108 записей с тегом "Безопасность"

1. Введение​

В этой статье мы начнем с краткого обзора OAuth 2.0, OpenID и Keycloak. После этого мы узнаем об API-интерфейсах Keycloak REST и о том, как их вызывать в Postman.

2. ОАут 2.0​

OAuth 2.0 — это структура авторизации, которая позволяет аутентифицированному пользователю предоставлять доступ третьим лицам с помощью токенов. Маркер обычно ограничен некоторыми областями с ограниченным временем жизни. Следовательно, это безопасная альтернатива учетным данным пользователя.

OAuth 2.0 состоит из четырех основных компонентов:

1. Введение​

В этом руководстве мы рассмотрим различные методы, которые мы можем использовать для создания безопасного случайного пароля в Java.

В наших примерах мы будем генерировать пароли из десяти символов, каждый из которых должен содержать не менее двух символов нижнего регистра, двух символов верхнего регистра, двух цифр и двух специальных символов.

2. Использование Passay​

Passay — это библиотека для применения политик паролей. Примечательно, что мы можем использовать библиотеку для генерации пароля с использованием настраиваемого набора правил.

1. Введение​

В этом уроке мы рассмотрим библиотеку ScribeJava .

ScribeJava — это простой клиент OAuth для Java, который помогает управлять потоком OAuth.

Главной особенностью библиотеки является то, что она поддерживает все основные API OAuth 1.0 и 2.0 из коробки. Более того, если нам придется работать с неподдерживаемым API, библиотека предоставляет пару классов для реализации наших API OAuth.

Еще одна важная особенность заключается в том, что можно выбрать, какой клиент использовать. Действительно, ScribeJava поддерживает несколько HTTP-клиентов:

• Асинхронный HTTP-клиент
• OkHttp
• Apache HttpComponents HttpClient

1. Обзор​

В предыдущем уроке мы показали, как преобразовать хранилище ключей Java (JKS) в формат PEM . В этом руководстве мы собираемся преобразовать формат PEM в стандартный формат Java KeyStore (JKS). Java KeyStore — это контейнер, в котором хранятся сертификаты с соответствующими закрытыми ключами.

Мы будем использовать комбинацию команд keytool и openssl для преобразования из PEM в JKS. Команда keytool поставляется с JDK (Java Development Kit) и используется для преобразования из PEM в PKCS12. Вторую команду openssl необходимо скачать , и ее роль заключается в преобразовании из PKCS12 в JKS.

2. Форматы файлов​

JKS — это специфичный для Java формат файла, который был форматом по умолчанию для KeyStore до Java 8 . Начиная с Java 9, PKCS#12 является форматом KeyStore по умолчанию . Несмотря на JKS, PKCS#12 является стандартизированным и независимым от языка форматом для хранения зашифрованных данных. Формат PKCS#12 также известен как PKCS12 или PFX.

1. Обзор​

В этом руководстве мы узнаем, как включить HTTPS в Spring Boot. Для этого мы также сгенерируем самозаверяющий сертификат и настроим простое приложение.

Для получения более подробной информации о проектах Spring Boot мы можем обратиться к множеству ресурсов здесь .

2. Генерация самоподписанного сертификата​

1. Введение​

В настоящее время большинство веб-приложений имеют свою политику паролей, которая, проще говоря, создана для того, чтобы заставить пользователей создавать пароли, которые трудно взломать.

Чтобы сгенерировать такие пароли или проверить их, мы можем использовать библиотеку Passay .

2. Зависимость от Maven​

1. Обзор​

При большом объеме регистрируемых данных важно скрывать конфиденциальные сведения о пользователях при регистрации. В новом мире, нынешнем GDPR, помимо многих проблем, мы должны уделять особое внимание регистрации конфиденциальных данных отдельных лиц.

В этом руководстве мы увидим, как маскировать конфиденциальные данные в журналах с помощью Logback. В целом, этот подход не является реальным способом решения проблемы — это своего рода последняя линия защиты для наших лог-файлов.

2. Логбэк​

Logback — одна из наиболее широко используемых сред ведения журналов в сообществе Java. Это замена своего предшественника Log4j. Он предлагает более быструю реализацию, чем Log4j, и предоставляет больше возможностей для настройки и большую гибкость в архивировании старых файлов журналов.

1. Обзор​

В традиционном веб-приложении для входа в систему обычно требуется отправить имя пользователя и пароль на сервер для аутентификации. Хотя эти элементы теоретически могут быть параметрами URL в GET-запросе, очевидно, что гораздо лучше инкапсулировать их в POST-запрос.

Однако должен ли выход из системы быть доступен через запрос GET, поскольку он не требует отправки какой-либо конфиденциальной информации?

В этом уроке мы рассмотрим различные аспекты этого дизайна.

2. Сеансы на стороне сервера​

1. Обзор​

В реальной жизни мы сталкиваемся с несколькими ситуациями, когда нам необходимо шифрование и дешифрование в целях безопасности. Мы можем легко добиться этого, используя секретный ключ. Поэтому для шифрования и расшифровки секретного ключа нам нужно знать способ преобразования секретных ключей в строку и наоборот. В этом руководстве мы увидим секретный ключ и преобразование строк в Java. Кроме того, мы рассмотрим различные способы создания секретного ключа в Java с примерами.

2. Секретный ключ​

Секретный ключ — это часть информации или параметр, который используется для шифрования и расшифровки сообщений. В Java у нас есть SecretKey — интерфейс, определяющий его как секретный (симметричный) ключ. Назначение этого интерфейса состоит в том, чтобы сгруппировать (и обеспечить безопасность типов) все интерфейсы с секретными ключами.

Существует два способа генерации секретного ключа в Java: генерация из случайного числа или получение из заданного пароля.

1. Обзор​

В этой статье будет показано, как настроить Spring RestTemplate для использования службы, защищенной с помощью дайджест-аутентификации .

Как и в случае с базовой аутентификацией, после того, как в шаблоне будет установлена дайджест-аутентификация, клиент сможет выполнить необходимые шаги безопасности и получить информацию, необходимую для заголовка авторизации :

Authorization: Digest 
    username="user1",
    realm="Custom Realm Name",
    nonce="MTM3NTYwOTA5NjU3OTo5YmIyMjgwNTFlMjdhMTA1MWM3OTMyMWYyNDY2MGFlZA==",
    uri="/spring-security-rest-digest-auth/api/foos/1", 
    ....

С помощью этих данных сервер может правильно аутентифицировать запрос и вернуть ответ 200 OK.

2. Настройте RestTemplate​