タグ検索の該当結果が少ないため、タイトル検索結果を表示しています。
この記事について 最近(5.4〜6.0)のSpring Securityでは、セキュリティ設定の書き方が大幅に変わりました。その背景と、新しい書き方を紹介します。 非推奨になったものは、将来的には削除される可能性もあるため、なるべく早く新しい書き方に移行することをおすすめします。(既に削除されたものもあります) この記事は、Spring Securityのアーキテクチャの理解(Filter Chain、 AuthenticationManager 、 AccessDecisionManager など)を前提としています。あまり詳しくない方は、まずopengl_8080さんのブログを読むことをおすすめします。 サンプルコード -> https://github.com/MasatoshiTada/spring-security-intro 忙しい人のためのまとめ @Configuration
最新の6.0で学ぶ! 初めてのひとのための Spring Security (株)クレディセゾン 多田真敏 2022年6月28日(2023年1月改訂) JSUG勉強会 1 このセッションについて ▸ Spring Securityの最新情報に基づいて、 基礎から丁寧に解説します ▸ 対象者 ▸ [必須] この資料レベルのSpringのDIコンテナ・Spring MVC ・Spring JDBC・Spring Bootの知識がある方 ▸ Spring Securityを使うのが初めての方 or Spring Securityを使ったことはあるけど知識をアップデートしたい方 ▸ 以下はスコープ外とします ▸ OAuth、OpenID Connect、SAML、Kotlin、WebFlux 2 https://www.docswell.com/s/MasatoshiTada/5Q4EMZ-spr
やりたいこと Spring MVCの@RestControllerを使って作成したWeb APIに対する認証、認可をリクエスト中のAuthorizationヘッダの値で行います。この認可はリクエストごとに行います。 実装方法の概要 実装方法の概要は以下の様になります。 リクエスト中のAuthorizationヘッダの値によって認証、認可処理を行うためのフィルター、サービスを作成する Spring Securityでリクエストごとに認可処理を行うためにセッションを使用しないよう設定する。 @RestConrollerを付けたクラスのメソッドに必要な権限を持っているかをチェックするために@PreAuthorize(“hasAuthority('権限名’)")のように@PreAuthorizeアノテーションをつける 以下の環境で動作確認しています。 Java 11 Spring Boot 2.3
こちらの記事は、アソビュー! Advent Calendar 2023の20日目(B面)です。 こんにちは! アソビューでバックエンドエンジニアをしている島田です。 そろそろクリスマスが近づいていますが、4歳の息子に去年は3歳で3つのプレゼントがあったから今年は4つだよね?と末恐ろしいことを言われて恐々としています... (お菓子セットで逃げようかと思います) さて本題ですが、SaaS向けシステムの新規開発を行い、その中でSpring Cloud GatewayにSpring SecurityのOAuth 2.0クライアントを実装しました。 アソビューのバックエンドシステムは、さまざまなアプリケーションで構成されており、それぞれがマイクロサービスとして運用されています。 これにより、バックエンドは分散した形態をとっていますが、外部に公開するAPIに関しては、ユーザーに対して統一感のあるイン
本記事は 【Advent Calendar 2023】 11日目の記事です。 🎄 10日目 ▶▶ 本記事 ▶▶ 12日目 🎅 はじめに こんにちは、去年の11月に中途入社した上村です。転職してから1年となり、時間が経つのが早いと感じます... 私はSpring Bootを用いたWebアプリケーションに業務で携わっています。その中で、CSRF(クロスサイトリクエストフォージェリ)という脆弱性に触れる機会がありました。Spring Securityの機能により、CSRF対策が簡単にできることを学んだので、紹介していきます。 CSRFとは CSRFとは、Webアプリケーションの脆弱性の一つです。本来拒否すべきリクエストを受信して処理してしまう脆弱性、もしくはその脆弱性を突く攻撃を表します。 通販システムを例として説明します。この通販システム向けの攻撃用サイトを攻撃者が予め用意しておきます。正
Spring Security が認可の判定を行う流れ SecurityFilterChain をカスタマイズしたものをBean定義することで、リクエストのパスごとに権限を見てアクセスの制御が行なえます。 デフォルトの設定では認可の設定が入っているかを確認してみます。 以前の記事で確認したように、 org.springframework.boot.autoconfigure.security.servlet.SecurityAutoConfiguration が Auto-configuration でDIコンテナに登録されていますが、 @Import({ SpringBootWebSecurityConfiguration.class, SecurityDataConfiguration.class }) public class SecurityAutoConfiguration {
Engineering | Eleftheria Stein-Kousathana | February 21, 2022 | ... In Spring Security 5.7.0-M2 we deprecated the WebSecurityConfigurerAdapter, as we encourage users to move towards a component-based security configuration. To assist with the transition to this new style of configuration, we have compiled a list of common use-cases and the suggested alternatives going forward. In the examples belo
Spring Security allows you to model your authorization at the request level. For example, with Spring Security you can say that all pages under /admin require one authority while all other pages simply require authentication. By default, Spring Security requires that every request be authenticated. That said, any time you use an HttpSecurity instance, it’s necessary to declare your authorization r
Spring Securiyで再認証するサンプルアプリを作ってみたいと思います この実装が正しいかどうかいまいちわかりません。もっとこうした方がいい等あればコメント頂けると嬉しいです バグがあるかもしれません はじめに 再認証とは ここでは 以下の 1 の事として話を進めます 重要な処理の前、機密性の高い情報を表示する前にユーザー認証を行うこと パスワード変更、アカウント削除、バックアップコード表示、など セッションハイジャック対策、CSRF対策 ログインしたままでいる場合、定期的にユーザー認証すること 参考 徳丸 浩. 体系的に学ぶ 安全なWebアプリケーションの作り方 第2版 4.6.2 推測可能なセッションID 成りすましの影響 5.2.7アカウント管理のまとめ OWASP Application Security Verification Standard 4.0 - 3.7.1
AWS事業本部サービス開発室の佐藤です。 KotlinとSpring Security 6.xを使ってOAuth2のリソースサーバーを試す機会がありましたので、手順を残そうと思います。2023年3月時点ではSpring Boot 3.xを使っているためSpring Security 6.xを使うことになるのですが、あまりネット上に情報が少なかったのとハマった部分も多かったので記事にしました。現在のSpring Security書き方をするように意識し、非推奨の書き方はしないようにしています。 新しいSpring Securityの設定の書き方については以下のQiitaの記事がとても参考になります。 この記事では、Spring Security 6.xを使ってOAuth2 Resource Serverを構成し、Access TokenをIntrospection Endpoint経由で検証
最近のSpringを使った実装は大体フロントから何かしらで呼ばれる想定のAPI実装が多いけど認証の実装をちゃんとやったことがなかったので色々調べた。 Spring SecurityはSecurityConfigを作って色々設定して独自でUserDetails実装するくらいの知識しかなかったのと以下のような理由で迷宮入りする。 Spring Security5.7で書き方が結構変わってる。 Springで全部書いてる想定のフォーム認証の方法がやっぱり多い。古めの記事は大体そう SPAとかのAPIとしてのSpring Securityの認証記事が少ない。 Spring Securityが基本カスタムして実装するようになってて、自由度が割と高く、書き方が同じものが意外とない。(みんな微妙に違う) Spring Securityが理由でSpringが嫌いにならないように実装方法とポイントを書いてい
<!doctype html> <html xmlns:th="http://www.thymeleaf.org"> <head> <meta charset="utf-8"> <meta name="viewport" content="width=device-width, initial-scale=1"> <title>ログイン</title> <!-- Bootstrap CSS --> <link href="https://cdn.jsdelivr.net/npm/[email protected]/dist/css/bootstrap.min.css" rel="stylesheet" integrity="sha384-EVSTQN3/azprG1Anm3QDgpJLIm9Nao0Yz1ztcQTwFspd3yD65VohhpuuCOmLASjC" crossorigin="
はじめに Spring Security を使用して、ログイン機能の実装です。 今回はデフォルトのログイン画面で、ユーザ認証もDBからは取得しません。 次回以降にDBから認証に必要な情報取得やカスタムログインページの作成をやる予定 バージョン ・Spring Boot3 ・SpringSecurity6 プロジェクトの作成 application.properties の設定 (今回はDB接続は行いませんが、DBを使用する前提でプロジェクトは作成しているため、DBの設定が必要となる) spring.jpa.database=POSTGRESQL spring.datasource.url=jdbc:postgresql://localhost:5432/postgres spring.datasource.username=ユーザ名 spring.datasource.password=パ
OpenID Connect 1.0は、OAuth 2.0をベースとした認証プロトコルです。このセッションでは次の内容をわかりやすく解説します。 - OpenID Connect 1.0の概要とフロー - なぜOAuthは「認可」でOpenID Connectは「認証」なのか - Spring Securityの利用方法 このセッションは中級者向けです。次の知識を前提として解説します。 - OAuth 2.0の認可コードグラントのフローを説明できる - Spring Security 5.xのOAuth 2.0機能を使ったことがある(既に非推奨となっている「Spring Security OAuth2」ではありません)
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
