151 запись с тегом "Spring Security"

1. Обзор​

В этой быстрой статье мы сосредоточимся на использовании нескольких механизмов для аутентификации пользователей в Spring Security.

Мы сделаем это, настроив несколько поставщиков аутентификации.

2. Поставщики аутентификации​

AuthenticationProvider — это абстракция для получения информации о пользователе из определенного репозитория (например, из базы данных , LDAP , пользовательского стороннего источника и т. д.). Он использует полученную информацию о пользователе для проверки предоставленных учетных данных.

1. Обзор​

Spring Security основан на цепочке фильтров сервлетов. Каждый фильтр несет определенную ответственность, и в зависимости от конфигурации фильтры добавляются или удаляются.

В этом руководстве мы обсудим различные способы поиска зарегистрированных Spring Security Filters .

2. Отладка безопасности​

Во-первых, мы включим отладку безопасности, которая будет регистрировать подробную информацию о безопасности по каждому запросу.

1. Введение​

В этом руководстве мы увидим, как мы можем настроить Spring Security для работы с двумя разными страницами входа , используя два разных http -элемента Spring Security в конфигурации.

2. Настройка 2-х HTTP-элементов​

Одна из ситуаций, в которой нам могут понадобиться две страницы входа, — это когда у нас есть одна страница для администраторов приложения и другая страница для обычных пользователей.

Мы настроим два элемента http , которые будут различаться шаблоном URL, связанным с каждым:

1. Обзор​

В этом руководстве мы обсудим, как внести диапазоны IP-адресов в белый список в Spring Security .

Мы рассмотрим конфигурации Java и XML. Мы также увидим, как внести диапазон IP-адресов в белый список с помощью пользовательского AuthenticationProvider .

2. Конфигурация Java​

Во-первых, давайте изучим конфигурацию Java.

1. Обзор​

Общим требованием к веб-приложению является перенаправление пользователей разных типов на разные страницы после входа в систему . Примером этого может быть перенаправление обычных пользователей на страницу /homepage.html и пользователей-администраторов, например, на страницу /console.html .

В этой статье будет показано, как быстро и безопасно реализовать этот механизм с помощью Spring Security. Статья также основана на руководстве по Spring MVC , в котором рассматривается настройка основных компонентов MVC, необходимых для проекта.

2. Конфигурация безопасности Spring​

Spring Security предоставляет компонент, который непосредственно отвечает за принятие решения о том, что делать после успешной аутентификации — AuthenticationSuccessHandler .

1. Обзор​

В этом кратком руководстве мы собираемся показать, как мы можем добавить функцию выхода из системы в приложение OAuth Spring Security .

Мы увидим несколько способов сделать это. Сначала мы увидим, как выйти из системы нашего пользователя Keycloak из приложения OAuth, как описано в разделе « Создание REST API с помощью OAuth2» , а затем с помощью прокси-сервера Zuul, который мы видели ранее .

Мы будем использовать стек OAuth в Spring Security 5. Если вы хотите использовать устаревший стек Spring Security OAuth, ознакомьтесь с этой предыдущей статьей: Выход из защищенного приложения OAuth (используя устаревший стек) .

2. Выход с помощью внешнего приложения​

1. Обзор​

Spring Security 5 обеспечивает поддержку OAuth2 для неблокирующего класса WebClient Spring Webflux .

В этом руководстве мы проанализируем различные подходы к доступу к защищенным ресурсам с помощью этого класса.

Кроме того, мы заглянем под капот, чтобы понять, как Spring обрабатывает процесс авторизации OAuth2.

2. Настройка сценария​

1. Обзор​

В этом руководстве мы поговорим об аннотациях @EnableResourceServer и @EnableOAuth2Sso в Spring Security.

Мы начнем с объяснения различий между клиентом OAuth2 и сервером ресурсов OAuth2 . После этого мы немного поговорим о том, что эти аннотации могут сделать для нас, и продемонстрируем их использование на примере с использованием Zuul и простого API.

В этой статье мы предполагаем, что у вас уже есть опыт работы с Zuul и OAuth2 .

Если у вас его нет или вы считаете, что обзор любого из них был бы полезен, обратитесь к нашему краткому обзору Zuul и нашему руководству по OAuth2 .

2. Клиент OAuth2 и сервер ресурсов​

1. Обзор​

В этом руководстве мы узнаем о веб-подписи JSON (JWS) и о том, как ее можно реализовать с помощью спецификации веб-ключа JSON (JWK) в приложениях, настроенных с помощью Spring Security OAuth2.

Мы должны помнить, что даже несмотря на то, что Spring работает над переносом всех функций Spring Security OAuth на платформу Spring Security , это руководство по-прежнему является хорошей отправной точкой для понимания основных концепций этих спецификаций, и оно должно пригодиться в то время. реализации их на любом фреймворке.

Во-первых, мы попытаемся понять основные понятия; например, что такое JWS и JWK, их цель и как мы можем легко настроить сервер ресурсов для использования этого решения OAuth.

Затем мы пойдем глубже, мы подробно проанализируем спецификации, проанализировав, что OAuth2 Boot делает за кулисами, и настроим сервер авторизации для использования JWK.

2. Понимание общей картины JWS и JWK​

1. Обзор​

Эта статья представляет собой введение в конфигурацию Java для Spring Security , которая позволяет пользователям легко настраивать Spring Security без использования XML .

Конфигурация Java была добавлена в среду Spring в Spring 3.1 и расширена до Spring Security в Spring 3.2 и определена в классе с аннотацией @Configuration .

2. Настройка Мавена​

Чтобы использовать Spring Security в проектах Maven, нам сначала нужно иметь зависимость spring-security-core в проекте pom.xml :