151 запись с тегом "Spring Security"

1. Введение​

Проще говоря, микросервисная архитектура позволяет нам разбить нашу систему и наш API на набор автономных сервисов, которые можно развертывать полностью независимо.

Хотя это здорово с точки зрения непрерывного развертывания и управления, оно может быстро стать запутанным, когда дело доходит до удобства использования API. Имея разные конечные точки для управления, зависимые приложения должны будут управлять CORS (совместное использование ресурсов между источниками) и разнообразным набором конечных точек.

Zuul — это пограничный сервис, который позволяет нам направлять входящие HTTP-запросы на несколько серверных микросервисов. Во-первых, это важно для предоставления унифицированного API для потребителей наших серверных ресурсов.

По сути, Zuul позволяет нам объединить все наши сервисы, сидя перед ними и выступая в качестве прокси. Он получает все запросы и направляет их в нужный сервис. Для внешнего приложения наш API выглядит как унифицированная поверхность API.

В этом руководстве мы поговорим о том, как мы можем использовать его именно для этой цели в сочетании с OAuth 2.0 и JWT , чтобы быть на переднем крае защиты наших веб-сервисов. В частности, мы будем использовать поток предоставления пароля для получения токена доступа к защищенным ресурсам.

1. Обзор​

В этом руководстве мы собираемся реализовать функциональность двухфакторной аутентификации с помощью Soft Token и Spring Security.

Мы собираемся добавить новую функциональность в существующий простой процесс входа в систему и использовать приложение Google Authenticator для создания токенов.

Проще говоря, двухфакторная аутентификация — это процесс проверки, который следует хорошо известному принципу «что-то, что пользователь знает, и что-то, что у него есть».

Итак, пользователи предоставляют дополнительный «токен подтверждения» во время аутентификации — одноразовый код проверки пароля на основе алгоритма TOTP «Одноразовый пароль на основе времени».

2. Конфигурация Maven​

1. Обзор​

В этом руководстве — мы продолжаем текущую серию « Регистрация в Spring Security » , рассматривая базовую функцию « Я забыл свой пароль » , чтобы пользователь мог безопасно сбросить свой пароль, когда ему это нужно.

2. Запросите сброс вашего пароля​

Поток сброса пароля обычно начинается, когда пользователь нажимает кнопку «сброс» на странице входа. Затем мы можем запросить у пользователя его адрес электронной почты или другую идентифицирующую информацию. После подтверждения мы можем сгенерировать токен и отправить электронное письмо пользователю.

1. Введение​

OAuth — это отраслевой стандарт для делегированной авторизации. Много внимания и заботы было потрачено на создание различных потоков, составляющих стандарт. Даже в этом случае не обошлось без уязвимостей.

В этой серии статей мы обсудим атаки против OAuth с теоретической точки зрения и опишем различные варианты, которые существуют для защиты наших приложений.

2. Предоставление кода авторизации​

Поток предоставления кода авторизации — это поток по умолчанию, который используется большинством приложений, реализующих делегированную авторизацию.

1. Обзор​

В этом руководстве мы рассмотрим Spring Security Taglibs , который обеспечивает базовую поддержку для доступа к информации о безопасности и применения ограничений безопасности в JSP.

2. Зависимости Maven​

Прежде всего, давайте добавим зависимость spring-security-taglibs в наш pom.xml :

<dependency>
    <groupId>org.springframework.security</groupId>
    <artifactId>spring-security-taglibs</artifactId>
    <version>5.2.2.RELEASE</version>
</dependency>

1. Обзор​

Spring Security обрабатывает для нас получение и анализ учетных данных для аутентификации.

В этом кратком руководстве мы рассмотрим, как получить информацию о SecurityContext из запроса в коде нашего обработчика.

2. Аннотация @CurrentSecurityContext​

Мы могли бы использовать шаблонный код для чтения контекста безопасности:

1. Обзор​

В нескольких последних статьях серии Registration здесь, на ForEach , мы создали большую часть необходимой нам функциональности в стиле MVC.

Теперь мы собираемся перевести некоторые из этих API на более RESTful-подход.

2. Операция регистрации ​

1. Обзор​

В этом руководстве мы продолжаем текущую серию « Регистрация в Spring Security » и рассмотрим повторную отправку пользователю ссылки для подтверждения в случае, если срок ее действия истечет до того, как у него появится возможность активировать свою учетную запись.

2. Повторно отправьте ссылку для подтверждения​

Во-первых, давайте посмотрим, что происходит, когда пользователь запрашивает другую ссылку для подтверждения, если срок действия предыдущей истек.

1. Обзор​

В этом кратком руководстве мы собираемся показать пример того, как мы можем отслеживать пользователей, вошедших в систему в настоящее время, в приложении с помощью Spring Security .

Для этой цели мы собираемся отслеживать список вошедших в систему пользователей, добавляя пользователя, когда они входят в систему, и удаляя их, когда они выходят из системы.

Мы будем использовать HttpSessionBindingListener для обновления списка вошедших в систему пользователей всякий раз, когда информация о пользователе добавляется в сеанс или удаляется из сеанса на основе входа пользователя в систему или выхода из системы.

2. Магазин активных пользователей​

1. Введение​

В этом руководстве мы собираемся продемонстрировать, как мы можем проверить , входят ли наши пользователи в систему с нового устройства /местоположения . ** ** ** ** ** ** ****

Мы собираемся отправить им уведомление о входе в систему, чтобы сообщить им, что мы обнаружили незнакомую активность в их учетной записи.

2. Местоположение пользователей и сведения об устройстве​