來源:baeldung.com/spring-boot-api-key-secret ## 1、概述 安全性在REST API開發中扮演著重要的角色。一個不安全的REST API可以直接訪問到後臺系統中的敏感數據。因此,企業組織需要關註API安全性。 Spring Security 提供了各種機制來 ...
來源:baeldung.com/spring-boot-api-key-secret
1、概述
安全性在REST API開發中扮演著重要的角色。一個不安全的REST API可以直接訪問到後臺系統中的敏感數據。因此,企業組織需要關註API安全性。
Spring Security 提供了各種機制來保護我們的 REST API。其中之一是 API 密鑰。API 密鑰是客戶端在調用 API 調用時提供的令牌。
在本教程中,我們將討論如何在Spring Security中實現基於API密鑰的身份驗證。
2、REST API Security
Spring Security可以用來保護REST API的安全性。REST API是無狀態的,因此不應該使用會話或cookie。相反,應該使用Basic authentication,API Keys,JWT或OAuth2-based tokens來確保其安全性。
2.1. Basic Authentication
Basic authentication是一種簡單的認證方案。客戶端發送HTTP請求,其中包含Authorization標頭的值為Basic base64_url編碼的用戶名:密碼。Basic authentication僅在HTTPS / SSL等其他安全機制下才被認為是安全的。
2.2. OAuth2
OAuth2是REST API安全的行業標準。它是一種開放的認證和授權標準,允許資源所有者通過訪問令牌將授權委托給客戶端,以獲得對私有數據的訪問許可權。
2.3. API Keys
一些REST API使用API密鑰進行身份驗證。API密鑰是一個標記,用於向API客戶端標識API,而無需引用實際用戶。標記可以作為查詢字元串或在請求頭中發送。
3、用API Keys保護REST API
Spring Boot 基礎就不介紹了,推薦看這個實戰項目:
3.1 添加Maven 依賴
讓我們首先在我們的pom.xml中聲明spring-boot-starter-security依賴關係:
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
3.2 創建自定義過濾器(Filter)
實現思路是從請求頭中獲取API Key,然後使用我們的配置檢查秘鑰。在這種情況下,我們需要在Spring Security 配置類中添加一個自定義的Filter。
我們將從實現GenericFilterBean開始。GenericFilterBean是一個基於javax.servlet.Filter介面的簡單Spring實現。
讓我們創建AuthenticationFilter類:
public class AuthenticationFilter extends GenericFilterBean {
@Override
public void doFilter(ServletRequest request, ServletResponse response, FilterChain filterChain)
throws IOException, ServletException {
try {
Authentication authentication = AuthenticationService.getAuthentication((HttpServletRequest) request);
SecurityContextHolder.getContext().setAuthentication(authentication);
} catch (Exception exp) {
HttpServletResponse httpResponse = (HttpServletResponse) response;
httpResponse.setStatus(HttpServletResponse.SC_UNAUTHORIZED);
httpResponse.setContentType(MediaType.APPLICATION_JSON_VALUE);
PrintWriter writer = httpResponse.getWriter();
writer.print(exp.getMessage());
writer.flush();
writer.close();
}
filterChain.doFilter(request, response);
}
}
我們只需要實現doFilter()方法,在這個方法中我們從請求頭中獲取API Key,並將生成的Authentication對象設置到當前的SecurityContext實例中。
然後請求被傳遞給其餘的過濾器處理,接著轉發給DispatcherServlet最後到達我們的控制器。
在AuthenticationService類中,實現從Header中獲取API Key並構造Authentication對象,代碼如下:
public class AuthenticationService {
private static final String AUTH_TOKEN_HEADER_NAME = "X-API-KEY";
private static final String AUTH_TOKEN = "Baeldung";
public static Authentication getAuthentication(HttpServletRequest request) {
String apiKey = request.getHeader(AUTH_TOKEN_HEADER_NAME);
if ((apiKey == null) || !apiKey.equals(AUTH_TOKEN)) {
throw new BadCredentialsException("Invalid API Key");
}
return new ApiKeyAuthentication(apiKey, AuthorityUtils.NO_AUTHORITIES);
}
}
在這裡,我們檢查請求頭是否包含 API Key,如果為空 或者Key值不等於密鑰,那麼就拋出一個 BadCredentialsException。如果請求頭包含 API Key,並且驗證通過,則將密鑰添加到安全上下文中,然後調用下一個安全過濾器。getAuthentication 方法非常簡單,我們只是比較 API Key 頭部和密鑰是否相等。
為了構建 Authentication 對象,我們必須使用 Spring Security 為了標準身份驗證而構建對象時使用的相同方法。所以,需要擴展 AbstractAuthenticationToken 類並手動觸發身份驗證。
3.3. 擴展AbstractAuthenticationToken
為了成功地實現我們應用的身份驗證功能,我們需要將傳入的API Key轉換為AbstractAuthenticationToken類型的身份驗證對象。AbstractAuthenticationToken類實現了Authentication介面,表示一個認證請求的主體和認證信息。
讓我們創建ApiKeyAuthentication類:
public class ApiKeyAuthentication extends AbstractAuthenticationToken {
private final String apiKey;
public ApiKeyAuthentication(String apiKey,
Collection<?extends GrantedAuthority> authorities) {
super(authorities);
this.apiKey = apiKey;
setAuthenticated(true);
}
@Override
public Object getCredentials() {
return null;
}
@Override
public Object getPrincipal() {
return apiKey;
}
}
ApiKeyAuthentication 類是類型為 AbstractAuthenticationToken 的對象,其中包含從 HTTP 請求中獲取的 apiKey 信息。在構造方法中使用 setAuthenticated(true) 方法。因此,Authentication對象包含 apiKey 和authenticated欄位:
3.4. Security Config
通過創建建一個SecurityFilterChain bean,可以通過編程方式把我們上面編寫的自定義過濾器(Filter)進行註冊。
我們需要在 HttpSecurity 實例上使用 addFilterBefore() 方法在 UsernamePasswordAuthenticationFilter 類之前添加 AuthenticationFilter。
創建SecurityConfig 類:
@Configuration
@EnableWebSecurity
public class SecurityConfig {
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
http.csrf()
.disable()
.authorizeRequests()
.antMatchers("/**")
.authenticated()
.and()
.httpBasic()
.and()
.sessionManagement()
.sessionCreationPolicy(SessionCreationPolicy.STATELESS)
.and()
.addFilterBefore(new AuthenticationFilter(), UsernamePasswordAuthenticationFilter.class);
return http.build();
}
}
此外註意代碼中我們吧繪畫策略(session policy)設置為無狀態(STATELESS),因為我們使用的是REST。
3.5. ResourceController
最後,我們創建ResourceController,實現一個Get請求 /home
@RestController
public class ResourceController {
@GetMapping("/home")
public String homeEndpoint() {
return "Baeldung !";
}
}
3.6. 禁用 Auto-Configuration
@SpringBootApplication(exclude = {SecurityAutoConfiguration.class, UserDetailsServiceAutoConfiguration.class})
public class ApiKeySecretAuthApplication {
public static void main(String[] args) {
SpringApplication.run(ApiKeySecretAuthApplication.class, args);
}
}
4. 測試
我們先不提供API Key進行測試
curl --location --request GET 'http://localhost:8080/home'
返回 401 未經授權錯誤。
請求頭中加上API Key後,再次請求
curl --location --request GET 'http://localhost:8080/home' \
--header 'X-API-KEY: Baeldung'
請求返回狀態200
代碼:
https://github.com/eugenp/tutorials/tree/master/spring-security-modules/spring-security-web-boot-4
近期熱文推薦:
1.1,000+ 道 Java面試題及答案整理(2022最新版)
4.別再寫滿屏的爆爆爆炸類了,試試裝飾器模式,這才是優雅的方式!!
覺得不錯,別忘了隨手點贊+轉發哦!
