繁体   English   中英

Java spring-rest / Jersey如何安全的休息路由与过滤器

[英]Java spring-rest/ Jersey how secure rest route with filter

我在实际保护 路由pom.xml使用以下内容,我看到认证过程在浏览器中启动几秒钟

  <filter>
    <filter-name>CsrfFilter</filter-name>
    <filter-class>org.apache.catalina.filters.RestCsrfPreventionFilter</filter-class>
  </filter>
  <filter-mapping>
    <filter-name>CsrfFilter</filter-name>
    <url-pattern>/*</url-pattern>
  </filter-mapping>

现在,我有特定的路线,当用户选择时我需要保护...

@Path("/run")
public class Service {


...

@GET
@Path("connect/{param}")
public Response connectToHost(@PathParam("param") String host) {

我应该怎么做? 通过如上所述的pom配置或通过每条路线的代码?

你的问题中有一些令人困惑的地方,但我会试着尽我所能。

一。 过滤器设置 - 根据您的问题,您在pom.xml进行了过滤器设置。 但实际上过滤器设置总是在web.xml文件中进行。 如果您错误地命名为pom.xml,则忽略但如果没有,则将过滤器设置移至web.xml。

二。 在您的问题标签中,您提到您的查询与spring-boot,spring-security有关。 但是您附加的代码示例表明您可能正在使用jersey来创建rest apis而不使用spring,spring-security。 您实际上是尝试在tomcat服务器级别使用较低级别的csrf保护。 没关系。

三。 CSRF保护可以与spring security以及tomcat apis一起使用。

四。 如果您想了解Spring安全性如何为休息端点提供csrf保护,则必须在代码中提供以下配置。

@EnableWebSecurity
public class WebSecurityConfig extends
        WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .csrf()
                .csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse());
    }
}

这将为您的应用程序的所有POST,PUT,PATCH,DELETE请求提供csrf保护。 有关详细信息,请参阅https://docs.spring.io/spring-security/site/docs/current/reference/html/csrf.html

五。 现在,您的实际问题是如何为基于球衣的休息端点的多条路线提供csrf保护......您可以提供多个网址模式,如下所示。

<filter>
    <filter-name>CsrfFilter</filter-name>
    <filter-class>org.apache.catalina.filters.RestCsrfPreventionFilter</filter-class>
</filter>
<filter-mapping>
    <filter-name>CsrfFilter</filter-name>
    <url-pattern>/run</url-pattern>
    <url-pattern>/path1</url-pattern>
    <url-pattern>/path2</url-pattern>
</filter-mapping>

有关RestCsrfPreventionFilter更多详细信息,请参阅https://tomcat.apache.org/tomcat-8.0-doc/config/filter.html#CSRF_Prevention_Filter_for_REST_APIs

首先应将过滤器添加到web.xml文件中。 不应该添加到pom.xml文件中。 pom.xml只是构建项目的清单。

由于最好只为您的CSRF预防过滤器保护某些网址,因此请在过滤器映射中使用特定网址。

为所提到的/run路径提供了示例。

   <filter>
    <filter-name>CsrfFilter</filter-name>
    <filter-class>org.apache.catalina.filters.RestCsrfPreventionFilter</filter-class>
  </filter>
  <filter-mapping>
    <filter-name>CsrfFilter</filter-name>
    <url-pattern>/run</url-pattern>
  </filter-mapping>

请参阅此oracle文档以了解web.xml元素的用法。

要进一步了解过滤请求和响应,请参阅此oracle教程

请参阅此实用教程 ,了解如何在xml和注释方法中配置过滤器。 请注意,您不必以两种方式进行配置。 它可以基于xml或基于注释的方式完成,因为你很舒服。

您将需要一个扩展WebSecurityConfigurerAdapter的类

@Configuration
@EnableWebMvcSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

  @Override
  protected void configure(HttpSecurity http) throws Exception {

    RequestMatcher csrfRequestMatcher = new RequestMatcher() {

      private AntPathRequestMatcher[] requestMatchers = {
          new AntPathRequestMatcher("/run/connect/**")
      };

      @Override
      public boolean matches(HttpServletRequest request) {
        for (AntPathRequestMatcher rm : requestMatchers) {
          // If request matches specified urls, apply csfr
          if (rm.matches(request)) { return true; }
        }
        return false;
      }

    }; 
    http
      // Enable csrf only on some request matches
      .csrf()
        .requireCsrfProtectionMatcher(csrfRequestMatcher)
      //Other configurations
  }
}

**

如果您没有使用任何其他规范,使用spring安全性来保护休息完整Web服务的最佳方法。

** 1 使用Spring方式,您需要声明Filter Mapping - >

<filter>
    <filter-name>springSecurityFilterChain</filter-name>
    <filter- 
class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping>
    <filter-name>springSecurityFilterChain</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>  

2.然后你必须创建一个spring-security.xml。 您可以声明要阻止访问的方法。因此,您可以在访问该方法之前请求检查某些授权。

          <beans:bean  id="cacheManager" 
        class="org.springframework.cache.support.SimpleCacheManager">
             <beans:property name="caches">
                 <beans:set>
                     <beans:bean  
     class="org.springframework.cache.concurrent.ConcurrentMapCacheFactoryBean">
                         <beans:property name="name" value="ltPrevileges"/>
                     </beans:bean >
                     <beans:bean  
    class="org.springframework.cache.concurrent.ConcurrentMapCacheFactoryBean">
                         <beans:property name="name" value="dashboard"/>
                     </beans:bean >
                 </beans:set>
             </beans:property>
         </beans:bean> 

        <beans:bean id="cacheManager" 
    class="org.springframework.cache.ehcache.EhCacheCacheManager" >
           <beans:property name="cacheManager" ref="ehcache"></beans:property>
        </beans:bean>
         <beans:bean id="ehcache" 
             class="org.springframework.cache.ehcache.EhCacheManagerFactoryBean" >
              <beans:property name="configLocation" value="classpath:ehcache.xml"></beans:property>
              <beans:property name="shared" value="true"></beans:property>
        </beans:bean>

        <security:http use-expressions="true" auto-config="false"
            entry-point-ref="http403EntryPoint" 
            pattern="/sheel/practice/getBatchDetails"
            create-session="stateless">
            <security:csrf disabled="true" />
            <security:custom-filter position="PRE_AUTH_FILTER"
                ref="authorizationGlobalFilterBean" />
        </security:http>
        </beans:bean>
        <!-- Login auth ends here -->
        <!-- PreAuth starts here -->
        <security:http use-expressions="true" auto-config="false"
            entry-point-ref="http403EntryPoint" pattern="/framework/**"
            create-session="stateless">
            <security:csrf disabled="true" />
            <security:custom-filter position="PRE_AUTH_FILTER"
                ref="siteminderFilter" />
        </security:http>
            <beans:bean id="authorizationGlobalFilterBean"
            class="com.xplanr.framework.security.AuthorizationGlobalFilter">
        </beans:bean>
        <beans:bean id="siteminderFilter"
    class="org.springframework.security.web.authentication.preauth.RequestHeader    AuthenticationFilter">
            <beans:property name="principalRequestHeader" value="sessionId" />
            <beans:property name="authenticationManager" 
    ref="authenticationManager" />
        </beans:bean>
        <security:authentication-manager alias="authenticationManager">
            <security:authentication-provider
                ref="preauthAuthProvider" />
        </security:authentication-manager>
     <beans:bean id="preauthAuthProvider"        
     class="org.springframework.security.web.authentication.preauth.PreAuthenticatedAuthenticationProvider">
        <beans:property name="preAuthenticatedUserDetailsService">
                    <beans:bean id="userDetailsServiceWrapper"
                     class="org.springframework.security.core.userdetails.UserDetailsByNameServiceWrapper">
                    <beans:property name="userDetailsService" 
                           ref="customUserDetailsService" />
                </beans:bean>
            </beans:property>
        </beans:bean>
         <beans:bean id="customUserDetailsService"
            class="com.practice.framework.security.CustomUserDetailsService"> 
       </beans:bean>
        <beans:bean id="http403EntryPoint"      
        class="org.springframework.security.web.authentication.Http403ForbiddenEntryPoint">
        </beans:bean>
       <!--PreAuth ends here -->
        </beans:beans>

暂无
暂无

声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

 
粤ICP备18138465号  © 2020-2024 STACKOOM.COM