保护 Spring 支持，当前端使用 adal auth 保护时

2024-05-05

所以我们的应用程序有两个部分

前端 ui - 使用 Angular JS
后端 - 使用Spring boot的rest api

使用 microsoft-adal-angular6 库通过 Azure Active Directory 进行身份验证来保护前端

我的问题是保护后端安全的正确方法是什么，以便只有经过活动目录身份验证的用户才能访问 API？

我建议使用jwt 令牌 https://jwt.io/，它作为“授权”标头附加到后端的每个请求。该令牌由三部分组成，其中一部分保存有关用户的数据，另一部分保存签名，因此您可以验证您的令牌是否由可信来源创建。数据部分可能看起来像这样：

{
    "iss": "Online JWT Builder",
    "iat": 1580283510,
    "exp": 1611819510,
    "aud": "www.example.com",
    "sub": "[email protected] /cdn-cgi/l/email-protection",
    "GivenName": "Johnny",
    "roles": ["PROJECT_MANAGER", "ADMIN"]
    "scope": "WEBAPP"
}

在 Spring 方面，我建议使用具有最新配置的 Spring Security 5。您将需要这些依赖项：

         <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-config</artifactId>
            <version>5.x.x.RELEASE</version>
        </dependency>

        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-oauth2-jose</artifactId>
            <version>5.x.x.RELEASE</version>
        </dependency>

        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-oauth2-resource-server</artifactId>
            <version>5.x.x.RELEASE</version>

现在您可以启用安全性并使用配置类对其进行配置。在里面，您可以定义请求必须具有的范围、如何签署令牌以及路由应该是公开的还是安全的。


@EnableWebSecurity
@EnableGlobalMethodSecurity(securedEnabled = true, prePostEnabled = true)
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Value("${spring.security.oauth2.resourceserver.jwt.jwk-set-uri}")
    String jwkSetUri;

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        // @formatter:off
        http
            .cors().disable()
            .authorizeRequests()
            .antMatchers(("/webapp/**")).hasAuthority("SCOPE_WEBAPP")
            .antMatchers(("/admin/**")).hasRole("ADMIN")
            ...
            .and()
            .oauth2ResourceServer().jwt(jwtConfigurer -> jwtConfigurer.decoder(jwtDecoder())
            .jwtAuthenticationConverter(new CustomJwtAuthenticationConverter()))
            ...
        // @formatter:on
    }

    @Bean
    JwtDecoder jwtDecoder() {
        return NimbusJwtDecoder.withJwkSetUri(jwkSetUri).build();
    }
}

我必须使用自定义 JwtConverter 从 jwt 获取角色，但这取决于您如何做到这一点，我想。

public class CustomJwtAuthenticationConverter implements Converter<Jwt, AbstractAuthenticationToken> {

    private final JwtGrantedAuthoritiesConverter defaultGrantedAuthoritiesConverter = new JwtGrantedAuthoritiesConverter();

    public CustomJwtAuthenticationConverter() {
    }

    @Override
    public AbstractAuthenticationToken convert(@NotNull final Jwt jwt) {
        Collection<GrantedAuthority> authorities = Stream
                .concat(defaultGrantedAuthoritiesConverter.convert(jwt).stream(), extractResourceRoles(jwt).stream())
                .collect(Collectors.toSet());
        return new JwtAuthenticationToken(jwt, authorities);
    }

    private static Collection<? extends GrantedAuthority> extractResourceRoles(final Jwt jwt) {
        Collection<String> userRoles = jwt.getClaimAsStringList("roles");
        if (userRoles != null)
            return userRoles
                    .stream()
                    .map(role -> new SimpleGrantedAuthority("ROLE_" + role))
                    .collect(Collectors.toSet());
        return Collections.emptySet();
    }
}

这使您能够基于 URL 保护您的应用程序。

jwt、to Jwt Converter 中的角色和@EnableGlobalMethodSecurity注释使您能够安全即使在方法级别 https://www.baeldung.com/spring-security-method-security.

@Transactional
@PreAuthorize("hasRole('ROLE_PROJECT_MANAGER')")
public Page<Project> findAll(Pageable pageable) {
    return projectRepository.findAll(pageable);
}

Azure Active Directory 应该支持智威汤逊 https://azure.microsoft.com/de-de/blog/windows-azure-active-directory-supports-json-web-tokens/，但我没有这个 IDP 的经验。我无法回答的是，如何在令牌内注入自定义声明（例如角色）以及从哪里获取用于验证令牌签名的 jwks（Json Web 密钥集）。

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

springboot

adal

保护 Spring 支持，当前端使用 adal auth 保护时的相关文章

java.lang.IllegalStateException：未定义负载平衡的 Feign 客户端。您是否忘记包含 spring-cloud-starter-netflix-ribbon ？

我遇到异常 FactoryBean threw exception on object creation nested exception is java lang IllegalStateException No Feign Client
Spring JMS监听器即使在异常时也会确认

我正在使用 JMS 向 SQS 队列发送接收消息但是即使在使用 client acknowledge 时出现异常我也无法重新传递消息如何实现这一目标我尝试了一个简单的测试 JmsListener destination test
org.hibernate.MappingException：实体映射中序列的增量大小设置为 [10]，而 ... 大小为 [1]

更新到 Spring Boot 2 2 和相关的 Hibernate 5 4 x 时我们遇到了问题我们确实有以下序列生成器 Id GeneratedValue strategy GenerationType SEQUENCE genera
多线程Spring-boot控制器方法

因此我的应用程序 spring boot 运行速度非常慢因为它使用 Selenium 来抓取数据处理数据并显示在主页中我遇到了多线程我认为它对我的应用程序很有用可以让它运行得更快但是教程似乎显示在带有 main c 的普通 j
从 GitHub 上托管的 Spring Cloud Config Server 访问存储库的身份验证问题

我在 GitHub 上的存储库中托管配置如果我将回购公开一切都好但如果我将其设为私有我将面临 org eclipse jgit errors TransportException https github com my user m
如何限制使用 Spring-Boot 和 OAuth2 登录特定域

我已经使用 Spring Boot 和 Google 成功完成了 OAuth2 登录但我想将登录限制到特定域我们正在使用 Google Apps for Work 我认为我应该通过扩展类 OAuth2ClientAuthenticati
如何从表中检索特定列 --- JPA 或 CrudRepository？我只想从用户表中检索电子邮件列

用户模型 Entity Table name user uniqueConstraints UniqueConstraint columnNames email public class User implements Serializab
Spring引导@Transactional

spring boot会自动在controller层添加 Transactional注解吗我尝试将 Transactional 放在服务层但似乎控制器层覆盖了注释我有这个配置
我收到 https://localhost:8080/swagger-ui.html 的 404

I am getting a valid response for http localhost 8080 v2 api docs but while I am trying to access I am getting http loca
在 Spring Boot Actuator 健康检查 API 中启用日志记录

我正在使用 Spring boot Actuator APIproject https imobilenumbertracker com 拥有一个健康检查端点并通过以下方式启用它 management endpoints web base
@ConfigurationProperties Spring Boot 配置注释处理器在类路径中找不到

我尝试完成自定义属性春季启动我尝试通过创建一个简单的项目IntelliJ IDEA 2016 3 创建了一个新的 Gradle 项目Spring Boot 初始化我根本没有检查过任何东西创建了一个新类Properties When I
Spring Boot 1.4：Liquibase完成后的执行方法

我有一个基于 Spring Boot 1 4 0 的项目该项目使用 Liquibase liquibase 完成后是否可以执行方法像 Bean 后处理器之类的东西我想要做的是当应用程序在开发模式下启动时向我的数据库添加一些数据在开发
JPA中如何连接多个数据库？

我有一个 Spring Boot 应用程序当前使用 JPA 连接到单个数据库 application properties 文件中的连接详细信息 spring datasource url jdbc oracle thin localho
如何使用Spring WebClient进行同步调用？

Spring Framework in 休息模板 https docs spring io spring framework docs current javadoc api org springframework web client R
基于 Spring Boot 的测试中的上下文层次结构

我的 Spring Boot 应用程序是这样启动的 new SpringApplicationBuilder sources ParentCtxConfig class child ChildFirstCtxConfig class sib
多对多不检索映射数据

Spring boot 2 5 6 我无法安装版本概要文件 java Getter Setter NoArgsConstructor AllArgsConstructor EqualsAndHashCode FieldDefaults l
使用 Java 注释通过 Spring 发送电子邮件

我怎样才能发送电子邮件Spring 4 and 春季启动通过使用纯基于注释的方法根据Java 配置 rules 配置电子邮件服务的简单解决方案您将使用没有身份验证的 SMTP 服务器将是 Configuration public c
Spring：在应用程序主方法中运行多个“SpringApplication.Run()”

嘿我是 spring 新手我正在尝试在我的 Applications java 的 main 中运行多个运行方法 import org springframework boot autoconfigure EnableAutoConfi
如何在异常处理程序中访问访问请求主体

我们有一个 Spring Boot 应用程序我们的控制器期望在我们的端点之一中有一个 XML 文档元素 PostMapping value api v1 do stuff consumes APPLICATION XML VALUE pr
Spring 非托管 bean 的依赖注入

我有一个非托管的 JPA 域类它是通过实例化的new操作员 UserAccount account new UserAccount userRepository save account In my UserAccount类我有一个be

随机推荐

如何将日期格式设置为 (dd/mm/yyyy hh:mm:ss)

如何将下面的日期转换为此模板 dd mm yyyy hh mm ss 05 04 2021 14 52 我尝试这样做但我只得到时间而不是日期和时间 var data new Date 05 04 2021 14 52 var time
使用 Stringstream 将字符串转换为 Int

这里有一个小问题 int IntegerTransformer transformFrom std string string stream gt clear std cout lt
如何使用 MsBuild v15 构建 C++ 项目？

我在 Visual Studio 2017 中使用 NuGet 包管理器安装了以下程序集 Microsoft Build Microsoft Build Framework Microsoft Build Utilities Core 一切
尝试通过 API 将成员添加到 Google 群组时出现“缺少必填字段：成员”

尝试使用 Google 管理目录 API 来读取 google 群组组织的成员它工作正常当我尝试添加成员时我得到 errors domain global reason required message Missing requi
getline() 与 fgets()：控制内存分配

要从文件中读取行有getline and fgets POSIX 函数忽略可怕的gets 这是常识getline 优先于fgets 因为它根据需要分配行缓冲区我的问题是这不危险吗如果有人意外或恶意地创建了一个 100GB 的文件
如何按日期正确对从 CoreData 获取的列表进行分组？

为了简单起见假设我想创建一个简单的待办事项应用程序我的 xcdatamodeld 中有一个实体 Todo 其属性id title and date 以及以下 swiftui 视图如图所示的示例 import SwiftUI struc
Android 应用程序 Azure 依赖项 gradle 构建时出错

我在 Android Studio 2 3 3 的 Gradle 同步中收到以下错误错误模块 com microsoft azure azure mobile android 3 3 0 依赖于一个或多个 Android 库但它是一个
将文件 Google Wear 发送到手机

我正在尝试将文件从 Google Wear 发送到 Nexus 5 我已阅读一些教程并编写了以下代码但我的手机未收到文件 Mobile private GoogleApiClient mGoogleApiClient private in
带有路径连接器的 jQuery 可拖动小部件

参考该图像 Block1 和Block2 都是可拖动的我的问题是如何在两个块之间制作红色链状连接器要求是链条应该延伸到块被拖动的地方请提供任何教程学习材料的指示谢谢有许多 Jquery 插件可用于创建数据库可视化或流程图的连接
在 Pandas 时间序列图中从 Axes.get_xlim() 获取可用日期

我试图从用 pandas 创建的时间序列图中获取作为 python 日期时间对象的图的 xlimits 使用ax get xlim 将轴限制返回为numpy float64 我不知道如何将数字转换为可用的日期时间 import pandas
当字段未触及时，角度反应形式返回空值

在我的用例中当用户单击编辑按钮时 Angular 会对后端进行 HTTP 调用并检索对象然后在编辑表单上填充这些值用户可以更新或保持字段不变点击时update按钮 Angular 应该获取表单中存在的所有这些值并将它们发送到后端因
当单元格值和复选框更改时更改工作表

我有一本包含多个工作表的工作簿我有一个菜单页面工作表其中包含多个用户选择输入新订单更新订单等每个选项旁边都有一个复选框根据选中的复选框单元格F4 F21改变自0 to 1并且细胞B1更改我想要去的工作表的名称我的主菜单工
如何从 os_log() 查找源文件和行号

The 记录 Apple 参考 https developer apple com reference os 1891852 logging对于 iOS 10 和 macOS Sierra 中的新日志记录系统明确表示不要包含行号和源文件信
clickedButtonAtIndex 方法未被调用

当用户点击按钮时UIAlertView the clickedButtonAtIndex应该调用方法但是它没有 in the h我已经打电话给UIAlertView协议 interface RechercherViewControlle
Laravel 5.4 上传原始文件名和扩展名

通过表单提交文件时如何将原始文件名 file jpg 上传到数据库控制器 public function addCv Request request cv Cv create request gt all file request gt
log4net 未记录到数据库

我有一个奇怪的问题我的 log4net 设置没有将任何数据记录到数据库中也没有引发任何异常来通知问题我已经在一个名为 Log4net Config 的单独文件中定义了配置设置并且已经在程序集中引用了它请注意我通过 nuget
MYSQL中如何获取不带小数的列值

我的 mysql 表中有两列A and B我正在获取这样的记录 select A B from table 但问题是上面的查询提供了类似这样的值 12 00 3 4 78 9 但我想得到这样的结果 12 3 78 我将使用哪个 MySQL
如何解决 Python 'Pyzbar' 库的导入错误？

我刚刚开始熟悉 Pyzbar 库但是当使用decode方法我得到一个错误这是代码 import cv2 import numpy as np import pyzbar code image cv2 imread C Users Ace
如何在 Python 中使用 Selenium 运行无头 Chrome？

我正在尝试使用 selenium 进行一些操作我真的希望我的脚本能够快速运行我认为使用无头 Chrome 运行我的脚本会使其速度更快首先这个假设是否正确或者我是否使用无头驱动程序运行我的脚本并不重要我希望无头 Chrome 能够
保护 Spring 支持，当前端使用 adal auth 保护时

所以我们的应用程序有两个部分前端 ui 使用 Angular JS 后端使用Spring boot的rest api 使用 microsoft adal angular6 库通过 Azure Active Directory 进行身份验

保护 Spring 支持，当前端使用 adal auth 保护时

保护 Spring 支持，当前端使用 adal auth 保护时 的相关文章

随机推荐

热门标签

保护 Spring 支持，当前端使用 adal auth 保护时的相关文章