主頁 > 後端開發 > 快試試用 API Key 來保護你的 SpringBoot 介面安全吧!

快試試用 API Key 來保護你的 SpringBoot 介面安全吧!

2023-07-11 07:45:37 後端開發

來源:baeldung.com/spring-boot-api-key-secret

1、概述

安全性在REST API開發中扮演著重要的角色,一個不安全的REST API可以直接訪問到后臺系統中的敏感資料,因此,企業組織需要關注API安全性,

Spring Security 提供了各種機制來保護我們的 REST API,其中之一是 API 密鑰,API 密鑰是客戶端在呼叫 API 呼叫時提供的令牌,

在本教程中,我們將討論如何在Spring Security中實作基于API密鑰的身份驗證,

2、REST API Security

Spring Security可以用來保護REST API的安全性,REST API是無狀態的,因此不應該使用會話或cookie,相反,應該使用Basic authentication,API Keys,JWT或OAuth2-based tokens來確保其安全性,

2.1. Basic Authentication

Basic authentication是一種簡單的認證方案,客戶端發送HTTP請求,其中包含Authorization標頭的值為Basic base64_url編碼的用戶名:密碼,Basic authentication僅在HTTPS / SSL等其他安全機制下才被認為是安全的,

2.2. OAuth2

OAuth2是REST API安全的行業標準,它是一種開放的認證和授權標準,允許資源所有者通過訪問令牌將授權委托給客戶端,以獲得對私有資料的訪問權限,

2.3. API Keys

一些REST API使用API密鑰進行身份驗證,API密鑰是一個標記,用于向API客戶端標識API,而無需參考實際用戶,標記可以作為查詢字串或在請求頭中發送,

3、用API Keys保護REST API

Spring Boot 基礎就不介紹了,推薦看這個實戰專案:

https://github.com/javastacks/spring-boot-best-practice

3.1 添加Maven 依賴

讓我們首先在我們的pom.xml中宣告spring-boot-starter-security依賴關系:

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

3.2 創建自定義過濾器(Filter)

實作思路是從請求頭中獲取API Key,然后使用我們的配置檢查秘鑰,在這種情況下,我們需要在Spring Security 配置類中添加一個自定義的Filter,

我們將從實作GenericFilterBean開始,GenericFilterBean是一個基于javax.servlet.Filter介面的簡單Spring實作,

讓我們創建AuthenticationFilter類:

public class AuthenticationFilter extends GenericFilterBean {

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain filterChain)
      throws IOException, ServletException {
        try {
            Authentication authentication = AuthenticationService.getAuthentication((HttpServletRequest) request);
            SecurityContextHolder.getContext().setAuthentication(authentication);
        } catch (Exception exp) {
            HttpServletResponse httpResponse = (HttpServletResponse) response;
            httpResponse.setStatus(HttpServletResponse.SC_UNAUTHORIZED);
            httpResponse.setContentType(MediaType.APPLICATION_JSON_VALUE);
            PrintWriter writer = httpResponse.getWriter();
            writer.print(exp.getMessage());
            writer.flush();
            writer.close();
        }

        filterChain.doFilter(request, response);
    }
}

我們只需要實作doFilter()方法,在這個方法中我們從請求頭中獲取API Key,并將生成的Authentication物件設定到當前的SecurityContext實體中,

然后請求被傳遞給其余的過濾器處理,接著轉發給DispatcherServlet最后到達我們的控制器,

在AuthenticationService類中,實作從Header中獲取API Key并構造Authentication物件,代碼如下:

public class AuthenticationService {
    private static final String AUTH_TOKEN_HEADER_NAME = "X-API-KEY";
    private static final String AUTH_TOKEN = "Baeldung";

    public static Authentication getAuthentication(HttpServletRequest request) {
        String apiKey = request.getHeader(AUTH_TOKEN_HEADER_NAME);

        if ((apiKey == null) || !apiKey.equals(AUTH_TOKEN)) {
            throw new BadCredentialsException("Invalid API Key");
        }

        return new ApiKeyAuthentication(apiKey, AuthorityUtils.NO_AUTHORITIES);
    }
}

在這里,我們檢查請求頭是否包含 API Key,如果為空 或者Key值不等于密鑰,那么就拋出一個 BadCredentialsException,如果請求頭包含 API Key,并且驗證通過,則將密鑰添加到安全背景關系中,然后呼叫下一個安全過濾器,getAuthentication 方法非常簡單,我們只是比較 API Key 頭部和密鑰是否相等,

為了構建 Authentication 物件,我們必須使用 Spring Security 為了標準身份驗證而構建物件時使用的相同方法,所以,需要擴展 AbstractAuthenticationToken 類并手動觸發身份驗證,

3.3. 擴展AbstractAuthenticationToken

為了成功地實作我們應用的身份驗證功能,我們需要將傳入的API Key轉換為AbstractAuthenticationToken型別的身份驗證物件,AbstractAuthenticationToken類實作了Authentication介面,表示一個認證請求的主體和認證資訊,

讓我們創建ApiKeyAuthentication類:

public class ApiKeyAuthentication extends AbstractAuthenticationToken {
    private final String apiKey;

    public ApiKeyAuthentication(String apiKey,
        Collection<?extends GrantedAuthority> authorities) {
        super(authorities);
        this.apiKey = apiKey;
        setAuthenticated(true);
    }

    @Override
    public Object getCredentials() {
        return null;
    }

    @Override
    public Object getPrincipal() {
        return apiKey;
    }
}

ApiKeyAuthentication 類是型別為 AbstractAuthenticationToken 的物件,其中包含從 HTTP 請求中獲取的 apiKey 資訊,在構造方法中使用 setAuthenticated(true) 方法,因此,Authentication物件包含 apiKey 和authenticated欄位:

3.4. Security Config

通過創建建一個SecurityFilterChain bean,可以通過編程方式把我們上面撰寫的自定義過濾器(Filter)進行注冊,

我們需要在 HttpSecurity 實體上使用 addFilterBefore() 方法在 UsernamePasswordAuthenticationFilter 類之前添加 AuthenticationFilter,

創建SecurityConfig 類:

@Configuration
@EnableWebSecurity
public class SecurityConfig {

    @Bean
    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
        http.csrf()
          .disable()
          .authorizeRequests()
          .antMatchers("/**")
          .authenticated()
          .and()
          .httpBasic()
          .and()
          .sessionManagement()
          .sessionCreationPolicy(SessionCreationPolicy.STATELESS)
          .and()
          .addFilterBefore(new AuthenticationFilter(), UsernamePasswordAuthenticationFilter.class);

        return http.build();
    }

}

此外注意代碼中我們吧繪畫策略(session policy)設定為無狀態(STATELESS),因為我們使用的是REST,

3.5. ResourceController

最后,我們創建ResourceController,實作一個Get請求 /home

@RestController
public class ResourceController {
    @GetMapping("/home")
    public String homeEndpoint() {
        return "Baeldung !";
    }
}

3.6. 禁用 Auto-Configuration

@SpringBootApplication(exclude = {SecurityAutoConfiguration.class, UserDetailsServiceAutoConfiguration.class})
public class ApiKeySecretAuthApplication {

    public static void main(String[] args) {
        SpringApplication.run(ApiKeySecretAuthApplication.class, args);
    }
}

4. 測驗

我們先不提供API Key進行測驗

curl --location --request GET 'http://localhost:8080/home'

回傳 401 未經授權錯誤,

請求頭中加上API Key后,再次請求

curl --location --request GET 'http://localhost:8080/home' \
--header 'X-API-KEY: Baeldung'

請求回傳狀態200

代碼:

https://github.com/eugenp/tutorials/tree/master/spring-security-modules/spring-security-web-boot-4

近期熱文推薦:

1.1,000+ 道 Java面試題及答案整理(2022最新版)

2.勁爆!Java 協程要來了,,,

3.Spring Boot 2.x 教程,太全了!

4.別再寫滿屏的爆爆爆炸類了,試試裝飾器模式,這才是優雅的方式!!

5.《Java開發手冊(嵩山版)》最新發布,速速下載!

覺得不錯,別忘了隨手點贊+轉發哦!

轉載請註明出處,本文鏈接:https://www.uj5u.com/houduan/556914.html

標籤:其他

上一篇:[滲透測驗]—2.2 常見的攻擊型別

下一篇:返回列表

標籤雲
其他(162304) Python(38273) JavaScript(25528) Java(18294) C(15239) 區塊鏈(8275) C#(7972) AI(7469) 爪哇(7425) MySQL(7292) html(6777) 基礎類(6313) sql(6102) 熊猫(6058) PHP(5876) 数组(5741) R(5409) Linux(5347) 反应(5209) 腳本語言(PerlPython)(5129) 非技術區(4971) Android(4615) 数据框(4311) css(4259) 节点.js(4032) C語言(3288) json(3245) 列表(3129) 扑(3119) C++語言(3117) 安卓(2998) 打字稿(2995) VBA(2789) Java相關(2746) 疑難問題(2699) 细绳(2522) 單片機工控(2479) iOS(2438) ASP.NET(2404) MongoDB(2323) 麻木的(2285) 正则表达式(2254) 字典(2211) 循环(2198) 迅速(2185) 擅长(2169) 镖(2155) HtmlCss(1994) .NET技术(1986) 功能(1967) Web開發(1951) C++(1942) python-3.x(1918) 弹簧靴(1913) xml(1889) PostgreSQL(1882) .NETCore(1863) 谷歌表格(1846) Unity3D(1843) for循环(1842)

熱門瀏覽
  • 【C++】Microsoft C++、C 和匯編程式檔案

    ......

    uj5u.com 2020-09-10 00:57:23 more
  • 例外宣告

    相比于斷言適用于排除邏輯上不可能存在的狀態,例外通常是用于邏輯上可能發生的錯誤。 例外宣告 Item 1:當函式不可能拋出例外或不能接受拋出例外時,使用noexcept 理由 如果不打算拋出例外的話,程式就會認為無法處理這種錯誤,并且應當盡早終止,如此可以有效地阻止例外的傳播與擴散。 示例 //不可 ......

    uj5u.com 2020-09-10 00:57:27 more
  • Codeforces 1400E Clear the Multiset(貪心 + 分治)

    鏈接:https://codeforces.com/problemset/problem/1400/E 來源:Codeforces 思路:給你一個陣列,現在你可以進行兩種操作,操作1:將一段沒有 0 的區間進行減一的操作,操作2:將 i 位置上的元素歸零。最終問:將這個陣列的全部元素歸零后操作的最少 ......

    uj5u.com 2020-09-10 00:57:30 more
  • UVA11610 【Reverse Prime】

    本人看到此題沒有翻譯,就附帶了一個自己的翻譯版本 思考 這一題,它的第一個要求是找出所有 $7$ 位反向質數及其質因數的個數。 我們應該需要質數篩篩選1~$10^{7}$的所有數,這里就不慢慢介紹了。但是,重讀題,我們突然發現反向質數都是 $7$ 位,而將它反過來后的數字卻是 $6$ 位數,這就說明 ......

    uj5u.com 2020-09-10 00:57:36 more
  • 統計區間素數數量

    1 #pragma GCC optimize(2) 2 #include <bits/stdc++.h> 3 using namespace std; 4 bool isprime[1000000010]; 5 vector<int> prime; 6 inline int getlist(int ......

    uj5u.com 2020-09-10 00:57:47 more
  • C/C++編程筆記:C++中的 const 變數詳解,教你正確認識const用法

    1、C中的const 1、區域const變數存放在堆疊區中,會分配記憶體(也就是說可以通過地址間接修改變數的值)。測驗代碼如下: 運行結果: 2、全域const變數存放在只讀資料段(不能通過地址修改,會發生寫入錯誤), 默認為外部聯編,可以給其他源檔案使用(需要用extern關鍵字修飾) 運行結果: ......

    uj5u.com 2020-09-10 00:58:04 more
  • 【C++犯錯記錄】VS2019 MFC添加資源不懂如何修改資源宏ID

    1. 首先在資源視圖中,添加資源 2. 點擊新添加的資源,復制自動生成的ID 3. 在解決方案資源管理器中找到Resource.h檔案,編輯,使用整個專案搜索和替換的方式快速替換 宏宣告 4. Ctrl+Shift+F 全域搜索,點擊查找全部,然后逐個替換 5. 為什么使用搜索替換而不使用屬性視窗直 ......

    uj5u.com 2020-09-10 00:59:11 more
  • 【C++犯錯記錄】VS2019 MFC不懂的批量添加資源

    1. 打開資源頭檔案Resource.h,在其中預先定義好宏 ID(不清楚其實ID值應該設定多少,可以先新建一個相同的資源項,再在這個資源的ID值的基礎上遞增即可) 2. 在資源視圖中選中專案資源,按F7編輯資源檔案,按 ID 型別 相對路徑的形式添加 資源。(別忘了先把檔案拷貝到專案中的res檔案 ......

    uj5u.com 2020-09-10 01:00:19 more
  • C/C++編程筆記:關于C++的參考型別,專供新手入門使用

    今天要講的是C++中我最喜歡的一個用法——參考,也叫別名。 參考就是給一個變數名取一個變數名,方便我們間接地使用這個變數。我們可以給一個變數創建N個參考,這N + 1個變數共享了同一塊記憶體區域。(參考型別的變數會占用記憶體空間,占用的記憶體空間的大小和指標型別的大小是相同的。雖然參考是一個物件的別名,但 ......

    uj5u.com 2020-09-10 01:00:22 more
  • 【C/C++編程筆記】從頭開始學習C ++:初學者完整指南

    眾所周知,C ++的學習曲線陡峭,但是花時間學習這種語言將為您的職業帶來奇跡,并使您與其他開發人員區分開。您會更輕松地學習新語言,形成真正的解決問題的技能,并在編程的基礎上打下堅實的基礎。 C ++將幫助您養成良好的編程習慣(即清晰一致的編碼風格,在撰寫代碼時注釋代碼,并限制類內部的可見性),并且由 ......

    uj5u.com 2020-09-10 01:00:41 more
最新发布
  • 快試試用 API Key 來保護你的 SpringBoot 介面安全吧!

    來源:baeldung.com/spring-boot-api-key-secret ## 1、概述 安全性在REST API開發中扮演著重要的角色。一個不安全的REST API可以直接訪問到后臺系統中的敏感資料。因此,企業組織需要關注API安全性。 Spring Security 提供了各種機制來 ......

    uj5u.com 2023-07-11 07:45:37 more
  • [滲透測驗]—2.2 常見的攻擊型別

    在本節中,我們將介紹一些常見的攻擊型別,以幫助你更好地了解滲透測驗的目標和方法。我們將涵蓋以下攻擊型別: 1. SQL注入攻擊 2. 跨站腳本攻擊(XSS) 3. 跨站請求偽造(CSRF) 4. 會話劫持 5. 社會工程攻擊 6. 暴力破解 7. 分布式拒絕服務攻擊(DDoS) 8. 零日攻擊 ## ......

    uj5u.com 2023-07-11 07:45:30 more
  • Go優雅的錯誤處理: 支持錯誤堆疊, 錯誤碼, 錯誤鏈的工具庫

    地址: https://github.com/morrisxyang/errors 如果覺得有用歡迎 Star 和 PR, 有問題請直接提issue # errors [![Go Reference](https://pkg.go.dev/badge/github.com/morrisxyang/e ......

    uj5u.com 2023-07-11 07:45:24 more
  • 基于JavaFX的掃雷游戲實作(四)——排行榜

    這期看標題已經能猜到了,主要講的是成績排行功能,還有對應的檔案讀寫。那么廢話不多說,讓我們有請今天的主角...的設計稿: 那么主角是何方神圣呢?當然是圖中的大框框——TableView。關于這個控制元件的選取沒有太多講究,你也可以用文本域,手動換行來顯示。我只是覺得使用表格顯示看起來更規范些。接下來考慮 ......

    uj5u.com 2023-07-11 07:40:11 more
  • Dax函式教程_編程入門自學教程_菜鳥教程-免費教程分享

    ## 教程簡介 DAX代表 Data Analysis Expressions. DAX是一種公式語言,是函式,運算子和常量的集合,可以在公式或運算式中用于計算和回傳一個或多個值. DAX是與Microsoft Excel Power Pivot和Microsoft Power BI的資料模型相關聯 ......

    uj5u.com 2023-07-11 07:40:05 more
  • python筆記:第六章函式&方法

    # 1.系統函式 由系統提供,直接拿來用或是匯入模塊后使用 ``` a = 1.12386 result = round(a,2) print(result) > 1.12 ``` # 2.自定義函式 * 函式是結構化編程的核心 * 使用關鍵詞`def`來定義函式 ``` #函式定義 def fun ......

    uj5u.com 2023-07-11 07:39:00 more
  • Go優雅的錯誤處理: 支持錯誤堆疊, 錯誤碼, 錯誤鏈的工具庫

    地址: https://github.com/morrisxyang/errors 如果覺得有用歡迎 Star 和 PR, 有問題請直接提issue # errors [![Go Reference](https://pkg.go.dev/badge/github.com/morrisxyang/e ......

    uj5u.com 2023-07-11 07:10:29 more
  • 【調制解調】AM 調幅

    ## 說明 學習數字信號處理演算法時整理的學習筆記。同系列文章目錄可見 [《DSP 學習之路》目錄](https://www.cnblogs.com/young520/p/17539849.html)。本篇介紹 AM 調幅信號的調制與解調,內附全套 MATLAB 代碼。 [TOC] ## 1. AM ......

    uj5u.com 2023-07-10 08:31:33 more
  • 使用 Sa-Token 實作不同的登錄模式:單地登錄、多地登錄、同端互斥

    ### 一、需求分析 如果你經常使用騰訊QQ,就會發現它的登錄有如下特點:它可以手機電腦同時在線,但是不能在兩個手機上同時登錄一個賬號。 同端互斥登錄,指的就是:像騰訊QQ一樣,在同一型別設備上只允許單地點登錄,在不同型別設備上允許同時在線。 動態演示圖: ![同端互斥登錄](https://oss ......

    uj5u.com 2023-07-10 08:25:24 more
  • 一文了解 io.Copy 函式

    # 1. 引言 `io.Copy` 函式是一個非常好用的函式,能夠非常方便得將資料進行拷貝。本文我們將從`io.Copy` 函式的基本定義出發,講述其基本使用和實作原理,以及一些注意事項,基于此完成對`io.Copy` 函式的介紹。 # 2. 基本說明 ### 2.1 基本定義 `Copy`函式用于 ......

    uj5u.com 2023-07-10 08:25:07 more