Spring Boot 安全性最佳实践
Spring Boot 安全性最佳实践https://img2023.cnblogs.com/blog/15172/202404/15172-20240427120235757-2102561613.png
1.实施 HTTPS
HTTPS 在传输过程中对数据进行加密,防止未经授权的各方截获和破译敏感信息。这对于处理用户凭证、金融交易或任何其他机密数据的应用程序尤为重要。因此,安全通讯是不容置疑的。您必须使用 HTTPS 来保护传输中的数据。
在应用程序属性中,确保启用 TLS/SSL:
<font size="3">server.port=8443
server.ssl.key-store=classpath:keystore.jks
server.ssl.key-store-password=yourpassword
server.ssl.key-password=yourpassword</font>调整文件路径,确保将 "keystore.jks"、"key-store-password "和 "key-password "替换为实际的 keystore 文件、keystore 密码和私钥密码。
如果想强制执行 HTTPS 并完全克制 HTTP 访问,可以修改 Spring Security 配置,将所有 HTTP 流量重定向到 HTTPS。下面是实现方法:
<font size="3">@Override
protected void configure(HttpSecurity http) throws Exception {
http
.requiresChannel()
.requestMatchers(r -> r.getHeader("X-Forwarded-Proto") != null)
.requiresSecure()
.and()
.authorizeRequests()
.antMatchers("/").permitAll() // Allow access to the home page
.anyRequest().authenticated()
.and()
.formLogin().and()
.httpBasic().and()
.csrf().and(); // Retaining CSRF configuration
}</font><font size="3"><br></font><font size="3">.requiresChannel().requestMatchers(r -> r.getHeader("X-Forwarded-Proto") != null).requiresSecure() 对所有请求强制执行 HTTPS。requestMatchers 部分用于处理应用程序位于代理或负载平衡器后面的情况,X-Forwarded-Proto 用于确定协议。如果要在 Spring Boot 应用程序中使用 WebSecurityConfigurerAdapter 强制执行 HTTPS,可以配置安全设置以确保安全连接。下面是一个完整的示例:</font><font size="3">import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.requiresChannel()
.requestMatchers(r -> r.getHeader("X-Forwarded-Proto") != null)
.requiresSecure() // Enforce HTTPS
.and()
.authorizeRequests()
.antMatchers("/").permitAll() // Allow access to the home page
.anyRequest().authenticated()
.and()
.formLogin().and()
.httpBasic().and()
.csrf().and(); // Retain CSRF protection
}
}</font><font size="3"><br></font><font size="3">实施 HTTPS 后,彻底测试应用程序,确保功能无缝连接。定期监控 SSL/TLS 配置,检查是否存在漏洞或证书过期。</font><font size="3"><strong>2.激活 CSRF 保护</strong> </font><font size="3">跨站请求伪造(CSRF)攻击可能是毁灭性的。Spring Security 默认启用 CSRF 保护。请确保没有误将其禁用:</font><font size="3">http
.csrf().disable(); // Avoid this in production</font><font size="3"><strong>3.严格验证输入</strong> </font><font size="3">绝不相信用户输入。始终验证类型、长度、格式和范围。使用 Spring 内置的验证功能:</font><font size="3">import javax.validation.constraints.NotEmpty;
public class UserInput {
@NotEmpty(message = "Name cannot be empty")
private String name;
// getters and setters
}</font>4.使用参数化查询
SQL 注入是网络应用程序中常见的非常关键的弊端,攻击者可以完全接管应用程序的数据库。
在 Spring Boot 中,可以通过使用参数化查询或 JPA 资源库来缓解 SQL 注入攻击:
<font size="3">@Repository
public interface UserRepository extends JpaRepository<User, Long> {
@Query("SELECT u FROM User u WHERE u.email = :email")
User findByEmail(@Param("email") String email);
}</font>5.启用方法级安全
当未经授权或低权限用户可以访问应用程序的敏感功能(如通常由管理员脚色访问的功能)时,就会出现方法级授权问题。
这一问题在网络应用程序中非常普遍,已成为 OWASP 评选的网络应用程序十大弊端之一。
您可以使用 Spring 安全注解在方法级别限制访问权限,从而制止这一安全问题:
<font size="3">@PreAuthorize("hasRole('ADMIN')")
public void deleteUser(Long id) {
// deletion logic
}</font><font size="3"><strong>6.加密敏感数据</strong> </font><font size="3">想要避免数据泄露?敏感数据应该加密。使用 Spring 的 @EncryptablePropertySource 对属性文件进行加密:</font><font size="3">@EncryptablePropertySource(name = "EncryptedProperties", value = "classpath:encrypted.properties")
@Configuration
public class EncryptionConfig {
// Configuration details
}</font>7.定期更新依靠项
Spring Boot 弊端经常出现在第三方软件包和插件中。及时更新依靠项,下载开发人员创建的补丁,确保已知的安全弊端得到修复。使用 Maven 或 Gradle 等工具可轻松进行管理。
最近,Trivy 等开源依靠关系扫描工具增加了对扫描易受攻击的 Java 依靠关系的支持。
8.实施正确的身份验证和授权
使用 Spring Security 强大的身份验证和授权机制。配置身份验证提供程序、userDetailsService 和密码编码器:
<font size="3">@Autowired
public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
auth
.userDetailsService(userDetailsService)
.passwordEncoder(passwordEncoder());
}</font><font size="3"><strong>9.审计和记录安全事件</strong> </font><font size="3">安全审计对于正确评估组织应用程序的安全状况至关重要。我们强烈建议跟踪所有与安全相关的事件。Spring Boot Actuator 和 Spring Security 的审计功能非常有用:</font><font size="3">public class CustomAuditListener extends AbstractAuthenticationAuditListener {
@Override
public void onApplicationEvent(AbstractAuthenticationEvent event) {
// Logging logic
}
}</font>10.进行安全测试
定期测试应用程序是否存在安全弊端。
您可以使用 Spring Boot 自身的测试功能来编写测试:
<font size="3">@SpringBootTest
public class SecurityConfigurationTest {
// Test cases
}</font><font size="3"><br></font>但这种方法可能会很耗时,尤其是因为您需要为多种类型的安全弊端创建和维护所有测试用例。更快、更可靠的替换方法是使用支持 Spring Boot 的专用 API 测试工具(如 Escape),它将直接在 CI/CD 中根据 100 多种安全最佳实践和弊端测试您的应用程序,并资助您修复所有问题。
结论
这篇文章基于Spring Security, Spring Boot 中的安全性不是事后的想法,而是应用程序计划的一个重要方面。通过遵循这些最佳实践,开发人员可以显着改善 Spring Boot 应用程序的安全状态。请记着,全面的安全性不仅需要最佳实践,还需要实施强大的访问控制措施、执行安全的编码实践以及采用最新的安全技术,从而大幅降低风险敞口,保护您的名贵资产免受潜伏威胁。
今天先到这儿,盼望对云原生,技术向导力, 企业管理,系统架构计划与评估,团队管理, 项目管理, 产物管管,团队建设 有参考作用 , 您可能感兴趣的文章:
向导人怎样向导好团队
构建创业公司突击小团队
国际化环境下系统架构演化
微服务架构计划
视频直播平台的系统架构演化
微服务与Docker介绍
Docker与CI持续集成/CD
互联网电商购物车架构演变案例
互联网业务场景下消息队列架构
互联网高效研发团队管理演进之一
消息系统架构计划演进
互联网电商搜索架构演化之一
企业信息化与软件工程的迷思
企业项目化管理介绍
软件项目成功之要素
人际沟通风格介绍一
精益IT构造与分享式向导
学习型构造与企业
企业创新文化与品级观念
构造目标与个人目标
初创公司人才招聘与管理
人才公司环境与企业文化
企业文化、团队文化与知识共享
高效能的团队建设
项目管理沟通计划
构建高效的研发与自动化运维
某大型电商云平台实践
互联网数据库架构计划思路
IT底子架构规划方案一(网络系统规划)
餐饮行业解决方案之客户分析流程
餐饮行业解决方案之采购战略制定与实施流程
餐饮行业解决方案之业务计划流程
供应链需求调研CheckList
企业应用之性能实时度量系统演变 如有想了解更多软件计划与架构, 系统IT,企业信息化, 团队管理 资讯,请关注我的微信订阅号:
https://img2023.cnblogs.com/blog/15172/202404/15172-20240427120237170-1907215472.png
作者:Petter Liu
出处:http://www.cnblogs.com/wintersun/
本文版权归作者和博客园共有,欢迎转载,但未经作者同意必须保留此段声明,且在文章页面显着位置给出原文连接,否则保留追究法律责任的权利。 该文章也同时发布在我的独立博客中-Petter Liu Blog。
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]