[英]Java spring-rest/ Jersey how secure rest route with filter
我在实际保护根 路由的pom.xml
使用以下内容,我看到认证过程在浏览器中启动几秒钟
<filter>
<filter-name>CsrfFilter</filter-name>
<filter-class>org.apache.catalina.filters.RestCsrfPreventionFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>CsrfFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
现在,我有特定的路线,当用户选择时我需要保护...
@Path("/run")
public class Service {
...
@GET
@Path("connect/{param}")
public Response connectToHost(@PathParam("param") String host) {
我应该怎么做? 通过如上所述的pom配置或通过每条路线的代码?
你的问题中有一些令人困惑的地方,但我会试着尽我所能。
一。 过滤器设置 - 根据您的问题,您在pom.xml
进行了过滤器设置。 但实际上过滤器设置总是在web.xml
文件中进行。 如果您错误地命名为pom.xml,则忽略但如果没有,则将过滤器设置移至web.xml。
二。 在您的问题标签中,您提到您的查询与spring-boot,spring-security有关。 但是您附加的代码示例表明您可能正在使用jersey来创建rest apis而不使用spring,spring-security。 您实际上是尝试在tomcat服务器级别使用较低级别的csrf保护。 没关系。
三。 CSRF保护可以与spring security以及tomcat apis一起使用。
四。 如果您想了解Spring安全性如何为休息端点提供csrf保护,则必须在代码中提供以下配置。
@EnableWebSecurity
public class WebSecurityConfig extends
WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.csrf()
.csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse());
}
}
这将为您的应用程序的所有POST,PUT,PATCH,DELETE请求提供csrf保护。 有关详细信息,请参阅https://docs.spring.io/spring-security/site/docs/current/reference/html/csrf.html 。
五。 现在,您的实际问题是如何为基于球衣的休息端点的多条路线提供csrf保护......您可以提供多个网址模式,如下所示。
<filter>
<filter-name>CsrfFilter</filter-name>
<filter-class>org.apache.catalina.filters.RestCsrfPreventionFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>CsrfFilter</filter-name>
<url-pattern>/run</url-pattern>
<url-pattern>/path1</url-pattern>
<url-pattern>/path2</url-pattern>
</filter-mapping>
有关RestCsrfPreventionFilter
更多详细信息,请参阅https://tomcat.apache.org/tomcat-8.0-doc/config/filter.html#CSRF_Prevention_Filter_for_REST_APIs 。
首先应将过滤器添加到web.xml文件中。 它不应该添加到pom.xml文件中。 pom.xml只是构建项目的清单。
由于最好只为您的CSRF预防过滤器保护某些网址,因此请在过滤器映射中使用特定网址。
为所提到的/run
路径提供了示例。
<filter>
<filter-name>CsrfFilter</filter-name>
<filter-class>org.apache.catalina.filters.RestCsrfPreventionFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>CsrfFilter</filter-name>
<url-pattern>/run</url-pattern>
</filter-mapping>
请参阅此oracle文档以了解web.xml元素的用法。
要进一步了解过滤请求和响应,请参阅此oracle教程 。
请参阅此实用教程 ,了解如何在xml和注释方法中配置过滤器。 请注意,您不必以两种方式进行配置。 它可以基于xml或基于注释的方式完成,因为你很舒服。
您将需要一个扩展WebSecurityConfigurerAdapter
的类
@Configuration
@EnableWebMvcSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
RequestMatcher csrfRequestMatcher = new RequestMatcher() {
private AntPathRequestMatcher[] requestMatchers = {
new AntPathRequestMatcher("/run/connect/**")
};
@Override
public boolean matches(HttpServletRequest request) {
for (AntPathRequestMatcher rm : requestMatchers) {
// If request matches specified urls, apply csfr
if (rm.matches(request)) { return true; }
}
return false;
}
};
http
// Enable csrf only on some request matches
.csrf()
.requireCsrfProtectionMatcher(csrfRequestMatcher)
//Other configurations
}
}
**
** 1 。 使用Spring方式,您需要声明Filter Mapping - >
<filter>
<filter-name>springSecurityFilterChain</filter-name>
<filter-
class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping>
<filter-name>springSecurityFilterChain</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
2.然后你必须创建一个spring-security.xml。 您可以声明要阻止访问的方法。因此,您可以在访问该方法之前请求检查某些授权。
<beans:bean id="cacheManager"
class="org.springframework.cache.support.SimpleCacheManager">
<beans:property name="caches">
<beans:set>
<beans:bean
class="org.springframework.cache.concurrent.ConcurrentMapCacheFactoryBean">
<beans:property name="name" value="ltPrevileges"/>
</beans:bean >
<beans:bean
class="org.springframework.cache.concurrent.ConcurrentMapCacheFactoryBean">
<beans:property name="name" value="dashboard"/>
</beans:bean >
</beans:set>
</beans:property>
</beans:bean>
<beans:bean id="cacheManager"
class="org.springframework.cache.ehcache.EhCacheCacheManager" >
<beans:property name="cacheManager" ref="ehcache"></beans:property>
</beans:bean>
<beans:bean id="ehcache"
class="org.springframework.cache.ehcache.EhCacheManagerFactoryBean" >
<beans:property name="configLocation" value="classpath:ehcache.xml"></beans:property>
<beans:property name="shared" value="true"></beans:property>
</beans:bean>
<security:http use-expressions="true" auto-config="false"
entry-point-ref="http403EntryPoint"
pattern="/sheel/practice/getBatchDetails"
create-session="stateless">
<security:csrf disabled="true" />
<security:custom-filter position="PRE_AUTH_FILTER"
ref="authorizationGlobalFilterBean" />
</security:http>
</beans:bean>
<!-- Login auth ends here -->
<!-- PreAuth starts here -->
<security:http use-expressions="true" auto-config="false"
entry-point-ref="http403EntryPoint" pattern="/framework/**"
create-session="stateless">
<security:csrf disabled="true" />
<security:custom-filter position="PRE_AUTH_FILTER"
ref="siteminderFilter" />
</security:http>
<beans:bean id="authorizationGlobalFilterBean"
class="com.xplanr.framework.security.AuthorizationGlobalFilter">
</beans:bean>
<beans:bean id="siteminderFilter"
class="org.springframework.security.web.authentication.preauth.RequestHeader AuthenticationFilter">
<beans:property name="principalRequestHeader" value="sessionId" />
<beans:property name="authenticationManager"
ref="authenticationManager" />
</beans:bean>
<security:authentication-manager alias="authenticationManager">
<security:authentication-provider
ref="preauthAuthProvider" />
</security:authentication-manager>
<beans:bean id="preauthAuthProvider"
class="org.springframework.security.web.authentication.preauth.PreAuthenticatedAuthenticationProvider">
<beans:property name="preAuthenticatedUserDetailsService">
<beans:bean id="userDetailsServiceWrapper"
class="org.springframework.security.core.userdetails.UserDetailsByNameServiceWrapper">
<beans:property name="userDetailsService"
ref="customUserDetailsService" />
</beans:bean>
</beans:property>
</beans:bean>
<beans:bean id="customUserDetailsService"
class="com.practice.framework.security.CustomUserDetailsService">
</beans:bean>
<beans:bean id="http403EntryPoint"
class="org.springframework.security.web.authentication.Http403ForbiddenEntryPoint">
</beans:bean>
<!--PreAuth ends here -->
</beans:beans>
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.