Spring 啟動和 Angular 身份驗證 - 如何保護應用程序?
[英]Spring Boot and Angular authentication - how to secure the app?
問題描述
所以我有這個遺留應用程序運行 spring MVC 和 JSP,從 mongo DB 讀取
,我正在考慮將其替換為使用 Spring 引導和 angular JS 的現代應用程序
我不是在尋找一個框架,我的問題是關於身份驗證的更多概念,以及它如何在 angular 和 Spring 引導之間工作。
我不想使用第三方進行身份驗證,我想繼續使用我的內部數據庫用戶和密碼。
我還有一個 rest API 客戶端需要先注冊,然后在繞過 angular 和身份驗證的每個請求上發送一個令牌。
所以在過去(古老的 j2ee)我有 Servlet 過濾器,這個過濾器對任何請求都運行,它檢查 session 是否經過身份驗證,如果沒有 - 它會轉發到身份驗證頁面,然后將結果存儲在 session 中。
類似這樣的東西:
@WebFilter("/*")
public class LoginFilter implements Filter {
@Override
public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws ServletException, IOException {
HttpServletRequest request = (HttpServletRequest) req;
HttpServletResponse response = (HttpServletResponse) res;
HttpSession session = request.getSession(false);
String loginURI = request.getContextPath() + "/login";
boolean loggedIn = session != null && session.getAttribute("user") != null;
boolean loginRequest = request.getRequestURI().equals(loginURI);
if (loggedIn || loginRequest) {
chain.doFilter(request, response);
} else {
response.sendRedirect(loginURI);
}
}
// ...
}
如何與 angular JS 做同樣的認證機制?
servlets 中的過濾器相當於什么?
由於 Angular 是客戶端渲染,如何保護它?
感謝您的任何意見!
5 個解決方案
解決方案1
4 2021-01-25 18:52:27
顯而易見的想法: https://spring.io/guides/tutorials/spring-security-and-angular-js/
If you tried to serve angular on the same port using static resources, you will have a hard time setting it up with spring boot because there will be conflicts about who should resolve a particular resource: angular or spring boot. For eg: /home can be resolved by angular but spring isn't aware of the fact that there is a /home and if you hit /home directly, it won't be resolved by angular unless index.html was loaded and you will請參閱 404 Whitelabel 頁面。
如果您在單獨的端口上提供 angular 和 spring 引導,那么您必須閱讀上述 spring 指南中的此引用:
你不能擁有一個安全的、無狀態的應用程序。
補充一下Hopey One已經指出的內容:使用JHipster並沒有您想象的那么糟糕。 構建 80% 的項目幾乎不需要一天的時間,然后您可以相應地調整 rest 20%。 它將解決大部分知識空白,讓您編寫實際需要的代碼。 而且由於您已經有一個正在運行的應用程序,因此其中大部分將是復制粘貼工作。 您可以閱讀本指南來設置環境。
解決方案2
3 已采納 2021-01-27 17:31:31
我不是在尋找一個框架,我的問題是關於身份驗證的更多概念,以及它如何在 angular 和 Spring 引導之間工作。
我發現這個回答特別棘手,因為您要求的是超出特定框架的概念性答案,但您指的是 Angular 和 Spring 這兩個框架,所以讓我們退后一步。
正確的身份驗證始終必須在服務器端執行,因為客戶端上的身份驗證很容易繞過。 您可以設置一些看門狗來禁止客戶端的某些路由,但只是為了改善用戶體驗。
基本上有兩種口味可供選擇:state 或無狀態
State 身份驗證是在身份驗證成功后,服務器將創建一些 session,存儲它的一些標識符,並在連續請求時對其進行驗證。 這是傳統的 session 和 cookies 方法,在 spring 中命名為 JSESSION。 這種方法的缺點是 state 必須在某個地方維護,除非您有粘性會話(您可以通過將這些信息保存在內存中來擺脫),否則您將需要一些分布式系統來存儲/檢索它(SQL db, cassandra,您的寵物項目等)。 但正如我們所知,高流量的分布式 state 會成為瓶頸,最好盡可能避免。
Stateless Authentication: As is the case of the JWT contains all the information needed to recreate the session on any server, so there is no distributed state, or better said, the state is in the client (browser), and is cryptographically signed so users可以訪問/篡改它們。 缺點是令牌的加密/解密可能需要一點 CPU,但對用戶來說沒有什么明顯的。
因此,一旦您確定了上述一項,rest 並沒有什么不同。 在這兩種情況下,您都必須在 angular 上實現一些攔截器,以便根據具體情況在每個請求上發送 cookie 或 Auth header,並且在服務器端,您必須通過相應的過濾器處理請求。 除了第一個示例中的 cookie,您可以以更 RESTful 的方式發送 session 值和 header 值。
我還有一個 rest API 客戶端需要先注冊,然后在繞過 angular 和身份驗證的每個請求上發送一個令牌。
這看起來像是您的 API 的新用例,但上述情況成立,您仍然可以在登錄完成並將令牌/會話返回給身份驗證用戶后使用這些身份驗證標頭進行授權。 您還可以為這種類型的客戶端使用不同的身份驗證令牌,在這種情況下,只需鏈接一個新的過濾器來檢查此 header,而無需對您的 API 進行任何更改。
我相信您會在網上找到合適的資源來實施您想要的身份驗證/授權解決方案
解決方案3
2 2021-01-13 03:14:57
看看JHipster項目。 無需太多努力,您就可以生成一個基於 angular 和 spring 引導的簡單項目。 它實現了 JWT 以使用您選擇的數據庫進行身份驗證。 可以作為一個很好的引導程序或作為實現項目的參考實現。
解決方案4
2 2021-01-25 02:49:21
我建議探索這兩個主題:
- 后端: https://auth0.com/blog/implementing-jwt-authentication-on-spring-boot/
- 字體: https://blog.angular-university.io/angular-jwt-authentication/
Filter是servlet-api的一部分,這意味着過濾器可以在任何庫中實現,並且 web 服務器將注冊 map 到特定的 url。 在我們的例子中,您的LoginFilter與JWTAuthenticationFilter相同,但具有 Spring 框架的附加功能,這兩個類都實現了Filter接口。
解決方案5
1 2021-01-25 10:41:02
使用 Spring 啟動,您想使用 Spring 安全性並盡可能建立在框架之上。 我看到三種方法:
https://www.baeldung.com/spring-security-login-angular使用基本身份驗證並在客戶端存儲用戶名/密碼 - 不確定我是否喜歡這個
https://automateddeveloper.blogspot.com/2014/03/securing-your-mobile-api-spring-security.html使用 Z21D6F40CFB511982E4424E0E250A 以及記住 me.57Z9A 看起來是 web 客戶端的不錯選擇
https://bootify.io/docs/rest-api-spring-security-with-jwt.html JWT is used for stateless REST clients (for example other servers), and could be used for angular as well (storing the JWT at客戶端)
如何使基本身份驗證作為 Angular JS/Spring 啟動應用程序中 keycloak 的替代方案
[英]How to make Basic Authentication work as an alternative for keycloak in a Angular JS/Spring boot app
如何將 Angular 4 應用程序與 Spring Boot 堆棧集成?
[英]How to integrate an Angular 4 app with a Spring Boot stack?
如何使用Spring Boot將OAuth2身份驗證與前端綁定
[英]How bind angular front with oauth2 authentication with spring boot
如何保護具有身份提供者的 Spring Boot 微服務以無狀態方式進行身份驗證?
[英]How to secure spring boot microservices having identity provider for authentication in a stateless manner?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
具有基本身份驗證的Secure Spring Boot REST應用程序
使用 SSL 保護 Spring Boot 和 Angular 應用程序的最佳方法
如何使用 keycloak 保護 angular/spring 應用程序?
如何使基本身份驗證作為 Angular JS/Spring 啟動應用程序中 keycloak 的替代方案
Spring(引導)+ Angular(2 | 4)身份驗證選項
如何將 Angular 4 應用程序與 Spring Boot 堆棧集成?
Spring Boot應用程序中的LDAP身份驗證
使用自定義范圍/角色保護 Spring 啟動應用程序
如何使用Spring Boot將OAuth2身份驗證與前端綁定
如何保護具有身份提供者的 Spring Boot 微服務以無狀態方式進行身份驗證?
相關標簽