Перейти к основному содержимому

151 запись с тегом "Spring Security"

Посмотреть все теги

· 1 мин. чтения

./fffa3d2ea3344cbf7c5dee672da62a2f.png

Новая поддержка OAuth2

./3b72c1442c81b2c86a34df43bb5f6df5.png

Spring Security OAuth2 (устаревший стек)

· 4 мин. чтения

1. Обзор

В этой статье будет показано, как настроить функцию «Запомнить меня» в Spring Security — используя не стандартный подход только к файлам cookie, а более безопасное решение, использующее постоянство .

В качестве краткого введения: Spring можно настроить так, чтобы он запоминал данные для входа между сеансами браузера. Это позволяет вам войти на веб-сайт, а затем автоматически войти в систему при следующем посещении сайта (даже если вы тем временем закрыли браузер).

2. Два решения «Запомнить меня»

Spring предоставляет две немного разные реализации для решения проблемы. Оба используют UsernamePasswordAuthenticationFilter , используя ловушки для вызова реализации RememberMeServices .

· 8 мин. чтения

1. Обзор

Безопасность является первоочередной задачей в мире разработки приложений, особенно в области корпоративных веб-приложений и мобильных приложений.

В этом кратком руководстве мы сравним два популярных фреймворка Java Security — Apache Shiro и Spring Security .

2. Немного предыстории

Apache Shiro родился в 2004 году как JSecurity и был принят Apache Foundation в 2008 году. На сегодняшний день он видел много выпусков, последним на момент написания этого является 1.5.3.

· 4 мин. чтения

1. Обзор

Spring Security обеспечивает хорошую поддержку интеграции с Spring Data. В то время как первый обрабатывает аспекты безопасности нашего приложения, последний обеспечивает удобный доступ к базе данных, содержащей данные приложения.

В этой статье мы обсудим, как Spring Security можно интегрировать с Spring Data, чтобы включить больше пользовательских запросов .

2. Spring Security + Spring Конфигурация данных

В нашем введении в Spring Data JPA мы увидели, как настроить Spring Data в проекте Spring. Как обычно, чтобы включить безопасность Spring и данные Spring, мы можем использовать конфигурацию на основе Java или XML.

· 8 мин. чтения

1. Обзор

В этом руководстве мы сосредоточимся на создании пользовательского выражения безопасности с помощью Spring Security .

Иногда выражения, доступные в фреймворке , просто недостаточно выразительны. И в этих случаях относительно просто построить новое выражение, которое семантически богаче, чем существующие.

Сначала мы обсудим, как создать настраиваемый PermissionEvaluator , затем полностью настраиваемое выражение и, наконец, как переопределить одно из встроенных выражений безопасности.

2. Пользовательская сущность

· 4 мин. чтения

1. Обзор

В этом кратком руководстве мы реализуем базовое решение для предотвращения попыток аутентификации методом грубой силы с помощью Spring Security.

Проще говоря, мы будем вести учет количества неудачных попыток с одного IP-адреса. Если этот конкретный IP превышает установленное количество запросов, он будет заблокирован на 24 часа.

2. Слушатель AuthenticationFailureListener

· 8 мин. чтения

1. Обзор

В этой статье мы реализуем базовый процесс регистрации с помощью Spring Security. Это основано на концепциях, рассмотренных в предыдущей статье , где мы рассмотрели вход в систему.

Цель состоит в том, чтобы добавить полный процесс регистрации, который позволяет пользователю регистрироваться, проверять и сохранять пользовательские данные.

2. Страница регистрации

· 9 мин. чтения

1. Обзор

В этом руководстве мы защитим REST API с помощью OAuth2 и используем его из простого клиента Angular.

Приложение, которое мы собираемся создать, будет состоять из трех отдельных модулей:

  • Сервер авторизации
  • Сервер ресурсов
  • Код авторизации пользовательского интерфейса: интерфейсное приложение, использующее поток кода авторизации.

Мы будем использовать стек OAuth в Spring Security 5. Если вы хотите использовать устаревший стек Spring Security OAuth, ознакомьтесь с этой предыдущей статьей: Spring REST API + OAuth2 + Angular (использование стека Spring Security OAuth Legacy) .

· 9 мин. чтения

1. Обзор

В этом руководстве мы рассмотрим службу Apereo Central Authentication Service (CAS) и увидим, как служба Spring Boot может использовать ее для аутентификации. CAS — это корпоративное решение единого входа (SSO) с открытым исходным кодом.

Что такое ССО? Когда вы входите в YouTube, Gmail и Карты с одинаковыми учетными данными, это единый вход. Мы собираемся продемонстрировать это, настроив сервер CAS и приложение Spring Boot. Приложение Spring Boot будет использовать CAS для аутентификации.

2. Настройка CAS-сервера

2.1. Установка CAS и зависимости

· 6 мин. чтения

1. Обзор

В этом руководстве мы обсудим, как реализовать SSO — единый вход — с помощью Spring Security OAuth и Spring Boot, используя Keycloak в качестве сервера авторизации.

Мы будем использовать 4 отдельных приложения:

  • Сервер авторизации — центральный механизм аутентификации.
  • Сервер ресурсов — поставщик Foo s
  • Два клиентских приложения — приложения, использующие SSO

Проще говоря, когда пользователь пытается получить доступ к ресурсу через одно клиентское приложение, он сначала будет перенаправлен для аутентификации через сервер авторизации. Keycloak выполнит вход пользователя в систему, и, пока он все еще находится в первом приложении, если доступ ко второму клиентскому приложению осуществляется с помощью того же браузера, пользователю не нужно будет снова вводить свои учетные данные.

Мы собираемся использовать тип предоставления кода авторизации из OAuth2 для делегирования аутентификации.