rest api如何创建_创建一个安全的Spring REST API

rest api如何创建

“我喜欢编写身份验证和授权代码。” 〜从来没有Java开发人员。 厌倦了一次又一次地建立相同的登录屏幕? 尝试使用Okta API进行托管身份验证,授权和多因素身份验证。

“如果有用,它将被修改。” 那些智慧的话来自我的QA老师,他们解释说,只要对某人有用,并且只要它有用,所有软件都会发展。 我们都知道这一点。 用户每天都要求我们提供新功能,错误修复和域逻辑更改。 随着任何项目(尤其是整体项目)的增长,它可能开始变得难以维护,并且任何新项目的进入门槛都将越来越高。 在本教程中,我很高兴引导您构建安全的Spring REST API,该API试图使用微服务架构来解决其中的一些难点。

在微服务架构中,您在逻辑上将应用程序划分为多个应用程序,这些应用程序可以更轻松地维护和扩展,使用不同的堆栈,并支持更多并行工作的团队。 但是微服务是解决每个扩展和维护问题的简单解决方案。

微服务还提出了许多必须解决的架构挑战:

  • 这些服务如何通信?
  • 通信故障和可用性应如何处理?
  • 如何在服务之间跟踪用户的请求?
  • 而且,您应该如何处理用户授权才能访问单个服务?

让我们深入研究并了解在构建Spring REST API时如何应对这些挑战。

使用OAuth 2.0保护Spring REST API的安全

在OAuth 2.0中 ,资源服务器是一种旨在处理域逻辑请求的服务,并且没有任何类型的登录工作流程或复杂的身份验证机制:资源服务器接收预先获得的访问令牌,该令牌可确保用户具有访问服务器的授权权限并提供预期的响应。

在本文中,您将使用Spring Boot和Okta构建一个简单的Resource Server ,以演示它的简单性。 您将实现一个简单的资源服务器 ,该服务器将接收并验证JWT令牌

将资源服务器添加到Spring REST API

本示例使用Okta处理所有身份验证过程。 您可以注册一个永久免费的开发者帐户 ,该帐户使您可以创建所需的任意数量的用户和应用程序。

我已经设置了一些东西,所以我们可以轻松上手。 请克隆以下资源存储库并转到startup标记,如下所示: 

git clone -b startup https://github.com/oktadeveloper/okta-secure-spring-rest-api-example secure-spring-rest-api
cd secure-spring-rest-api

该项目具有以下结构: 

$ tree .
.
├── README.md
├── mvnw
├── mvnw.cmd
├── pom.xml
└── src├── main│   ├── java│   │   └── net│   │       └── dovale│   │           └── okta│   │               └── secure_rest_api│   │                   ├── HelloWorldController.java│   │                   ├── SecureRestApiApplication.java│   │                   └── SecurityConfig.java│   └── resources│       └── application.properties└── test└── java└── net└── dovale└── okta└── secure_rest_api└── SecureRestApiApplicationTests.java14 directories, 9 files

我使用出色的Spring Initializr并添加了WebSecurity依赖关系来创建它。 Spring Initializr提供了一种简单的方法来创建具有一些常见的自动发现的依赖关系的新Spring Boot服务。 它还会添加Maven包装程序 :因此,您使用命令mvnw而不是mvn ,该工具将检测您是否具有指定的Maven版本,如果没有,则将下载并运行指定的命令。

有趣的事实 :您知道Maven包装器最初是由Okta自己的Brian Demers创建的吗?

文件HelloWorldController是一个简单的@RestController ,它输出“ Hello World”。

在终端中,您可以运行以下命令并查看Spring Boot启动: 

mvnw spring-boot:run

提示:如果该命令不适合您,请尝试使用./mvnw spring-boot:run代替。

完成加载后,您将准备好REST API,并设置为向您传递光彩的Hello World消息! 

> curl http://localhost:8080/
Hello World

提示:默认情况下, curl命令对于Windows用户不可用。 您可以从这里下载。

现在,您需要正确创建一个受保护的资源服务器

设置OAuth 2.0资源服务器

在Okta仪表板中,创建Service类型的应用程序,它表示资源服务器没有登录页面或任何获取新令牌的方式。

点击下一步 ,输入您的服务名称,然后点击完成 。 您将看到与以下屏幕类似的屏幕。 复制并粘贴您的客户端ID客户端密钥以供以后使用。 当您配置应用程序时,它们将非常有用。

现在,让我们编写一些代码!

编辑pom.xml文件,并添加Spring Security和Okta的依赖项。 它们将启用您需要的所有Spring AND Okta OAuth 2.0功能: 

<!-- security - begin -->
<dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency><groupId>org.springframework.cloud</groupId><artifactId>spring-cloud-starter-oauth2</artifactId>
</dependency>
<dependency><groupId>com.okta.spring</groupId><artifactId>okta-spring-boot-starter</artifactId><version>0.6.1</version>
</dependency>
<!-- security - end -->

通过简单地添加此依赖关系,您的代码将像没有钥匙的锁屋。 在向用户提供密钥之前,没有人可以访问您的API。 再次运行以下命令。 

mvnw spring-boot:run

现在,尝试访问Hello World资源: 

> curl http://localhost:8080/
{"timestamp":"2018-11-30T01:35:30.038+0000","status":401,"error":"Unauthorized","message":"Unauthorized","path":"/"}

将Spring Security添加到您的REST API

Spring Boot具有很多类路径魔术,并且能够发现自动配置依赖项。 既然您已经添加了Spring Security,它将自动保护您的资源。 现在,您需要配置Spring Security,以便可以正确地验证请求。

注意:如果您遇到困难,可以在Git分支step-1-security-dependencies检查修改。

为此,您需要按以下方式修改application.properties (使用Okta仪表板提供给应用程序的client_idclient_secret ): 

okta.oauth2.issuer=https://{yourOktaDomain}/oauth2/default
okta.oauth2.clientId={clientId}
okta.oauth2.clientSecret={clientSecret}
okta.oauth2.scopes=openid

Spring Boot使用注释和代码来配置您的应用程序,因此您无需编辑超级无聊的XML文件。 这意味着您可以使用Java编译器来验证您的配置!

我通常在不同的类中创建配置,每个类都有其自己的用途。 创建类net.dovale.okta.secure_rest_api.SecurityConfig ,如下所示: 

package net.dovale.okta.secure_rest_api;import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.oauth2.config.annotation.web.configuration.EnableResourceServer;@EnableWebSecurity
@EnableResourceServer
public class SecurityConfig  {}

请允许我解释这里的注释的作用:

  • @EnableWebSecurity –告诉Spring我们将使用Spring Security提供Web安全机制
  • @EnableResourceServer –方便的批注,可通过OAuth 2.0令牌启用请求身份验证。 通常,您会提供一个ResourceServerConfigurer bean,但是Okta的Spring Boot启动器很方便地为您提供了一个。

而已! 现在,您拥有了一个完全配置且受保护的Spring REST API,而没有任何样板!

再次运行Spring Boot并使用cURL进行检查。 

mvnw spring-boot:run
# in another shell
curl http://localhost:8080/
{"error":"unauthorized","error_description":"Full authentication is required to access this resource"}

消息改变了,但是您仍然无法访问...为什么? 因为现在服务器正在等待带有有效令牌的authorization 标头 。 在下一步中,您将创建一个访问令牌并使用它来访问您的API。

注意:如果有任何疑问,请检查Git分支step-2-security-configuration

在您的Spring REST API中生成令牌

那么……您如何获得令牌? 资源服务器不负责获取有效的凭证:它只会检查令牌是否有效并继续执行方法。

一种使用OpenID Connect <debugger />实现令牌以生成令牌的简单方法。

首先,您需要在Okta中创建一个新的Web应用程序:

登录重定向URI字段设置为https://oidcdebugger.com/debug并将Grant Type允许Hybrid 。 单击“完成”,然后复制客户端ID,以进行下一步。

现在,在OpenID Connect网站上,如下图所示填写表单(不要忘记为您最近创建的Okta Web应用程序填写客户端ID):

提交表单以启动身份验证过程。 如果您尚未登录,则将收到Okta登录表单,否则您将在下面看到带有自定义令牌的屏幕。

令牌的有效期为一小时,因此您可以使用API​​进行大量测试。 使用令牌很简单,只需将其复制并修改curl命令即可使用它,如下所示: 

> export TOKEN=${YOUR_TOKEN}
> curl http://localhost:8080 -H "Authorization: Bearer $TOKEN"
Hello World

添加OAuth 2.0范围

OAuth 2.0范围是一项功能,可让用户决定是否将授权该应用程序进行限制。 例如,您可能具有“读取”和“写入”范围。 如果应用程序需要写入范围,则应询问用户该特定范围。 这些可以由Okta的授权服务器自动处理。

作为资源服务器,它可以具有不同的端点,每个端点具有不同的范围。 接下来,您将学习如何设置不同的范围以及如何对其进行测试。

向您的SecurityConfig类添加一个新注释: 

@EnableWebSecurity
@EnableResourceServer
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfig {}

@EnableGlobalMethodSecurity(prePostEnabled = true)注解告诉Spring使用AOP样方法的安全性和prePostEnabled = true使的注释。 这些注释将使我们能够以编程方式为每个端点定义安全性。

现在,对HelloWorldController.java进行更改以创建一个受范围保护的端点: 

import org.springframework.security.access.prepost.PreAuthorize;
import java.security.Principal;
...
@PreAuthorize("#oauth2.hasScope('profile')")
@GetMapping("/protected/")
public String helloWorldProtected(Principal principal) {return "Hello VIP " + principal.getName();
}

注意@PreAuthorize("#oauth2.hasScope('profile')") 。 它说:在运行此方法之前,请验证请求是否具有指定范围的授权。 #oauth2位由OAuth2SecurityExpressionMethods Spring类添加(请检查其他可用方法),并通过spring-cloud-starter-oauth2依赖关系添加到您的类路径中。

好! 重新启动后,您的服务器将准备就绪! 使用您当前的令牌向端点发出新请求: 

> curl http://localhost:8080/protected/ -H "Authorization: Bearer $TOKEN"
{"error":"access_denied","error_description":"Access is denied"}

由于您的令牌没有所需的范围,因此您会收到一条access is denied消息。 要解决此问题,请回到OIDC调试器并添加新的作用域。

使用新获得的令牌重试: 

> curl http://localhost:8080/protected/ -H "Authorization: Bearer $TOKEN"
Hello VIP raphael@dovale.net

而已! 如果您有任何疑问,请检查最新的存储库分支finished_sample

提示:由于profile是OAuth 2.0的常见范围,因此您无需在授权服务器中进行任何更改。 需要创建自定义范围吗? 请参阅此Java应用程序的简单令牌认证 。

了解有关Spring和REST API的更多信息

在本教程中,您学习了如何使用Spring(引导)创建资源服务器并将其与OAuth 2.0无缝集成。 Spring和REST API都是巨大的主题,有很多讨论和学习的内容。

本教程的源代码可在GitHub上找到 。

以下是一些其他文章,可帮助您进一步了解Spring和REST API安全性:

  • OAuth到底是什么?
  • 使用Spring Boot和OAuth 2.0进行安全的服务器到服务器通信
  • Spring Boot 2.1:出色的OIDC,OAuth 2.0和React式API支持
  • 在15分钟内将用户身份验证添加到您的Spring Boot应用程序

“我喜欢编写身份验证和授权代码。” 〜从来没有Java开发人员。 厌倦了一次又一次地建立相同的登录屏幕? 尝试使用Okta API进行托管身份验证,授权和多因素身份验证。

创建安全REST API''最初于2018年12月18日发布在Okta开发人员博客上。

翻译自: https://www.javacodegeeks.com/2019/01/create-secure-spring-rest-api.html

rest api如何创建

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/332681.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

IntelliJ IDEA 的 Build Project/Build Module/构建项目/构建模块/构建工程

IntelliJ IDEA 的 Build Project/Build Module/构建项目/构建模块/构建工程

文章目录Build ModuleRebuild ModuleBuild Module&#xff0c;构建模块。所谓“构建”&#xff0c;就是“构建”包及字节码文件&#xff0c;其实就是编译源码文件的动作了。所以 Build Module&#xff0c;就是把 src 目录的源代码文件以及 resources 下的资源文件&#xff0c;构…
阅读更多...
oracle 修改nls_characterset,ORACLE NLS_CHARACTERSET字符集的更改

oracle 修改nls_characterset,ORACLE NLS_CHARACTERSET字符集的更改

ORACLE NLS_CHARACTERSET字符集的更改      数据库创建以后&#xff0c;如果需要修改字符集&#xff0c;通常需要重建数据库&#xff0c;通过导入导出的方式来转换。      我们也可以通过以下方式更改      ALTER DATABASE CHARACTER SET      注意&#xff1a…
阅读更多...
commons cli_从Commons CLI迁移到picocli

commons cli_从Commons CLI迁移到picocli

commons cli最初于2002年发布的Apache Commons CLI可能是使用最广泛的Java命令行解析器&#xff0c;但是它的API显示了它的年龄。 寻找具有最少样板代码的现代方法的应用可能对picocli感兴趣。 为什么要花麻烦的钱进行迁移&#xff0c;以及如何将基于Commons CLI的应用程序迁移…
阅读更多...
乘方(幂)的运算法则/规则

乘方(幂)的运算法则/规则

文章目录乘方的定义运算法则正分数指数幂法则负分数指数幂法则同底数幂法则负整数指数幂法则乘方的定义 求相同因数的积叫做乘方。乘方运算的结果叫幂。 当 ana^nan 看作 a 的 n 次乘方的结果时&#xff0c;也可读作“a 的 n 次幂”或“ a 的 n 次方”。其中&#xff0c;a 叫…
阅读更多...
php响应式布局,响应式布局之弹性布局的介绍

php响应式布局,响应式布局之弹性布局的介绍

响应式布局的实现是前端工程中一个非常大的跨越&#xff0c;它非常灵活的可塑造性使得同一个网站能在不同的终端设备上展现出不同的活力。就今天这个机会&#xff0c;我想与大家分享并探讨一些常用来实现响应式布局方法中的弹性布局。弹性布局是一种十分方便的&#xff0c;只需…
阅读更多...
qt弹簧教程_弹簧启动执行器教程

qt弹簧教程_弹簧启动执行器教程

qt弹簧教程朋友您好&#xff0c;在本教程中&#xff0c;我们将学习弹簧执行器及其所有帮助。 1.什么是弹簧执行器&#xff1f; 2.如何在Maven项目或Gradle项目中添加弹簧执行器&#xff1f; 3.创建一个具有Spring Actuator依赖项的Spring Boot项目。 4.使用弹簧执行器端点监…
阅读更多...
驾驶证遗失如何补发

驾驶证遗失如何补发

第六十三条机动车驾驶证遗失的&#xff0c;机动车驾驶人应当向机动车驾驶证核发地或者核发地以外的车辆管理所申请补发。申请时应当填写申请表&#xff0c;并提交以下证明、凭证&#xff1a; &#xff08;一&#xff09;机动车驾驶人的身份证明&#xff1b; &#xff08;二&…
阅读更多...
两列模糊对比 oracle,excel 模糊比对两列数据并将比对结果显示出来 | excel表格两列数据模糊对比...

两列模糊对比 oracle,excel 模糊比对两列数据并将比对结果显示出来 | excel表格两列数据模糊对比...

excel2016如何将两列完全不一样的数据进行模糊对比&#xff1f;B2单元格输入公式IF(ISNUMBER(FIND(LEFT(A2,3),PHONETIC(G$2:G$8))),"","非类")下拉。 选中A、B列排可出非类似值。对G列的处理也是相同办法&#xff0c;修改一下公式中的单元格或区域引用即可…
阅读更多...
JMetro版本5.2已发布

JMetro版本5.2已发布

再次问好 JMetro的新更新刚刚发布。 添加了两种新的控件样式&#xff1a;标题窗格和手风琴。 此外&#xff0c;还对现有样式和错误修复进行了调整。 最终&#xff0c;JMetro现在也可以通过Maven Central获得。 在这篇文章中&#xff0c;我将详细介绍刚刚发布的JMetro 5.2版。…
阅读更多...
IntelliJ IDEA for Mac 如何创建Java Web项目_创建Java EE项目_创建项目_新建项目

IntelliJ IDEA for Mac 如何创建Java Web项目_创建Java EE项目_创建项目_新建项目

Java EE 项目创建好后如下图所示&#xff1a; 如果你的项目含有多个模块&#xff0c;那么上图的项目结构布局是不合理的&#xff0c;你必须将默认的模块删除掉&#xff08;默认模块的 .iml 文件也要删除&#xff09;。 选择模块&#xff0c;点按鼠标右键&#xff0c;选择【Rem…
阅读更多...
注解代替枚举_精选枚举代替开关

注解代替枚举_精选枚举代替开关

注解代替枚举问题及其解决方案 开关/案例是用大多数命令式编程语言实现的通用控制结构。 开关比一系列的if / else更具可读性。 这是一个简单的示例&#xff1a; // Switch with int literal switch (c) {case 1: one(); break;case 2: two(); break;case 3: three(); break;…
阅读更多...
oracle表是动态表怎么算排名,Oracle学习动态性能表

oracle表是动态表怎么算排名,Oracle学习动态性能表

按照OracleDocument中的描述&#xff0c;v$sysstat存储自数据库实例运行那刻起就开始累计全实例(instance-wide)的资源使用情况。 类似于v$sOracle 学习动态性能表 v$locked_object本视图列出系统上的每个事务处理所获得的所有锁。V$LOCKED_OBJECT中的列说明&#xff1a;XIDUSN…
阅读更多...
IntelliJ IDEA for Mac 中 Java Web Project 默认的工件(Artifacts)输出目录

IntelliJ IDEA for Mac 中 Java Web Project 默认的工件(Artifacts)输出目录

你创建 Java Web 项目/模块时&#xff0c;IDEA 会自动创建 Web 模块的工件列表&#xff0c;而工件的默认输出目录如下&#xff1a; war 工件的默认输出目录&#xff1a; /Users/liaowenxiong/Documents/IdeaProjects/java-exercises/模块名称/target exploded 工件的默认输出…
阅读更多...
oracle导数的数据乱码,Oracle10g导数据时中文乱码相关处理

oracle导数的数据乱码,Oracle10g导数据时中文乱码相关处理

1.Oracle导入数据库出现数据库数据中文乱码问题&#xff0c;最后查得是由于数据库安装时&#xff0c;选择编码为默认编码问题分析&#xff1a;使用imp导入数据时&#xff0c;屏幕输出过以下提提示信息&#xff1a;import done in US7ASCII character set and AL16UTF16 NCHAR c…
阅读更多...
jdk12 jdk1.8_JDK 12的Files.mismatch方法

jdk12 jdk1.8_JDK 12的Files.mismatch方法

jdk12 jdk1.8JDK 12向Files类引入了一种新方法。 方法Files.mismatch(Path,Path)已通过JDK-8202302引入JDK 12&#xff0c;并在JDK 12 Early Access Build 20 &#xff08;支持新{systemProperty} Javadoc标记的相同早期访问版本&#xff09;中可用 。 JDK-8202302 [“用于比较…
阅读更多...
tomcat如何查找请求资源的?

tomcat如何查找请求资源的?

用户的请求过来&#xff0c;comcat 会根据虚拟目录先到 webapps 目录查找项目&#xff0c;如果找到了则进入到项目下的 WEB-INF 目录下查找 web.xml 文件&#xff0c;查找到则解析该文件&#xff0c;根据资源路径查找请求资源&#xff0c;如果找到了资源则正常实例化和调用有关…
阅读更多...
java使用迭代器删除元素_使用Java从地图中删除元素

java使用迭代器删除元素_使用Java从地图中删除元素

java使用迭代器删除元素关于从Java中的Map删除元素的非常简短的文章。 我们将专注于删除多个元素&#xff0c;而忽略了您可以使用Map.remove删除单个元素的Map.remove 。 以下Map将用于此帖子&#xff1a; Map<Integer, String> map new HashMap<>(); map.put(1…
阅读更多...
IntelliJ IDEA普通的Java项目如何转成Maven Web项目

IntelliJ IDEA普通的Java项目如何转成Maven Web项目

文章目录一、把项目改成 Java Web 项目二、把 Java Web 项目改成 Maven 项目三、调整目录结构四、部署项目五、参考一、把项目改成 Java Web 项目 注&#xff1a;只有 Web 项目才能创建 Artifact。 二、把 Java Web 项目改成 Maven 项目 得到的目录结构如下图所示&#xff1a;…
阅读更多...
php全选按钮怎么写,PHP中的“全选”复选框,其中包含header.php

php全选按钮怎么写,PHP中的“全选”复选框,其中包含header.php

我必须在我的代码中包含一个header.php&#xff0c;那是问题的方面。当我不包括它&#xff0c;代码工作正常。但是&#xff0c;当我包含它代码不起作用&#xff0c;意味着检查所有按钮不会选中所有复选框。我的代码 -checkall.phpfunction toggle(source) {checkboxes documen…
阅读更多...
bom .dom_MicroProfile 2.2 BOM导入支持

bom .dom_MicroProfile 2.2 BOM导入支持

bom .domMicroProfile 2.2刚刚发布&#xff0c;其中包含对Fault Tolerance&#xff0c;Open Tracing&#xff0c;Open API和Rest Client API的更新。 自2.2版以来&#xff0c;还支持使用BOM&#xff08;物料清单&#xff09;依赖项导入。 通过这种方法&#xff0c;我们可以在d…
阅读更多...
最新文章

Copyright @ 2022~2023