어 프레임워크 SpringSecurity를 도입하는 방법을 소개합니다. 개요는 다음과 같습니다. waynboot-mall 프로젝트 주소: https://github.com/wayn111/waynboot-mall 1. SpringSecurity란? SpringSecurity는 강력하고 유연한 보안을 목표로 하는 Spring 프레임워크 기반의 오픈 소스 프로젝트입니다. Java 애플리케이션용.
Java를 사용하여 Spring Security OAuth2 기반의 Single Sign-On 시스템을 개발하는 방법
Sep 20, 2023 pm 01:06 PM
Java를 사용하여 SpringSecurityOAuth2 기반 싱글 사인온 시스템을 개발하는 방법 소개: 인터넷의 급속한 발전으로 인해 점점 더 많은 웹사이트와 애플리케이션에서 사용자가 로그인해야 하지만 사용자는 각 웹사이트나 애플리케이션을 기억하고 싶어하지 않습니다. 계좌번호와 비밀번호입니다. Single Sign-On 시스템(SingleSign-On, SSO라고도 함)은 이 문제를 해결하여 사용자가 한 번 로그인한 후 반복적인 인증 없이 여러 웹 사이트와 애플리케이션에 액세스할 수 있도록 합니다. 이 글에서 소개할
Java 백엔드 기능 개발에서 도메인 간 요청을 처리하는 방법은 무엇입니까?
Aug 05, 2023 am 09:40 AM
Java 백엔드 기능 개발에서 도메인 간 요청을 처리하는 방법은 무엇입니까? 프런트엔드와 백엔드가 분리된 개발 모델에서는 프런트엔드가 JavaScript를 통해 데이터를 얻기 위해 백엔드 API 인터페이스에 요청을 보내는 것은 매우 일반적인 시나리오입니다. 그러나 브라우저의 동일 출처 정책으로 인해 도메인 간 요청에는 제한이 있습니다. 교차 도메인 요청은 프런트 엔드 페이지가 AJAX 및 기타 방법을 통해 다른 도메인 이름, 다른 포트 또는 다른 프로토콜을 사용하는 서버를 요청하는 것을 의미합니다. 이 기사에서는 코드 예제와 함께 Java 백엔드 기능 개발 시 도메인 간 요청을 처리하는 일반적인 방법을 소개합니다. 교차 도메인 해결
