Spring Security

Здесь статьи по Spring Security.

Оглавление:

  1. Добавление Spring Security и In-Memory Authentication
  2. Настройка авторизации
  3. Custom Login Form
  4. Как устроена аутентификация в Spring Security
  5. Пример аутентификации с пользовательским AuthenticationProvider и с пользовательским UserDetailsService. (Пример с JPA)
  6. JDBC-аутентификация
  7. Remember-Me
  8. JWT-токен: зачем он
  9. Пример приложения с JWT-токеном
  10. Защита методов с помощью @PreAuthorize
  11. Spring Security ACL
  12. Разные HttpSecurity для разных url
  13. CORS в Spring Security
  14. OAuth 2: Client Credentials Flow 

Введение в Spring Security ACL

Access Control List (ACL)  – это список разрешений на объект.  Этот список определяет, какому пользователю (или какой роли) какие операции разрешены над конкретным экземпляром объекта.
Читать далее «Введение в Spring Security ACL»

Защита методов – аннотация @PreAuthorize

Мы уже рассмотрели авторизацию на основе url, но ее бывает недостаточно. В этой статье мы рассмотрим, как защитить отдельные методы (любые – как методы контроллеров, так и сервисов). То есть разрешить вызов метода только пользователю с конкретными правами. (А вообще можно задать любые условия).
Читать далее «Защита методов – аннотация @PreAuthorize»

OAuth 2 Сlient Credentials Flow. Пример на Spring Boot

В этой статье рассмотрим пример Client Credentials flow с новым экспериментальным сервером авторизации на Spring Boot.  Новый сервер был анонсирован буквально недавно и еще не полностью готов (текущая версия 0.0.2). Но Client Credentials flow (и Authorization Code flow) он уже поддерживает.
Читать далее «OAuth 2 Сlient Credentials Flow. Пример на Spring Boot»

TestRestTemplate с авторизацией

Здесь рассмотрим случай, когда тестируемый /url защищен, и с первого раза запрос с TestRestTemplate сделать не получится.

В этом случае отправляем два запроса – один для получения заголовка авторизации, а второй уже с целью тестирования.
Читать далее «TestRestTemplate с авторизацией»

Multiple HttpSecurity

Иногда требуется, чтобы в приложении для разных url была настроена разная аутентификация и авторизация. Одну часть приложения надо обезопасить так, а другую этак.

Например, по адресам /api/* приложение предоставляет REST API с аутентификацией через JWT-токен. А все остальные url – это обычные страницы веб-сайта с перенаправлением на форму логина для неаутентифицированных, используют сессии.
Читать далее «Multiple HttpSecurity»

Настройка CORS в Spring Security

В целях безопасности браузер запрещает JS-скрипту  одного сайта обращаться на другой сайт без специального разрешения. Разрешение это реализуется с помощью технологии CORS (Cross-Origin Resource Sharing). Рассмотрим пример.
Читать далее «Настройка CORS в Spring Security»

Пример приложения с JWT-токеном

Напишем REST API с использованием JWT-токена.

В Spring Security JWT-токен используется в OAuth2. Он выдается клиенту сервером авторизации, клиент отправляет его при обращении к серверу ресурсов. (А сервер ресурсов проверяет его, обращаясь к серверу авторизации). Но в этой статье токен будет и выдаваться, и проверяться в одном приложении.

На этом примере можно увидеть, как написать свой фильтр, как выдается и проверяется токен. Но в реальных проектах лучше использовать готовое решение от Spring Security с сервером авторизации.
Читать далее «Пример приложения с JWT-токеном»

JWT-токен: принцип использования

В этой статье речь пойдет о смысле JWT-токена. А о том, как именно его настроить будет в следующей.
Читать далее «JWT-токен: принцип использования»

Сессии и Remember-Me аутентификация

В этой статье говорится о том, как запоминать пользователя между сессиями с помощью Remember-Me токена.
Читать далее «Сессии и Remember-Me аутентификация»