Перейти к основному содержимому

151 запись с тегом "Spring Security"

Посмотреть все теги

· 4 мин. чтения

1. Обзор

В этом руководстве показано, как получить данные пользователя в Spring Security.

Текущий аутентифицированный пользователь доступен в Spring через ряд различных механизмов. Давайте сначала рассмотрим наиболее распространенное решение — программный доступ.

2. Получите пользователя в компоненте

· 5 мин. чтения

1. Обзор

Иногда API-интерфейсы OAuth2 могут немного отличаться от стандартных, и в этом случае нам необходимо внести некоторые изменения в стандартные запросы OAuth2.

Spring Security 5.1 поддерживает настройку авторизации OAuth2 и запросов токенов.

В этом руководстве мы увидим, как настроить параметры запроса и обработку ответов.

2. Пользовательский запрос авторизации

· 8 мин. чтения

1. Обзор

В этом руководстве мы обсудим, как заставить нашу реализацию Spring Security OAuth2 использовать веб-токены JSON.

Мы также продолжаем развивать предыдущую статью из этой серии OAuth.

Прежде чем мы начнем — одно важное замечание. Имейте в виду, что основная команда Spring Security находится в процессе реализации нового стека OAuth2, причем некоторые аспекты уже реализованы, а некоторые еще находятся в разработке.

Версию этой статьи, использующую новый стек Spring Security 5, можно найти в нашей статье Использование JWT с Spring Security OAuth .

· 3 мин. чтения

1. Обзор

В этой быстрой статье мы реализуем простую функцию «Изменить мой собственный пароль», доступную пользователю после регистрации и входа в систему.

2. Клиентская сторона — страница смены пароля

Давайте взглянем на очень простую клиентскую страницу:

· 8 мин. чтения

1. Обзор

В этом руководстве мы обсудим, как заставить нашу реализацию Spring Security OAuth2 использовать веб-токены JSON.

Мы также продолжаем развивать статью Spring REST API + OAuth2 + Angular в этой серии OAuth.

2. Сервер авторизации OAuth2

· 9 мин. чтения

1. Введение

Список контроля доступа ( ACL) — это список разрешений, прикрепленных к объекту. ACL указывает, какие удостоверения предоставляются, какие операции над данным объектом.

Spring Security Access Control Listэто компонент Spring , поддерживающий безопасность объектов домена. Проще говоря, Spring ACL помогает определить разрешения для конкретного пользователя/роли в одном объекте домена, а не повсеместно, на типичном уровне для каждой операции.

Например, пользователь с ролью администратора может видеть ( ЧИТАТЬ) и редактировать ( ЗАПИСАТЬ) все сообщения в центральном ящике уведомлений , но обычный пользователь может только видеть сообщения, относиться к ним и не может редактировать. Между тем, другие пользователи с ролью Редактор могут видеть и редактировать определенные сообщения.

Следовательно, разные пользователи/роли имеют разные разрешения для каждого конкретного объекта. В этом случае Spring ACL способен выполнить эту задачу. В этой статье мы рассмотрим, как настроить базовую проверку разрешений с помощью Spring ACL .

2. Конфигурация

· 3 мин. чтения

1. Обзор

При создании веб-приложения Spring важно сосредоточиться на безопасности. Межсайтовый скриптинг (XSS) — одна из самых серьезных атак на веб-безопасность.

Предотвращение атаки XSS — сложная задача в приложении Spring. Spring предоставляет встроенную справку для полной защиты.

В этом руководстве мы будем использовать доступные функции Spring Security.

2. Что такое атака с использованием межсайтовых сценариев (XSS)?

· 1 мин. чтения

· 1 мин. чтения

Создание полноценной, готовой к работе регистрации для вашего веб-приложения — это гораздо больше, чем просто создание простой страницы регистрации.

Есть много вопросов , на которые нужно ответить:

  • Как проверить адреса электронной почты новых пользователей?
  • Как правильно и безопасно хранить учетные данные пользователя ?
  • Что делать, если пользователь забывает свой пароль ?
  • А как насчет того, чтобы пользователи меняли свой пароль ?
  • Насколько надежными должны быть пароли ? Как я могу применить некоторые разумные значения по умолчанию в приложении, чтобы у моих пользователей были хорошие и надежные пароли?
  • Что делать, если у меня более одного типа пользователей? Мне нужен хороший способ хранения ролей и привилегий .
  • Как насчет секретных вопросов ? Должны ли они вообще быть у меня?
  • Как мне сделать все это с хорошей поддержкой локализации? Есть много сообщений, связанных.

./3b0ef6ea1f242a24a2a6d84120588492.png

Основы процесса регистрации

./80f23d6580a7a9647fb85f71659964eb.png

Расширенный процесс регистрации

· 2 мин. чтения

Учебники по безопасности с Spring , как и следовало ожидать, сосредоточены на Spring Security.

Начните с серии «Регистрация», если вы заинтересованы в построении процесса регистрации и понимании некоторых основ фреймворков.

Затем подробно изучите аутентификацию и другие внутренние компоненты Spring Security.

Наконец, взгляните на некоторые из более сложных тем, таких как поддержка OAuth.

./b2c7d672519acc703c69c771f632e5b7.png

Регистрация в Spring Security

./f4d5638eb3eebe8195a462a1b9daa637.png

Аутентификация с помощью Spring Security

./63b9c154ec90b50f3e68fc7a7a6604b4.png

Базовая безопасность Spring

./80da7e5c2af5c31957cf45996a24d374.png

OAuth2 с Spring Security

./04c204d8c29405c49e5cd3971bb41178.png

Другие весенние уроки