如何给运行在 SAP BTP 上的 Java 微服务增添访问控制功能

最新推荐文章于 2024-05-21 19:15:40 发布
最新推荐文章于 2024-05-21 19:15:40 发布
阅读量397 收藏
点赞数
分类专栏: Cloud 文章标签: java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/i042416/article/details/119931540
版权

在阅读本文之前,请确保您已经读过了这篇文章:给 SAP BTP 平台上的 Java 应用增添用户登录和认证机制

使用 App Router 进行身份验证后,您的 java 后端服务仍然在 Web 中完全可见且不受保护。 因此,您还需要保护您的 Java 微服务,以便它们仅接受当前用户具有有效 JWT 的请求。 此外,您将以处理授权的方式设置微服务,即理解我们之前使用 xs-security.json 文件配置的 JWT 的 OAuth 范围。

在下文中,您将使用 SAP CP Spring XSUAA 安全库的安全功能来保护微服务。

在您的应用程序 pom.xml 中,确保存在以下依赖项:

<dependency>
    <groupId>com.sap.cloud.security.xsuaa</groupId>
    <artifactId>xsuaa-spring-boot-starter</artifactId>
</dependency>

这为 Spring 提供了 XSUAA 库的必要功能。在设置 SecurityConfiguration 时利用它们:

@Configuration
@EnableWebSecurity(debug = true) // TODO "debug" may include sensitive information. Do not use in a production system!
@EnableGlobalMethodSecurity(prePostEnabled = true, securedEnabled = true, jsr250Enabled = true)
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {

    @Autowired
    XsuaaServiceConfiguration xsuaaServiceConfiguration;

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
                .sessionManagement()
                .sessionCreationPolicy(SessionCreationPolicy.STATELESS) // session is created by approuter
                .and()
                .authorizeRequests()
                .antMatchers("/*").authenticated()
                .antMatchers("/*").hasAuthority("Display")
                .anyRequest().denyAll()
                .and()
                .oauth2ResourceServer()
                .jwt()
                .jwtAuthenticationConverter(getJwtAuthenticationConverter());
    }

    /**
     * Customizes how GrantedAuthority are derived from a Jwt
     */
    Converter<Jwt, AbstractAuthenticationToken> getJwtAuthenticationConverter() {
        return new TokenAuthenticationConverter(xsuaaServiceConfiguration).setLocalScopeAsAuthorities(true);
    }
}

以上将需要通过 JWT 对您服务的所有端点进行身份验证。此外,所有 JWT 都需要包含显示范围。

如果您现在调用应用程序的 /businesspartners 端点,您将看到 401 Unauthorized 状态代码,因为您未获得 App Router 的授权。 另一方面,通过您的应用路由器调用 /businesspartners 端点会给您一个 403 Forbidden 状态代码,这意味着您没有必要的授权来查看此页面。 这是意料之中的,因为您使用上面的注释保护了端点,而没有将请求的角色 Display 分配给您的用户。

要重新获得对受保护端点的访问权限,您需要分配 Display OAuth 范围。这是使用 SAP BTP Cockpit 完成的。

首先,转到您在 Cloud Foundry 上的帐户,然后在安全模块下找到角色集合菜单。

其次,创建一个新的角色集合,您可以为其指定任意名称。 例如,Business Partner Manager.

然后,选择角色集合业务合作伙伴经理,选择编辑,然后添加一个新角色。从菜单中,选择您的应用程序以及相应的角色模板和角色。通过添加新创建的角色并保存业务合作伙伴经理角色集合来完成该过程。

之后,必须将用户分配给新创建的 Business Partner Manager 才能接收显示范围。 为此,请从安全菜单中选择信任配置,然后从列表中选择默认身份提供者。

在打开的对话框中,在用户字段中输入您的用户 ID 作为电子邮件,然后单击显示分配,然后单击添加分配。

从菜单中选择 Business Partner Manager 以将其分配给您的用户。

之后,您将显示 OAuth 范围分配给您的用户,这允许您再次访问受保护的端点。

重新部署后,将不再可能直接访问您的后端服务并导致以下消息:

但仍然可以通过 app router 访问:

更多Jerry的原创文章,尽在:“汪子熙”:

汪子熙
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
SAP BTP for Beginner
03-13
Create an SAP BTP ABAP environment trial user
SAP BTP-Cloud foundry 构建并部署JAVA应用程序
seyafly的博客
10-23 188
本文为 SAP BTP Java 应用程序的简单实例, 我们可以用此实例来熟悉SAP BTP 中的java应用开开发流程.在你完成改示例java应用程序以后, 我们可以直接使用该java应用程序进行后续的开发流程, 或直接构建一个新的JAVA应用程序来支持新的业务开发
SAP Business Technology Platform (BTP)的架构理解
总钻风来巡山
04-17 4591
SAP BTP CPI
一个实际的例子学习 SAP BTP Java 应用的 @Before 注解使用方式
SAP 资深技术专家 Jerry Wang 的技术分享
04-01 911
我们可以使用了 On 注释,它替换了 CAP Java 运行时提供的事件的默认处理,以此来注册自定义事件处理程序,从而处理实体的 READ 或 CREATE 事件。 如果想增加默认处理,我们将使用 @Before 和 @After 注释。 使用 @Before 注释注册的事件处理程序旨在执行输入实体数据的验证。 这使得在创建订单之前验证特定书籍的可用库存成为可能。 相比之下,使用 @After 注释注册的事件处理程序可以对返回的实体进行后处理。 这对于在从数据库中读取订单或其项目后计算总和净金额元素很有用。
SAP BTP 平台上的 Java 应用增添用户登录和认证机制
SAP 资深技术专家 Jerry Wang 的技术分享
08-26 540
Secure Your Application on SAP Cloud Platform Cloud Foundry 本文概要 如何设置和配置 App Router 组件作为微服务环境的中央入口点来处理身份验证和授权 如何保护您的 Java 微服务,使其仅接受基于从应用路由器收到的有效 JSON Web 令牌 (JWT) 的请求 为您的应用程序用户分配角色和范围,并让您的后端处理授权信息 基本概念 在深入了解架构的实际设置之前,让我们快速回顾一下本教程打算采用的架构。 下图是 SAP Business
SAP BTP概览介绍以及案例分享.mp4
03-10
SAP BTP概览介绍以及案例分享.mp4
Examples of HTML5 applications for multiple SAP BTP enviro.zip
02-04
Examples of HTML5 applications for multiple SAP BTP enviro
SAP-BTP-Backend-Developer-Roadmap:了解如何在2021年成为SAP Cloud Platform开发人员
03-19
如何在2021年成为SAP业务技术平台开发人员我记得我第一次尝试自己学习SAP业务技术平台...真令人沮丧。信息冲突。令人困惑的术语。和无效的技术。我不知道从哪里开始或要看什么。我的许多ABAP同事都在问:“我想为...
SAP ES 公有云开发-自定义字段增强
11-10
SAP ES 公有云开发-自定义字段增强流程详细介绍
使用 SAP BTP 创建一个 Spring Boot Java 应用
SAP 资深技术专家 Jerry Wang 的技术分享
03-27 688
Fullstack 类型的开发空间带有几个开箱即用的扩展,这些扩展被用来开发 CAP 应用程序,比如内置了 CDS 工具。 打开一个新的 terminal 窗口: 输入命令 cd projects/: 运行如下的命令行: mvn -B archetype:generate -DarchetypeArtifactId=cds-services-archetype -DarchetypeGroupId=com.sap.cds -DarchetypeVersion=1.17.0 -DgroupId=co.
SAP BTP 创建的 Java 应用添加 Custom Event Handler 支持创建功能
SAP 资深技术专家 Jerry Wang 的技术分享
03-30 297
在 productservice 文件夹下新建一个 handler 文件夹: 在该文件夹里新建一个 AdminService.java 文件: 此类现在处理针对 AdminService 的 Products 实体的 READ 和 CREATE 事件。 READ 操作只返回保存在内存中的所有实体。 CREATE 事件从 CQN 表示中提取有效负载并将其存储在内存中。 CDS 查询表示法 (CQN) 是 CAP 中用于针对服务运行查询的通用语言。 它可用于与模型定义的服务进行通信,也可用于与数
微服务之服务调用与安全控制
EAWorld
11-02 2341
转载本文需注明出处:微信公众号EAWorld,违者必究。引言:近年来,大多数企业IT软件均在向微服务架构转型,由于微服务架构采用了更细粒度的分布式拆分,对于服务调用安全方...
spring cloud实战(五)UAA
老螺丝的技术人生
09-12 3558
我们以spring cloud security OAuth2.0+JWT为案例分析如何搭建自己的用户认证中心(UAA: User Account and Authentication)。spring cloud security的安全体系庞大而复杂。先看看关键的依赖包的关系: 以上是搭建一个UAA所需要最核心的jar包,我等凡人实在无法在有限的时间内阅读完所有spring security的源...
JAVA使用JCo连接SAP介绍-1
qq_36026747的博客
07-30 1万+
  SAP Java Connector (SAP JCo) 是JAVASAP相互通信的中间件组建。该组建支持双向通讯模式(inbound calls 和 outbound calls )。 JCo支持Connection Pools和Direct两种方式的连接。直接连接需要开发者来控制连接的创建和释放,使用连接池方式可以让池来管理连接的分配、管理和释放,可以最大限度的节省系统开销,相比...
如何在 SAP BTP Java 应用里使用 SAP HANA 数据库
SAP 资深技术专家 Jerry Wang 的技术分享
03-31 1810
进入 SAP BTP cockpit: 把 CloudFoundry API endpoint 抄下来: https://api.cf.us10.hana.ondemand.com/ 收到如下输出: Setting API endpoint to https://api.cf.us10.hana.ondemand.com/… OK 使用 cf login 登录: 安装对应的依赖: npm install --save-dev @sap/hdi-deploy 在项目文件夹根目录的 .cdsrc
SAP BTP 平台 Cloud Application Programming 编程模型概述
SAP 资深技术专家 Jerry Wang 的技术分享
03-20 1892
SAP Cloud Application Programming Model (CAP) 是一个包含语言、库和工具的框架,用于构建企业级服务和应用程序。它引导开发人员沿着经过验证的最佳实践和大量开箱即用的重复性任务解决方案的“黄金路径”前进。 使用核心数据和服务 (CDS) 在概念级别上构建数据模型和服务定义。这些 CDS 模型用作数据、服务和 UI 层的输入。然后将它们转换为原生工件,例如 SQL 数据库模式,并解释为在运行时自动为请求提供服务。 总之,CDS 用作业务级数据定义源,并在持久层生成工件。
SpringCloud微服务权限控制(一)概述
热门推荐
weihao_的博客
09-27 6万+
从单体应用到SOA应用再到Spring Cloud微服务构架,应用的安全访问都是非常重要的问题,怎么样设计微服务的权限控制?首先,权限控制可以分为三个部分:用户认证,服务权限,用户权限。 用户认证 用户认证,简单的讲,可以简化为应用对用户登录状态的认证。传统的单体应用,使用session来进行用户认证,但是这种方式已经不适合微服务的场景了;微服务的结构下,可以通过分布式session来解决,也...
android高斯模糊填充imageview背景
最新发布
cf8833的博客
05-21 291
说明:最近碰到一个需求,安卓app显示在线的url图片,然后imageview没占满的部分,使用该图片的模糊背景填充。
SAP BTP security
05-07
3. 加密:SAP BTP使用加密技术来保护企业数据在传输和存储过程中的安全性。这些技术包括传输层安全协议(TLS)、数据加密等。 4. 审计:SAP BTP使用审计技术来记录和监控用户对企业数据和应用程序的操作。这些技术...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

汪子熙

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值