Spring Framework 的 5.0 至 5.0.4 版本,以及 4.3 至 4.3.14 和其他旧版本,在 Windows 系统上存在目录或路径遍历安全漏洞。
错误配置静态资源可能会允许恶意用户访问服务器的文件系统。例如,在 Windows 上使用 file: 协议提供静态资源会提供对文件系统的非法访问。
Spring Framework 承认了这个漏洞,并在后续版本中进行了修复。
因此,这个修复保护应用程序免受路径遍历攻击。然而,由于这个修复,一些早期的 URL 现在会抛出 org.springframework.security.web.firewall.RequestRejectedException 异常。
如果您正在处理Spring Security(特别是OAuth)实现,一定要看看《Learn Spring Security》课程。
将自定义声明添加到JSON Web Token(JWT)访问令牌在许多场景中至关重要。自定义声明允许我们在令牌负载中包含额外的信息。
在本教程中,我们将学习如何在Spring授权服务器中将资源所有者的权限添加到JWT访问令牌。
Spring授权务器是Spring生态系统中的一个新项目,旨在为Spring应用程序提供授权服务器支持。它旨在简化使用熟悉且灵活的Spring编程模型实现OAuth 2.0和OpenID Connect(OIDC)授权服务器的过程。
Spring Security 6带来了几个重大变化,包括移除类、弃用方法以及引入新方法。
从Spring Security 5迁移到Spring Security 6可以逐步进行,不会破坏现有的代码库。此外,我们可以使用第三方插件如OpenRewrite来促进迁移到最新版本。
在本教程中,我们将学习如何将使用Spring Security 5的现有应用程序迁移到Spring Security 6。我们将替换弃用的方法,并利用lambda DSL简化配置。此外,我们将利用OpenRewrite使迁移更快。
Spring Boot基于Spring框架,Spring Boot的版本使用Spring框架的最新版本。Spring Boot 2默认使用Spring Security 5,而Spring Boot 3使用Spring Security 6。
如果您正在使用Spring Security(尤其是OAuth)实现,一定要查看《学习Spring安全》课程。
JSON Web Tokens(JWT)是保护无状态应用程序的事实标准。Spring Security框架提供了将JWT集成以保护REST API的方法。生成令牌的一个关键过程是应用签名以保证真实性。
在本教程中,我们将探索一个使用JWT认证的无状态Spring Boot应用程序。我们将设置必要的组件并创建一个加密的_SecretKey_实例来签名和验证JWT。
首先,让我们使用Spring Security和JWT令牌来引导一个无状态的Spring Boot应用程序。值得注意的是,为了简单和简洁,我们不会展示完整的设置代码。
如果你正在开发Spring Security(特别是OAuth)实现,一定要看看《学习Spring安全》课程:
>> 学习 Spring 安全
Spring Security是Spring框架的一个扩展,它使我们能够轻松地将常见的安全实践集成到我们的应用程序中。这包括用户认证和授权、API保护等。
在本教程中,我们将查看Spring Security内部的许多部分之一:AuthorizationManager。我们将看到它如何适应更大的Spring Security生态系统,以及它如何帮助保护我们的应用程序的各种用例。
Keycloak是一个开源的身份和访问管理(IAM)系统,与Spring Boot应用程序集成良好。在本教程中,我们将描述如何在Spring Boot应用程序中获取Keycloak用户ID。
Keycloak提供了诸如保护REST API、用户联合、细粒度授权、社交登录、双因素认证(2FA)等功能。此外,我们可以使用它来使用OpenID Connect(OIDC)实现单点登录(SSO)。假设我们有一个使用Keycloak通过OIDC保护的Spring Boot应用程序,我们想要在Spring Boot应用程序中获取用户ID。在这种情况下,我们需要在Spring Boot应用程序中获取访问令牌或安全上下文。
如果你正在处理Spring Security(尤其是OAuth)的实现,一定要看看《学习Spring Security》课程。
Spring Security框架提供了_WebSecurity_和_HttpSecurity_类,以提供对API和资源的全局和资源特定的访问限制机制。_WebSecurity_类有助于在全局级别配置安全性,而_HttpSecurity_提供了为特定资源配置安全性的方法。
在本教程中,我们将详细查看_HttpSecurity_和_WebSecurity_的关键用途。我们还将看到这两个类之间的区别。
如果你正在处理 Spring Security(特别是 OAuth)实现,一定要看看《Learn Spring Security》课程。
本教程我们将学习 Spring Security 框架中 HttpSecurity 类的 permitAll() 和 anonymous() 方法。Spring Security 框架有助于防止漏洞攻击,并启用 Web 应用程序的认证和授权。利用它,Web 应用程序可以控制对服务器资源的访问,例如 HTML 表单、CSS 文件、JS 文件、Web 服务端点等。它还有助于启用基于角色的访问控制(RBAC)来访问服务器资源。
如果你正在使用Spring Security(特别是OAuth)实现,请务必查看《学习Spring安全》课程。
> > 学习Spring 安全
安全在REST API开发中扮演着至关重要的角色。一个不安全的REST API可以直接访问后端系统的敏感数据。因此,组织需要关注API安全。
Spring Security提供了多种机制来保护我们的REST API。其中之一是API密钥。API密钥是一个令牌,客户端在调用API时提供。
如果您正在处理Spring Security(特别是OAuth)实现,一定要看看《学习Spring安全》课程。
认证是设计安全微服务的基本方面。我们可以通过多种方式实现认证,比如使用基于用户凭证、证书或基于令牌的认证。
在本教程中,我们将学习如何为服务间通信设置认证。我们将使用Spring Security来实现解决方案。
使用身份提供者或密码数据库可能并不总是可行的,因为私有微服务不需要基于用户交互。然而,我们仍然应该保护应用程序免受任何无效请求的侵害,而不仅仅依赖于网络安全。
