AAD 및 AWS Cognito를 사용하여 다양한 엔드포인트에 대한 Spring Boot REST API 보안
php 편집자 Baicao는 AAD 및 AWS Cognito를 사용하여 Spring Boot REST API를 보호하는 방법에 대한 Java Q&A 기사를 신중하게 작성했습니다. 이 기사에서는 이 두 가지 인증 서비스를 활용하여 다양한 엔드포인트를 보호하고 API가 안전한지 확인하는 방법을 살펴보겠습니다. 가이드를 따라 Spring Boot 프로젝트에서 인증 및 권한 부여를 구현하여 REST API를 더욱 강력하고 안정적으로 만드는 방법을 알아보세요.
질문 내용
이 주제에 대한 리소스를 어디에서도 찾을 수 없으므로 누군가가 나를 도와줄 수 있기를 바랍니다.
스프링 부트 Restapi가 있고 현재 구성에는 두 가지 경로가 있습니다: 1. 승인되지 않음 2. aad/entra 전달자를 통해 승인됨
내 구성 방법은 현재 다음과 같이 설정되어 있습니다.
으아악확장된 클래스aadresourceserverwebsecurityconfigureradapter
로 포장되어 있습니다.
이러한 방식으로 API를 구성하면 다음과 같이 경로를 보호할 수 있습니다.
으아악이제 새로운 유형의 사용자가 인증 엔드포인트를 사용할 수 있도록 API가 확장되어야 합니다. 이러한 사용자는 aws cognito에 의해 관리됩니다. 일부 경로를 무단으로 허용하고, 일부 경로를 aad를 통해 보호하고, 일부 경로를 aws cognito를 통해 보호하도록 websecurityconfigureradapter
를 설정하려면 어떻게 해야 합니까?
내가 겪고 있는 주요 문제는 aadresourceserverwebsecurityconfigureradapter
Microsoft에서 제공하는 전달자에서만 작동하도록 jwt 유효성 검사를 구성하는 것입니다.
이상적으로는 다음과 같은 것을 원합니다:
으아악내가 발견한 또 다른 문제는 aadresourceserverwebsecurityconfigureradapter
jwtclaimnames "roles" 및 "scp"에 대해 가능한 모든 접두사를 "scope_" 및 "approle_"로 자동 설정하는 것입니다. 이상적으로는 "aad_scope_", "aad_approle_" 및 "cognito_group_"이라는 접두사를 붙이도록 aad와 aws cognito에 대해 서로 다르기를 바랍니다.
스프링 부트에 대해 다중 테넌트 jwt 인증을 구현하는 방법을 설명하는 정보를 찾았지만 모두 SQL 데이터베이스만 사용하여 비밀번호/사용자 기반 인증을 구현합니다.
aws cognito에서 제공하는 jwt 검증을 혼합할 수 있도록 기본적으로 모든 aad 로직을 다시 구현해야 하는 방법이 있습니까, 아니면 라우팅을 기반으로 결정을 내리는 방법이 있습니까?
httpsecurity
上使用 oauth2resourceserver()
함수에서 jwt 사용을 구성할 수 있다는 것을 이미 알고 있지만 단일 테넌트에 대해 해당 기능을 구현하는 방법에 대한 정보만 찾았습니다.
이 특정 사례나 유사한 사례를 성공적으로 구현한 사람이 있거나 나를 올바른 방향으로 이끌 수 있는 사람이 있다면 매우 감사하겠습니다. 아니면 내 생각이 완전히 틀렸을 수도 있으니 알려주세요.
작업 솔루션 업데이트 사용(2024년 1월 25일)
@ch4mp님의 답변 덕분에 성공했습니다. >작업 답변<
내 구현은 이제 매우 단순화되었으며 다음과 같습니다.
application.yml
으아악보안 구성
으아악내 컨트롤러는 이제 다음과 같습니다:
으아악build.gradle
으아악This는 봄의 공식 런처가 아니지만 OSS 구현: https://www.php.cn/link/49844ba129a1cbc3d964703fcdb756ba
다른 문제가 발생하면 다시 업데이트하겠지만 현재로서는 작동합니다.
Solution
여기서 my starter를 사용하여 솔루션을 공개하겠습니다. 왜냐하면 더 쉽기 때문입니다.
보안 구성을 구축하기 위해 "공식" 스프링 부트 스타터만 사용하려는 경우 iss
声明提供自己的 authenticationmanagerresolver<httpservletrequest>를 사용해야 합니다. 각 인증 관리자에는 소스 클레임을 처리하기 위한 자체 인증 변환기와 권한 변환기가 있으며 필수 접두사가 필요합니다. 예제와 구현 팁을 보려면 <a href="https://www.php.cn/link/49844ba129a1cbc3d964703fcdb756ba/tree/master/samples/tutorials" rel="nofollow noreferrer">내 튜토리얼</a> 또는 <a href="https://www.php.cn/link/37841383bc8c327de7912cf44790f3fd" rel="nofollow noreferrer">공식 문서</a>를 찾아보세요. <a href="https://www.php.cn/link/945a1b4276b1524763d2acc19dc8c475">이 다른 답변</a>도 도움이 될 수 있습니다(권한 매핑 요구 사항은 완전히 다르지만 인증 관리자 확인자는 비슷합니다). </p>
<h3 id="부팅-code-code-및-스프링-애드온">부팅<code>3.2.2
및 스프링 애드온을 사용하세요.
으아악
으아악
다음을 편집하여 application.yaml
나만의 출판사를 배치하세요.
위의 path
값은 json 경로입니다. jsonpath.com과 같은 도구를 사용하여 자체 토큰 페이로드(jwt.io와 같은 도구를 사용하여 추출)에 대해 경로 표현식을 테스트할 수 있습니다.
네, 정말 간단해요. 아니요, yaml 속성이나 Java 구성을 생략하지 않았습니다. 제 말을 믿지 못하시면 새 프로젝트에서 테스트해 보세요.
示例控制器
@restcontroller public class greetcontroller { @getmapping("/greet") @preauthorize("isauthenticated()") public string getgreet(authentication auth) { return "hello %s! you are granted with %s.".formatted(auth.getname(), auth.getauthorities()); } @getmapping(value = "/strings") @preauthorize("hasanyauthority('aad_approle_admin', 'cognito_group_admin')") public list<string> getstrings() { return list.of("protected", "strings"); } }
示例测试
@webmvctest(controllers = greetcontroller.class) @autoconfigureaddonswebmvcresourceserversecurity @import(securityconf.class) class greetcontrollertest { @autowired mockmvcsupport api; @test @withanonymoususer void givenuserisanonymous_whengetgreet_thenunauthorized() throws unsupportedencodingexception, exception { api.get("/greet").andexpect(status().isunauthorized()); } @test @withjwt("aad_admin.json") void givenuserisaadadmin_whengetgreet_thenok() throws unsupportedencodingexception, exception { final var actual = api.get("/greet").andexpect(status().isok()).andreturn().getresponse().getcontentasstring(); assertequals( "hello aad-admin! you are granted with [aad_approle_msiam_access, aad_approle_admin, aad_scope_openid, aad_scope_profile, aad_scope_machin:truc].", actual); } @test @withjwt("cognito_admin.json") void givenuseriscognitoadmin_whengetgreet_thenok() throws unsupportedencodingexception, exception { final var actual = api.get("/greet").andexpect(status().isok()).andreturn().getresponse().getcontentasstring(); assertequals("hello amazon-cognito-admin! you are granted with [cognito_group_admin, cognito_group_machin:truc].", actual); } @test @withjwt("aad_machin-truc.json") void givenuserisaadmachintruc_whengetgreet_thenok() throws unsupportedencodingexception, exception { final var actual = api.get("/greet").andexpect(status().isok()).andreturn().getresponse().getcontentasstring(); assertequals("hello aad-user! you are granted with [aad_approle_msiam_access, aad_scope_openid, aad_scope_profile, aad_scope_machin:truc].", actual); } @test @withjwt("cognito_machin-truc.json") void givenuseriscognitomachintruc_whengetgreet_thenok() throws unsupportedencodingexception, exception { final var actual = api.get("/greet").andexpect(status().isok()).andreturn().getresponse().getcontentasstring(); assertequals("hello amazon-cognito-user! you are granted with [cognito_group_machin:truc].", actual); } @test @withanonymoususer void givenuserisanonymous_whengetstrings_thenunauthorized() throws unsupportedencodingexception, exception { api.get("/strings").andexpect(status().isunauthorized()); } @test @withjwt("aad_admin.json") void givenuserisaadadmin_whengetstrings_thenok() throws unsupportedencodingexception, exception { final var actual = api.get("/strings").andexpect(status().isok()).andreturn().getresponse().getcontentasstring(); assertequals("[\"protected\",\"strings\"]", actual); } @test @withjwt("cognito_admin.json") void givenuseriscognitoadmin_whengetstrings_thenok() throws unsupportedencodingexception, exception { final var actual = api.get("/strings").andexpect(status().isok()).andreturn().getresponse().getcontentasstring(); assertequals("[\"protected\",\"strings\"]", actual); } @test @withjwt("aad_machin-truc.json") void givenuserisaadmachintruc_whengetstrings_thenforbidden() throws unsupportedencodingexception, exception { api.get("/strings").andexpect(status().isforbidden()); } @test @withjwt("cognito_machin-truc.json") void givenuseriscognitomachintruc_whengetstrings_thenforbidden() throws unsupportedencodingexception, exception { api.get("/strings").andexpect(status().isforbidden()); } }
使用此测试资源:
aad_admin.json
{ "sub": "aad-admin", "iss": "https://sts.windows.net/0a962d63-6b23-4416-81a6-29f88c553998/", "approles": [ { "allowedmembertypes": [ "user" ], "description": "msiam_access", "displayname": "msiam_access", "id": "ef7437e6-4f94-4a0a-a110-a439eb2aa8f7", "isenabled": true, "origin": "application", "value": null }, { "allowedmembertypes": [ "user" ], "description": "administrators only", "displayname": "admin", "id": "4f8f8640-f081-492d-97a0-caf24e9bc134", "isenabled": true, "origin": "serviceprincipal", "value": "administrator" } ], "scope": "openid profile machin:truc" }
aad_machin-truc.json
{ "sub": "aad-user", "iss": "https://sts.windows.net/0a962d63-6b23-4416-81a6-29f88c553998/", "approles": [ { "allowedmembertypes": [ "user" ], "description": "msiam_access", "displayname": "msiam_access", "id": "ef7437e6-4f94-4a0a-a110-a439eb2aa8f7", "isenabled": true, "origin": "application", "value": null } ], "scope": "openid profile machin:truc" }
cognito_admin.json
{ "sub": "amazon-cognito-admin", "iss": "https://cognito-idp.us-west-2.amazonaws.com/us-west-2_rzhmglwjl", "cognito:groups": ["admin", "machin:truc"], "scope": "openid profile cog:scope" }
cognito_machin-truc.json
{ "sub": "amazon-cognito-user", "iss": "https://cognito-idp.us-west-2.amazonaws.com/us-west-2_RzhmgLwjl", "cognito:groups": ["machin:truc"], "scope": "openid profile cog:scope" }
위 내용은 AAD 및 AWS Cognito를 사용하여 다양한 엔드포인트에 대한 Spring Boot REST API 보안의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

핫 AI 도구

Undresser.AI Undress
사실적인 누드 사진을 만들기 위한 AI 기반 앱

AI Clothes Remover
사진에서 옷을 제거하는 온라인 AI 도구입니다.

Undress AI Tool
무료로 이미지를 벗다

Clothoff.io
AI 옷 제거제

AI Hentai Generator
AI Hentai를 무료로 생성하십시오.

인기 기사

뜨거운 도구

메모장++7.3.1
사용하기 쉬운 무료 코드 편집기

SublimeText3 중국어 버전
중국어 버전, 사용하기 매우 쉽습니다.

스튜디오 13.0.1 보내기
강력한 PHP 통합 개발 환경

드림위버 CS6
시각적 웹 개발 도구

SublimeText3 Mac 버전
신 수준의 코드 편집 소프트웨어(SublimeText3)

뜨거운 주제











2009년 창립 이래 비트코인은 암호화폐 세계의 리더가 되었으며 가격은 큰 변동을 겪었습니다. 포괄적인 역사적 개요를 제공하기 위해 이 기사에서는 2009년부터 2025년까지의 비트코인 가격 데이터를 수집하여 주요 시장 이벤트, 시장 정서 변화, 가격 변동에 영향을 미치는 중요한 요소를 다룹니다.

1. 먼저 Windows 11 하단 작업 표시줄의 빈 공간을 마우스 오른쪽 버튼으로 클릭한 후 [작업 표시줄 설정]을 선택하세요. 2. 작업 표시줄 설정 오른쪽의 [taskbarcorneroverflow]를 찾아보세요. 3. 그런 다음 위에 있는 [시계] 또는 [시계]를 찾아 선택하여 켜세요. 방법 2: 1. 키보드 단축키 [win+r]를 눌러 실행을 호출하고 [regedit]를 입력한 후 Enter를 눌러 확인합니다. 2. 레지스트리 편집기를 열고 [HKEY_CURRENT_USERControlPanel]을 찾아 삭제합니다. 3. 삭제 후 컴퓨터를 다시 시작하면 시스템으로 돌아오면 구성을 묻는 메시지가 표시됩니다.

답변: Java 함수형 프로그래밍 질문에 대해 다음 커뮤니티 포럼 및 토론 그룹을 사용할 수 있습니다. StackOverflow: Java 함수형 프로그래밍 전문가 커뮤니티가 있는 세계 최대 규모의 프로그래밍 Q&A 웹 사이트입니다. JavaFunctionalProgramming: Java 기능 프로그래밍에 중점을 두고 개념, 언어 기능 및 모범 사례에 대한 토론을 제공하는 커뮤니티 포럼입니다. Redditr/functionjava: 도구, 라이브러리 및 기술에 중점을 두고 Java의 함수형 프로그래밍에 중점을 둔 하위 레딧입니다. Discord: JavaFunctional 프로그래밍: 실시간 토론, 코드 공유, 협업을 제공하는 Discord 서비스

다른 사람의 Python 코드를 어떻게 사용하나요? 코드 저장소 찾기: PyPI 및 GitHub와 같은 플랫폼에서 필요한 코드를 찾으세요. 설치 코드: pip를 사용하거나 GitHub 저장소를 복제하여 설치합니다. 모듈 가져오기: 스크립트에서 import 문을 사용하여 설치된 모듈을 가져옵니다. 코드 작업: 모듈의 함수 및 클래스에 액세스합니다. (선택 사항) 코드 조정: 필요에 따라 프로젝트에 맞게 코드를 수정합니다.

내 win11 컴퓨터의 시간이 항상 틀리면 어떻게 해야 합니까? 우리 모두 win11 시스템을 사용할 때 시간이나 달력을 설정하는데 많은 사용자들이 컴퓨터 시간이 항상 틀리다고 문의하는데 무슨 일인가요? 사용자는 아래 작업 표시줄을 직접 클릭한 다음 작업 표시줄 코너오버플로를 찾아 설정할 수 있습니다. 이 사이트에서는 Win11 컴퓨터에서 시간 오류를 조정하는 방법을 사용자에게 자세히 소개합니다. Windows 11 컴퓨터에서 잘못된 시간을 조정하는 방법 방법 1: 1. 먼저 아래 작업 표시줄의 빈 공간을 마우스 오른쪽 버튼으로 클릭하고 작업 표시줄 설정을 선택합니다. 방법 2: 1. 키보드 단축키 win+r을 눌러 실행을 호출하고 regedit를 입력한 후 Enter를 눌러 확인합니다.

Java 함수 개발 시 일반적인 예외 유형 및 해당 복구 방법 Java 함수를 개발하는 동안 다양한 예외가 발생할 수 있으며 이는 함수의 올바른 실행에 영향을 미칩니다. 다음은 일반적인 예외 유형과 해당 복구 방법입니다. 1. NullPointerException 설명: 초기화되지 않은 개체에 액세스할 때 발생합니다. 수정 사항: 개체를 사용하기 전에 개체가 null이 아닌지 확인하세요. 샘플 코드: try{Stringname=null;System.out.println(name.length());}catch(NullPointerExceptione){

오버플로는 요소 콘텐츠가 컨테이너를 초과할 때 표시 모드를 제어하는 데 사용되는 CSS의 속성입니다. 사용 가능한 값은 다음과 같습니다. visible: 콘텐츠가 표시됨, 오버플로 컨테이너가 숨겨짐: 오버플로 콘텐츠가 잘림 스크롤: 오버플로 콘텐츠를 보기 위해 스크롤 막대가 표시됩니다. auto: 스크롤 막대 표시 여부를 브라우저가 자동으로 결정합니다. 상속: 상위 요소의 오버플로 속성을 상속합니다.

Douyin은 세계적으로 유명한 단편 비디오 플랫폼으로서 막대한 사용자 기반과 콘텐츠 제작자를 보유하고 있습니다. 그러나 플랫폼 규칙이 지속적으로 업데이트되고 개선됨에 따라 일부 사용자에게는 계정 금지가 발생할 수 있습니다. 이로 인해 플랫폼 관리의 투명성과 공정성에 대한 대중의 의문이 제기되었습니다. 이 기사에서는 Douyin 계정 금지 문제와 계정이 금지된 후 사용자가 항소할 수 있는 방법이 있는지에 대해 논의합니다. 불법 콘텐츠, 플랫폼 규정 위반, 타인의 권리 침해 등을 포함하되 이에 국한되지 않고 Douyin 플랫폼에서 금지되는 이유는 다양할 수 있습니다. 플랫폼의 질서와 사용자의 이익을 유지하기 위해 Douyin은 일련의 규칙과 검토 메커니즘을 설정했습니다. 일부 사용자가 규칙을 위반하면 해당 계정이 금지될 수 있습니다. 그러나 일부 사용자는 금지 이유에 대해 의문을 제기하거나 불만을 가질 수 있습니다.