151 запись с тегом "Spring Security"

1. Введение​

Версии Spring Framework с 5.0 по 5.0.4, с 4.3 по 4.3.14 и другие более старые версии имели уязвимость безопасности при обходе каталога или пути в системах Windows.

Неправильная настройка статических ресурсов позволяет злоумышленникам получить доступ к файловой системе сервера. Например, обслуживание статических ресурсов с использованием протокола file: обеспечивает несанкционированный доступ к файловой системе в Windows .

Spring Framework признал уязвимость и устранил ее в более поздних выпусках.

Следовательно, это исправление защищает приложения от атак с обходом пути. Однако с этим исправлением некоторые из более ранних URL-адресов теперь вызывают исключение org.springframework.security.web.firewall.RequestRejectedException .

Наконец, в этом руководстве давайте узнаем об org.springframework.security.web.firewall.RequestRejectedException и StrictHttpFirewall в контексте атак обхода пути .

1. Обзор​

Spring Security предлагает различные системы аутентификации, например, через базу данных и UserDetailService .

Вместо использования слоя сохраняемости JPA мы также можем захотеть использовать, например, репозиторий MongoDB . В этом руководстве мы увидим, как аутентифицировать пользователя с помощью Spring Security и MongoDB.

2. Аутентификация Spring Security с MongoDB​

Подобно использованию репозитория JPA, мы можем использовать репозиторий MongoDB . Однако нам нужно установить другую конфигурацию, чтобы использовать ее.

1. Обзор​

При использовании Spring Security нам может потребоваться вход на более высокий уровень, чем уровень по умолчанию. Нам может потребоваться проверить, например, роли пользователей или то, как защищены конечные точки. Или, может быть, нам также нужна дополнительная информация об аутентификации или авторизации, например, чтобы понять, почему пользователю не удается получить доступ к конечной точке.

В этом кратком руководстве мы увидим, как изменить уровень ведения журнала Spring Security.

2. Настройте ведение журнала безопасности Spring​

Как и любое приложение Spring или Java, мы можем использовать библиотеку логгеров и определять уровень логирования для модулей Spring Security .

1. Обзор​

В этом руководстве мы продолжим серию Spring Security Registration , добавив Google reCAPTCHA в процесс регистрации, чтобы отличать людей от ботов.

2. Интеграция reCAPTCHA от Google​

Чтобы интегрировать веб-службу Google reCAPTCHA, нам сначала нужно зарегистрировать наш сайт в службе, добавить их библиотеку на нашу страницу, а затем проверить ответ пользователя на капчу с помощью веб-службы.

Давайте зарегистрируем наш сайт по адресу https://www.google.com/recaptcha/admin . В процессе регистрации генерируется ключ сайта и секретный ключ для доступа к веб-сервису.

1. Обзор​

Эта статья продолжает текущую серию « Регистрация в Spring Security » с одним из недостающих элементов процесса регистрации — проверкой электронной почты пользователя для подтверждения его учетной записи .

Механизм подтверждения регистрации заставляет пользователя ответить на электронное письмо « Подтвердить регистрацию », отправленное после успешной регистрации, чтобы подтвердить свой адрес электронной почты и активировать свою учетную запись. Пользователь делает это, щелкая уникальную ссылку активации, отправленную ему по электронной почте.

Следуя этой логике, вновь зарегистрированный пользователь не сможет войти в систему, пока этот процесс не будет завершен.

2. Токен подтверждения​

1. Введение​

В этом руководстве мы покажем, как настроить сопоставление утверждений JWT (веб-токен JSON) с авторитетами Spring Security .

2. Фон​

Когда правильно настроенное приложение на основе Spring Security получает запрос, оно проходит ряд шагов, которые, по сути, преследуют две цели:

• Аутентифицируйте запрос, чтобы приложение могло знать, кто к нему обращается.
• Решите, может ли аутентифицированный запрос выполнять связанное действие

Обратите внимание, что эта статья была обновлена до нового стека Spring Security OAuth 2.0. Тем не менее, учебник с использованием устаревшего стека все еще доступен.

1. Обзор​

В этом кратком руководстве мы сосредоточимся на настройке OpenID Connect (OIDC) с помощью Spring Security.

Мы представим различные аспекты этой спецификации, а затем увидим поддержку, которую Spring Security предлагает для ее реализации на клиенте OAuth 2.0.

2. Краткое введение в OpenID Connect​

1. Почему я разделяю «Learn Spring Security»?​

Я много думал об этом.

Впервые я запустил свой курс «Learn Spring Security» еще в начале 2016 года. Это был мой второй курс и сверхамбициозный шаг — предоставление полного обучения Spring Security от начала до конца.

После множества новых уроков, обновлений и обновлений за последние несколько лет и почти 2000 студентов, изучающих этот материал , курс имеет огромный успех .

Но на протяжении всей этой непрерывной работы над материалом и моей собственной консультационной работы стало ясно одно. Большая часть моего внимания сейчас сосредоточена на OAuth, хотя, как и следовало ожидать, я освещаю множество продвинутых тем в «Learn Spring Security».

OAuth — это не просто часть курса — это САМАЯ важная часть.

Оглавление

• 1. Обзор
• 2. Настройка базовой аутентификации
• 2.1. Удовлетворение ограничения без сохранения состояния — избавление от сессий
• 3. Настройка дайджест-аутентификации
• 4. Поддержка обоих протоколов аутентификации в одной службе RESTful.
• 4.1. Анонимный запрос
• 4.2. Запрос с учетными данными аутентификации
• 5. Тестирование обоих сценариев
• 6. Заключение

1. Обзор​

В этой статье обсуждается, как настроить базовую и дайджест-аутентификацию в одной и той же структуре URI REST API . В предыдущей статье мы обсуждали другой метод защиты службы REST — аутентификацию на основе форм , поэтому обычная и дайджест-аутентификация являются естественной альтернативой, а также более RESTful.

2. Настройка базовой аутентификации​

1. Обзор​

В этом руководстве мы узнаем , как использовать Spring OAuth2RestTemplate для выполнения вызовов REST OAuth2 .

Мы создадим веб-приложение Spring, способное отображать репозитории учетной записи GitHub.

2. Конфигурация Maven​

Во- первых, нам нужно добавить зависимости spring-boot-starter-security и spring-security-oauth2-autoconfigure в наш pom.xml . Поскольку мы создаем веб-приложение, нам также необходимо включить артефакты spring-boot-starter-web и spring-boot-starter-thymeleaf .