使用Spring Security保护REST服务

最新推荐文章于 2023-04-16 22:01:40 发布
最新推荐文章于 2023-04-16 22:01:40 发布
阅读量582 收藏
点赞数
文章标签: java http python spring mysql

总览

最近,我正在一个使用REST服务层与客户端应用程序(GWT应用程序)进行通信的项目中。 因此,我花了很多时间来弄清楚如何使用Spring Security保护REST服务。 本文介绍了我找到的解决方案,并已实现。 我希望此解决方案将对某人有所帮助,并节省大量宝贵的时间。

解决方案

在普通的Web应用程序中,每当访问安全资源时,Spring Security都会检查当前用户的安全上下文,并决定将其转发到登录页面(如果用户未通过身份验证),或将其转发到未经授权的资源。页面(如果他没有所需的权限)。

在我们的场景中,这是不同的,因为我们没有要转发的页面,我们需要调整和覆盖Spring Security以仅使用HTTP协议状态进行通信,下面我列出了使Spring Security发挥最大作用的工作:

  • 身份验证将通过普通形式的登录名进行管理,唯一的区别是响应将以JSON以及HTTP状态(可通过代码200(如果通过验证)或代码401(如果身份验证失败))进行;
  • 重写AuthenticationFailureHandler以返回代码401 UNAUTHORIZED;
  • 重写AuthenticationSuccessHandler以返回代码20 OK,HTTP响应的主体包含当前已认证用户的JSON数据;
  • 重写AuthenticationEntryPoint以始终返回代码401 UNAUTHORIZED。 这将覆盖Spring Security的默认行为,该行为是在用户不符合安全要求的情况下将用户转发到登录页面,因为在REST上我们没有任何登录页面;
  • 覆盖LogoutSuccessHandler以返回代码20 OK;

就像由Spring Security保护的普通Web应用程序一样,在访问受保护的服务之前,必须首先通过向登录URL提交密码和用户名来进行身份验证。

注意:以下解决方案要求Spring Security的最低版本为3.2。

覆盖AuthenticationEntryPoint

该类扩展了org.springframework.security.web.AuthenticationEntryPoint,并且仅实现了一种方法,该方法会在未经授权的情况下发送响应错误(带有401状态代码)。 

@Component
public class HttpAuthenticationEntryPoint implements AuthenticationEntryPoint {
    @Override
    public void commence(HttpServletRequest request, HttpServletResponse response,
            AuthenticationException authException) throws IOException {
        response.sendError(HttpServletResponse.SC_UNAUTHORIZED, authException.getMessage());
    }
}

重写AuthenticationSuccessHandler

AuthenticationSuccessHandler负责成功认证后的操作,默认情况下它将重定向到URL,但在我们的情况下,我们希望它发送带有数据的HTTP响应。 

@Component
public class AuthSuccessHandler extends SavedRequestAwareAuthenticationSuccessHandler {
    private static final Logger LOGGER = LoggerFactory.getLogger(AuthSuccessHandler.class);

    private final ObjectMapper mapper;

    @Autowired
    AuthSuccessHandler(MappingJackson2HttpMessageConverter messageConverter) {
        this.mapper = messageConverter.getObjectMapper();
    }

    @Override
    public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response,
            Authentication authentication) throws IOException, ServletException {
        response.setStatus(HttpServletResponse.SC_OK);

        NuvolaUserDetails userDetails = (NuvolaUserDetails) authentication.getPrincipal();
        User user = userDetails.getUser();
        userDetails.setUser(user);

        LOGGER.info(userDetails.getUsername() + " got is connected ");

        PrintWriter writer = response.getWriter();
        mapper.writeValue(writer, user);
        writer.flush();
    }
}

重写AuthenticationFailureHandler

AuthenticationFaillureHandler负责身份验证失败后的处理方法,默认情况下它将重定向到登录页面URL,但是在我们的情况下,我们只希望它发送带有401 UNAUTHORIZED代码的HTTP响应。 

@Component
public class AuthFailureHandler extends SimpleUrlAuthenticationFailureHandler {
    @Override
    public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response,
            AuthenticationException exception) throws IOException, ServletException {
        response.setStatus(HttpServletResponse.SC_UNAUTHORIZED);

        PrintWriter writer = response.getWriter();
        writer.write(exception.getMessage());
        writer.flush();
    }
}

覆盖LogoutSuccessHandler

LogoutSuccessHandler决定用户成功注销后的操作,默认情况下它将重定向到登录页面URL,因为我们没有重写它以返回带有20 OK代码的HTTP响应。 

@Component
public class HttpLogoutSuccessHandler implements LogoutSuccessHandler {
    @Override
    public void onLogoutSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication)
            throws IOException {
        response.setStatus(HttpServletResponse.SC_OK);
        response.getWriter().flush();
    }
}

Spring安全配置

这是最后一步,将所有工作放在一起,我更喜欢使用新的方式来配置Spring Security,它使用Java而不是XML,但是您可以轻松地将此配置适应XML。 

@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
    private static final String LOGIN_PATH = ApiPaths.ROOT + ApiPaths.User.ROOT + ApiPaths.User.LOGIN;

    @Autowired
    private NuvolaUserDetailsService userDetailsService;
    @Autowired
    private HttpAuthenticationEntryPoint authenticationEntryPoint;
    @Autowired
    private AuthSuccessHandler authSuccessHandler;
    @Autowired
    private AuthFailureHandler authFailureHandler;
    @Autowired
    private HttpLogoutSuccessHandler logoutSuccessHandler;

    @Bean
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }

    @Bean
    @Override
    public UserDetailsService userDetailsServiceBean() throws Exception {
        return super.userDetailsServiceBean();
    }

    @Bean
    public AuthenticationProvider authenticationProvider() {
        DaoAuthenticationProvider authenticationProvider = new DaoAuthenticationProvider();
        authenticationProvider.setUserDetailsService(userDetailsService);
        authenticationProvider.setPasswordEncoder(new ShaPasswordEncoder());

        return authenticationProvider;
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.authenticationProvider(authenticationProvider());
    }

    @Override
    protected AuthenticationManager authenticationManager() throws Exception {
        return super.authenticationManager();
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.csrf().disable()
                .authenticationProvider(authenticationProvider())
                .exceptionHandling()
                .authenticationEntryPoint(authenticationEntryPoint)
                .and()
                .formLogin()
                .permitAll()
                .loginProcessingUrl(LOGIN_PATH)
                .usernameParameter(USERNAME)
                .passwordParameter(PASSWORD)
                .successHandler(authSuccessHandler)
                .failureHandler(authFailureHandler)
                .and()
                .logout()
                .permitAll()
                .logoutRequestMatcher(new AntPathRequestMatcher(LOGIN_PATH, "DELETE"))
                .logoutSuccessHandler(logoutSuccessHandler)
                .and()
                .sessionManagement()
                .maximumSessions(1);

        http.authorizeRequests().anyRequest().authenticated();
    }
}

这是总体配置的一个潜行高峰,我在本文中附加了一个Github存储库,其中包含示例项目https://github.com/imrabti/gwtp-spring-security

我希望这可以帮助一些努力寻找解决方案的开发人员,请随时提出任何问题,或发布任何可以使该解决方案更好的增强功能。

翻译自: https://www.javacodegeeks.com/2014/09/secure-rest-services-using-spring-security.html

dnc8371
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
spring-security-rest:使用Spring Security保护REST API端点
05-22
1.简介如今,许多应用程序将业务功能公开... 使用Spring Security保护REST API端点安全时遇到的挑战之一源于对支持无状态REST客户端的需求。 在这种情况下,无状态意味着客户端不提供任何带有REST请求的信息,这些信
Spring Security开发安全的REST服务及部署一Hello Spring Security
whaleluo的博客
01-20 803
一导读 Spring Security 从名字就可以知道是一种关于安全的技术 安全是一个很广泛的技术,我们主要聚焦于认证和授权。 认证和授权最终的表现形式就是一个登录的功能 ...
SpringSecurity 开发安全的RESTful服务(持续更新)
暗余的博客
12-26 2409
导航:SpringSecurity 开发安全的Rest服务一. 初入Restful1.1 本章导航1.2 使用SpringMVC 编写Restful API1.3 REST成熟度模型1.4 常用注解 SpringSecurity 开发安全的Rest服务 一. 初入Restful 1.1 本章导航 使用Spring MVC编写Restful API 使用Spring MVC处理其他web应用常...
Spring boot + spring security 实现 Rest 登录 ( json )
李昊轩的博客
02-17 1970
第一步,获取基本springboot项目 从 spring官网获取security+session+redis依赖的springboot项目 安装配置redis,修改配置文件,启动项目,拿到登录密码,用户名为user. 根据官方文档,配置demo项目,理解spring security的机制 第二步,添加自己的登录验证方式 添加session策略,让权限验证从session里获取token,而不是...
spring security 的AuthenticationSuccessHandler 没有调用 ,无法生效
qq_46506007的博客
04-16 1656
spring security 的AuthenticationSuccessHandler 接口的方法 ,没有调用 ,无法生效,不起作用
SpringSecurity的基础操作,登录认证,授权认证等
xiaotanke
01-15 1627
文章目录SpringSecurity1、SpringSecurity简介2、第一个SpringSecurity程序3、UserDetailsService接口4、 PasswordEncoder接口5、自定义登录逻辑6、自定义登录页面7、自定义登录成功和失败处理器8、授权配置9、角色认证10、记住我11、SpringSecurity整合thymeleaf11.1、获取登录信息11.2、权限判断11.3、注销配置12、csrf SpringSecurity 1、SpringSecurity简介 ​ Sprin
Spring Boot(四)之使用JWT和Spring Security保护REST API
08-30
"Spring Boot使用JWT和Spring Security保护REST API" Spring Boot中的REST API保护是非常重要的,因为直接暴露API可能会带来很大的风险。因此,本文将介绍使用JWT(Json Web Token)和Spring Security保护REST ...
Spring Security 构建rest服务实现rememberme 记住我功能
08-27
在本文中,我们将介绍如何使用 Spring Security 构建 REST 服务实现 RememberMe 记住我功能。 一、RememberMe 基本原理 RememberMe 是 Spring Security 中的一种功能,可以让用户在登录时选择记住自己的登录信息,...
springSecurity开发安全的rest服务
02-01
使用SpringSecurity开发点单登录
Spring Security开发rest服务 笔记 饶浩|Spring Security开发rest服务 笔记 饶浩.docx
09-24
spring security开发rest服务笔记。总共300页。持续更新中..........................................................
security:Spring Security 开发安全的REST服务 —— JoJozhai
05-13
本来是 fork 了 老师的源码的() 跟着学了两章后,发现还是少了点感觉,干脆自己重新码一遍吧 :beaming_face_with_smiling_eyes: 小目标 IDEA 构建 使用最新的 Spring 版本 Spring Security 开发安全的REST服务 视频来源: 视频作者: 章节目录和总结文档 第1章 课程导学 第2章 开始开发 第3章 使用Spring MVC开发RESTful API 3-4 用户创建请求 3-5 修改和删除请求 3-6 服务异常处理 3-7 使用切片拦截REST服务 3-8 使用Filter和Interceptor拦截REST服务 3-9 使用REST方式处理文件服务 3-10 使用多线程提高REST服务性能 3-11 使用Swagger自动生成文档 3-12 使用WireMock伪造REST服务 第4章 使用Spring Security开发基于表单的登录 4-1 简介 4-2
Spring boot 使用restful风格的spring security login
iverson2010112228的专栏
10-17 6550
Spring boot 使用restful风格的spring security login第一步,获取基本springboot项目 从 spring官网获取security+session+redis依赖的springboot项目 安装配置redis,修改配置文件,启动项目,拿到登录密码,用户名为user. 根据官方文档,配置demo项目,理解spring security的机制 第
Spring Security实现自定义验证的两种方式及Restful登录验证
ntsjun的专栏
08-25 2115
在现实项目中,经常出现用户登录验证时,需要验证除了用户名、密码外的其他项,或额外的验证逻辑。当使用Spring Security框架时,就需要修改默认的验证方式。当以form表单方式登录时,可以有两种方式实现,任意实现一种即可。以Restful的方式提交JSON格式参数登录时或Restful,form方式混用时,可以两种方式结合使用。 第一种方式,自定义Authenticatio...
用 Grails 的 Spring Security REST 插件实现REST API 的用户登录、权限控制功能
杨波的专栏
04-15 822
介绍了如何用grails的spring-security-rest插件实现用户登录、访问控制功能。
JWT 和 Spring Security 保护 REST API(1)
哈喽羊
07-11 1440
       通常情况下,把API直接暴露出去是风险很大的,不说别的,直接被机器攻击就够喝一壶的。那么一般来说,对API要划分出一定的权限级别,然后做一个用户的鉴权,依据鉴权结果给予用户开放对应的API。目前,比较主流的方案有几种:1.用户名和密码鉴权,使用Session保存用户鉴权结果。2.使用OAuth进行鉴权(其实OAuth也是一种基于Token的鉴权,只是没有规定Token的生成方式)3....
重拾后端之Spring Boot(四):使用JWT和Spring Security保护REST API
weixin_34038293的博客
03-10 376
重拾后端之Spring Boot(一):REST API的搭建可以这样简单重拾后端之Spring Boot(二):MongoDb的无缝集成重拾后端之Spring Boot(三):找回熟悉的Controller,Service重拾后端之Spring Boot(四):使用 JWT 和 Spring Security 保护 REST API 通常情况下,把API直接暴露出去是风险很大的,不说别的,直接被...
使用Spring Boot SecurityRestful api后端接口登录验证包含Cookies记住用户名密码
神夏的博客
07-22 1万+
前言 使用spring security做后端接口验证需要注意的是很多接口需要自己重新,然后定义不同的错误码返回给前端,包含登录验证、登录失效、没有权限、登出等错误提示,均为JSON格式,其中记住我需要重写TokenBasedRememberMeServices,来避免key不一致造成解密失败。 ##开始 1 .使用maven 引用spring security 等相关jar包 ...
springBoot+springSecurity 动态管理Restful风格权限(三)
热门推荐
哎幽的成长
02-15 5万+
上一篇博客 springBoot+springSecurity 数据库动态管理用户、角色、权限(二) 只是实现了用户、角色、权限的动态管理,但是其权限管理是有缺陷的,他不支持restful风格的接口权限管理,因为他无法区分客户端的请求方式。本片博客是为了弥补此缺陷的,本篇博客将在 springBoot+springSecurity 数据库动态管理用户、角色、权限(二) 的基础上进行修改使其
Spring Security构建Rest服务-0300-Restful API异常处理
weixin_30709929的博客
02-24 114
SpringBoot默认的错误处理机制: 一、测试需要的部分代码 (完整代码放在了githubhttps://github.com/lhy1234/spring-security): UserController:只对新增用户做测试,省略其他代码 @RestController @RequestMapping("/user") public class UserCont...
使用Spring Security写一个授权服务
最新发布
06-03
使用Spring Security,可以轻松地保护Web应用程序和REST API。 要编写一个授权服务,可以按照以下步骤进行: 1. 添加Spring Security依赖。可以在pom.xml中添加以下依赖: ``` <groupId>org.springframework....

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值