Spring Security 5 представляет новый класс OAuth2LoginConfigurer , который мы можем использовать для настройки внешнего сервера авторизации.
В этом руководстве мы рассмотрим некоторые из различных параметров конфигурации, доступных для элемента oauth2Login() .
В проекте Spring Boot нам просто нужно добавить стартер spring-boot-starter-oauth2-client :
В этой статье мы реализуем собственный сценарий аутентификации с помощью Spring Security , добавив дополнительное поле в стандартную форму входа .
Мы сосредоточимся на двух разных подходах , чтобы показать универсальность фреймворка и гибкие способы его использования.
Нашим первым подходом будет простое решение, ориентированное на повторное использование существующих базовых реализаций Spring Security.
Наш второй подход будет более индивидуальным решением, которое может быть более подходящим для расширенных вариантов использования.
Мы будем опираться на концепции, которые обсуждались в наших предыдущих статьях о входе в Spring Security .
Spring Cloud Gateway — это библиотека, которая позволяет нам быстро создавать легкие шлюзы API на основе Spring Boot, о которых мы уже рассказывали в предыдущих статьях.
На этот раз мы покажем, как быстро реализовать шаблоны OAuth 2.0 поверх него .
Стандарт OAuth 2.0 — это хорошо зарекомендовавший себя стандарт, используемый во всем Интернете в качестве механизма безопасности, с помощью которого пользователи и приложения могут безопасно получать доступ к ресурсам.
Модуль Spring Cloud Security предоставляет функции, связанные с безопасностью на основе токенов в приложениях Spring Boot.
В частности, это упрощает единый вход на основе OAuth2 благодаря поддержке ретрансляции токенов между серверами ресурсов, а также настройке нижестоящей аутентификации с использованием встроенного прокси-сервера Zuul.
В этой быстрой статье мы рассмотрим, как мы можем настроить эти функции с помощью клиентского приложения Spring Boot, сервера авторизации и REST API, работающего в качестве сервера ресурсов.
Обратите внимание, что в этом примере у нас есть только одно клиентское приложение, которое использует SSO для демонстрации функций облачной безопасности, но в типичном сценарии у нас было бы как минимум два клиентских приложения, чтобы обосновать необходимость единого входа.
В этом руководстве основное внимание будет уделено входу в систему с помощью Spring Security . Мы собираемся использовать предыдущий пример Spring MVC , так как это необходимая часть настройки веб-приложения вместе с механизмом входа в систему.
При работе с Spring Boot стартер spring-boot-starter-security автоматически включает все зависимости, такие как spring-security-core , spring-security-web и spring-security-config среди прочих:
Spring Cloud Config — это клиент-серверный подход Spring для хранения и обслуживания распределенных конфигураций в нескольких приложениях и средах.
Это хранилище конфигурации идеально управляется системой управления версиями Git и может быть изменено во время выполнения приложения. Хотя он очень хорошо подходит для приложений Spring, использующих все поддерживаемые форматы файлов конфигурации вместе с такими конструкциями, как Environment , PropertySource или @Value , его можно использовать в любой среде, где работает любой язык программирования.
В этом руководстве мы сосредоточимся на том, как настроить сервер конфигурации с поддержкой Git , использовать его в простом сервере приложений REST и настроить безопасную среду, включая зашифрованные значения свойств.
В предыдущей статье Spring Cloud — Bootstrapping мы создали базовое приложение Spring Cloud . В этой статье показано, как его защитить.
Естественно, мы будем использовать Spring Security для совместного использования сессий с помощью Spring Session и Redis . Этот метод прост в настройке и легко распространяется на многие бизнес-сценарии. Если вы не знакомы с Spring Session , ознакомьтесь с этой статьей .
Совместное использование сеансов дает нам возможность регистрировать пользователей в нашей службе шлюза и распространять эту аутентификацию на любую другую службу нашей системы.
Если вы не знакомы с Redis или Spring Security , рекомендуется сделать краткий обзор этих тем на этом этапе. Хотя большая часть статьи готова к копированию и вставке для приложения, нет никакой замены для понимания того, что происходит под капотом.
Для ознакомления с Redis прочитайте этот учебник. Для ознакомления с Spring Security прочтите spring-security-login , role-and-privivity-for-spring-security-registration и spring-security-session . Чтобы получить полное представление о Spring Security, взгляните на Learn-spring-security-the-master-class .
Thymeleaf — это механизм шаблонов Java для обработки и создания HTML, XML, JavaScript, CSS и открытого текста. Чтобы познакомиться с Thymeleaf и Spring, ознакомьтесь с этой статьей .
В этой статье мы обсудим, как предотвратить атаки с подделкой межсайтовых запросов (CSRF) в Spring MVC с помощью приложения Thymeleaf. Чтобы быть более конкретным, мы протестируем атаку CSRF для метода HTTP POST.
CSRF — это атака, которая вынуждает конечного пользователя выполнять нежелательные действия в веб-приложении, в котором в данный момент проходит аутентификация.