SpringBoot 如何保证接口安全？老鸟们都是这么玩的_springboot保证接口权限安全(1)

先自我介绍一下，小编浙江大学毕业，去过华为、字节跳动等大厂，目前阿里P7

深知大多数程序员，想要提升技能，往往是自己摸索成长，但自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！

因此收集整理了一份《2024年最新网络安全全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友。

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，涵盖了95%以上网络安全知识点，真正体系化！

由于文件比较多，这里只是将部分目录截图出来，全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频，并且后续会持续更新

如果你需要这些资料，可以添加V获取：vip204888 （备注网络安全）

正文

其中，配置了一个管理员账号admin和密码admin123，以及不需要认证的静态资源路径。

3.实现认证和授权

创建一个SecurityConfig类，用于配置Spring Security：

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

@Override
protected void configure(HttpSecurity http) throws Exception {
http
.authorizeRequests()
.antMatchers("/admin/\*\*").hasRole("ADMIN")
.anyRequest().authenticated()
.and()
.formLogin()
.loginPage("/login")
.permitAll()
.and()
.logout()
.permitAll();
}

@Autowired
public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
auth
.inMemoryAuthentication()
.withUser("user").password("user123").roles("USER")
.and()
.withUser("admin").password("admin123").roles("ADMIN");
}
}

其中，configure方法用于配置URL的访问权限，这里配置了/admin/**路径需要ADMIN角色才能访问，其他路径需要认证后才能访问。同时，配置了登录页面和注销页面。
configureGlobal方法用于配置用户的认证信息，这里使用inMemoryAuthentication方法将用户的认证信息存储在内存中，分别添加了一个普通用户user和管理员admin。

小结：

通过SpringBoot的Spring Security模块，我们可以轻松地实现认证和授权，保证接口的安全性。

在实际开发中，可以根据需要配置不同的认证和授权方式，如基于数据库的认证和授权、基于Token的认证和授权，当然基于Token的这种方式也深受大家喜爱，所以接下来就给大家带来一个使用JWT的Spring Boot示例：

基于Token的这种认证方式基于JWT（JSON Web Token），可以用于保护REST API接口。JWT是一种安全的JSON格式，可以存储用户身份信息和授权信息，以确保只有合法的用户才能访问API接口。

在Spring Boot中，可以使用Spring Security和JWT来实现基于Token的认证和授权。可以通过以下步骤实现：

导入Spring Security和JWT依赖。
创建一个JWT Token的生成器。
在Spring Security配置文件中添加JWT相关配置。
在控制器中添加JWT认证和授权注解。

代码示例如下：

// 导入依赖
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt</artifactId>
<version>0.9.1</version>
</dependency>

// 创建JWT Token生成器
public class JwtTokenUtil {
private static final String SECRET_KEY = "mysecretkey";
private static final long EXPIRATION_TIME = 864\_000\_000; // 10天

public static String generateToken(String username) {
Date now = new Date();
Date expiration = new Date(now.getTime() + EXPIRATION_TIME);

return Jwts.builder()
.setSubject(username)
.setIssuedAt(now)
.setExpiration(expiration)
.signWith(SignatureAlgorithm.HS256, SECRET_KEY)
.compact();
}

public static String getUsernameFromToken(String token) {
return Jwts.parser()
.setSigningKey(SECRET_KEY)
.parseClaimsJws(token)
.getBody()
.getSubject();
}
}

// 添加JWT相关配置到Spring Security配置文件中
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http.csrf().disable()
.authorizeRequests()
.antMatchers("/api/\*\*").authenticated()
.and()
.addFilterBefore(new JwtAuthenticationFilter(),
UsernamePasswordAuthenticationFilter.class);
}

@Bean
public JwtAuthenticationProvider jwtAuthenticationProvider() {
return new JwtAuthenticationProvider();
}
}
// 在控制器中添加JWT认证和授权注
@RestController
@RequestMapping("/api")
public class UserController {
@PostMapping("/login")
public ResponseEntity<?> login(@RequestBody LoginForm loginForm) {
// 验证用户名和密码
// 生成JWT Token
String token = JwtTokenUtil.generateToken(username);
return ResponseEntity.ok(token);
}

@GetMapping("/user")
@JwtAuth
public ResponseEntity<?> getUserInfo() {
// 获取用户信息
return ResponseEntity.ok(userInfo);
}
}

四. 使用输入验证的方式保证接口安全

Spring Boot 提供了许多内置的验证注解和工具来保证接口的安全性。在处理输入数据时，开发人员可以使用这些注解和工具来验证输入数据的合法性，从而避免可能的安全漏洞。

下面是小岳给大家带来的一个代码分析，大家跟着我一起来看看吧！

假设我们正在开发一个简单的登录接口，需要对用户名和密码进行验证：

@RestController
public class LoginController {

@PostMapping("/login")
public ResponseEntity<String> login(@Valid @RequestBody LoginForm loginForm) {
// 验证成功，返回登录成功信息
return ResponseEntity.ok("Login successful!");
}
}

@Data
public class LoginForm {
@NotBlank(message = "用户名不能为空")
private String username;

@NotBlank(message = "密码不能为空")
private String password;
}

上面的代码中，我们定义了一个LoginForm类来表示用户的登录信息，使用了@NotBlank注解来确保用户名和密码都不为空。在LoginController中的login方法中，我们使用@Valid注解来触发数据验证，并通过ResponseEntity来返回结果。

当请求到达该接口时，Spring Boot会自动检查请求体中的数据是否符合LoginForm的定义，并且检查是否满足@NotBlank的条件。如果任何一个条件未满足，Spring Boot将抛出MethodArgumentNotValidException异常，并将错误信息返回给客户端。

例如，如果我们使用以下请求体进行请求：

{
"username": "",
"password": ""
}

Spring Boot 将返回以下响应：

{
"timestamp": "2023-04-12T00:00:00.000+00:00",
"status": 400,
"error": "Bad Request",
"message": "Validation failed for object='loginForm'. Error count: 2",
"path": "/login",
"errors": [
{
"field": "username",
"message": "用户名不能为空"
},
{
"field": "password",
"message": "密码不能为空"
}
]
}

这表明用户名和密码都不能为空，因为我们在LoginForm中使用了@NotBlank注解来验证这些字段。

总之，通过使用 Spring Boot 提供的内置验证注解和工具，我们可以轻松地保证输入数据的合法性，并减少安全漏洞的可能性。

五. 使用加密和解密保证接口安全

Spring Boot提供了多种加密和解密的方式来保证接口的安全性，其中最常用的方式是使用对称加密算法和非对称加密算法。对称加密算法指的是发送方和接收方使用相同的密钥来加密和解密数据，常见的对称加密算法有DES、AES等。非对称加密算法指的是发送方和接收方使用不同的密钥来加密和解密数据，常见的非对称加密算法有RSA、DSA等。

下面小岳给大家用一个通俗易懂的例子跟大家解释一番，因为有些同学可能已经看懵了！

假设我们现在要开发一个在线银行系统，需要保证用户的敏感信息如账号、密码等在传输过程中不被黑客截取和窃取。这时我们可以使用AES对称加密算法来加密用户的敏感信息，在服务器端使用相同的密钥来解密信息并进行处理，这样就能够保证数据传输的安全性。

好啦，看上上面的解释，接下来我们就用一个代码案例来带大家具体看一看吧：

使用AES对称加密算法进行加密：

import javax.crypto.Cipher;
import javax.crypto.spec.SecretKeySpec;
import org.apache.commons.codec.binary.Base64;

public class AESEncryption {
private static final String ALGORITHM = "AES";
private static final String TRANSFORMATION = "AES/ECB/PKCS5Padding";
private static final String KEY = "mysecretkey12345"; // 密钥，需要保密

public static String encrypt(String data) throws Exception {
SecretKeySpec keySpec = new SecretKeySpec(KEY.getBytes("UTF-8"), ALGORITHM);
Cipher cipher = Cipher.getInstance(TRANSFORMATION);
cipher.init(Cipher.ENCRYPT_MODE, keySpec);
byte[] encrypted = cipher.doFinal(data.getBytes());
return Base64.encodeBase64String(encrypted);
}
}

使用AES对称加密算法进行解密：

import javax.crypto.Cipher;
import javax.crypto.spec.SecretKeySpec;
import org.apache.commons.codec.binary.Base64;

public class AESDecryption {
private static final String ALGORITHM = "AES";
private static final String TRANSFORMATION = "AES/ECB/PKCS5Padding";
private static final String KEY = "mysecretkey12345"; // 密钥，需要保密

public static String decrypt(String encryptedData) throws Exception {
SecretKeySpec keySpec = new SecretKeySpec(KEY.getBytes("UTF-8"), ALGORITHM);
Cipher cipher = Cipher.getInstance(TRANSFORMATION);
cipher.init(Cipher.DECRYPT_MODE, keySpec);
byte[] decrypted = cipher.doFinal(Base64.decodeBase64(encryptedData));
return new String(decrypted);
}
}

小结：

Spring Boot提供了多种加密和解密的方式来保证接口的安全性，常用的方式有对称加密算法和非对称加密算法。在实际开发中，需要根据具体业务场景选择合适的加密方式，同时需要保证密钥的安全性，避免密钥被黑客窃取导致数据泄露。

六. 使用安全日志记录保证接口安全

Spring Boot提供了一些内置的安全日志记录方式，可以帮助我们保证接口安全。下面介绍两种常见的安全日志记录方式。

1.Spring Security日志记录

Spring Security是Spring Boot中常用的安全框架，它提供了完善的安全认证和授权机制。Spring Security默认集成了日志记录功能，我们可以通过配置日志级别，来控制日志记录的详细程度。

例如，我们可以在application.properties中添加以下配置：

logging.level.org.springframework.security=DEBUG

这样就可以开启Spring Security的DEBUG级别日志记录，查看详细的安全认证和授权过程。

2.Spring Boot Actuator端点日志记录

Spring Boot Actuator是Spring Boot的一个子项目，提供了一系列的监控和管理功能。其中，端点（Endpoint）是Spring Boot Actuator的核心组件之一，它提供了一些RESTful接口，用于获取应用程序的状态信息、健康状况、性能指标等。我们可以通过配置端点的日志级别，来记录访问端点的请求和响应信息。

例如，我们可以在application.properties中添加以下配置：

logging.level.org.springframework.boot.actuate.endpoint=TRACE

这样就可以开启Spring Boot Actuator端点的TRACE级别日志记录，查看详细的请求和响应信息。

在实际应用中，我们可以结合生活案例来说明如何使用安全日志记录方式保证接口安全。例如，我们有一个在线购物网站，用户可以通过注册账号、添加商品到购物车、提交订单等操作来完成购物流程。为了保证购物过程的安全，我们可以记录以下信息。

用户的登录信息，包括用户名、登录时间、IP地址等。
用户的购物行为，包括添加商品到购物车、提交订单等操作。
购物过程中出现的异常情况，如库存不足、支付失败等。

本人从事网路安全工作12年，曾在2个大厂工作过，安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过，对这个行业了解比较全面。

最近遍览了各种网络安全类的文章，内容参差不齐，其中不伐有大佬倾力教学，也有各种不良机构浑水摸鱼，在收到几条私信，发现大家对一套完整的系统的网络安全从学习路线到学习资料，甚至是工具有着不小的需求。

最后，我将这部分内容融会贯通成了一套282G的网络安全资料包，所有类目条理清晰，知识点层层递进，需要的小伙伴可以点击下方小卡片领取哦！下面就开始进入正题，如何从一个萌新一步一步进入网络安全行业。

学习路线图

其中最为瞩目也是最为基础的就是网络安全学习路线图，这里我给大家分享一份打磨了3个月，已经更新到4.0版本的网络安全学习路线图。

相比起繁琐的文字，还是生动的视频教程更加适合零基础的同学们学习，这里也是整理了一份与上述学习路线一一对应的网络安全视频教程。

网络安全工具箱

当然，当你入门之后，仅仅是视频教程已经不能满足你的需求了，你肯定需要学习各种工具的使用以及大量的实战项目，这里也分享一份我自己整理的网络安全入门工具以及使用教程和实战。

项目实战

最后就是项目实战，这里带来的是SRC资料&HW资料，毕竟实战是检验真理的唯一标准嘛~

面试题

归根结底，我们的最终目的都是为了就业，所以这份结合了多位朋友的亲身经验打磨的面试题合集你绝对不能错过！

网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。

需要这份系统化的资料的朋友，可以添加V获取：vip204888 （备注网络安全）

一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！

SRC资料&HW资料，毕竟实战是检验真理的唯一标准嘛~

面试题

归根结底，我们的最终目的都是为了就业，所以这份结合了多位朋友的亲身经验打磨的面试题合集你绝对不能错过！

网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。

需要这份系统化的资料的朋友，可以添加V获取：vip204888 （备注网络安全）
[外链图片转存中…(img-DxPeglx0-1713404512558)]

一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！