Ressort de fixation de Démarrage de l'API avec la clé API et secret

Je voudrais sécuriser le Printemps de Démarrage de l'API de sorte qu'il n'est accessible que pour les clients de la validité de la clé API et secret. Cependant, il n'y a pas d'authentification (connexion standard avec un nom d'utilisateur et mot de passe) à l'intérieur du programme, toutes les données sont anonymes. Tout ce que je suis en train de réaliser, c'est que toutes les requêtes à l'API peut être utilisée uniquement pour des tiers avant la fin de l'.

J'ai trouvé beaucoup d'articles sur la façon de sécuriser le Printemps de Démarrage de l'API d'authentification de l'utilisateur. Mais je n'ai pas besoin d'authentification de l'utilisateur. Ce que je pense est juste donner mon client avec la clé API et secret, donc il a accès à des ordinateurs d'extrémité.

Pourriez vous s'il vous plaît me suggérer comment puis-je y parvenir? Merci!!!!

  • C'est la seule différence que vous appelez ça de la clé API au lieu de nom d'utilisateur ou est-il autre chose?
InformationsquelleAutor Vitalii Oleksiv | 2018-01-25
  1. 47

    Créer un filtre qui attrape ce que jamais l'en-tête(s) que vous utilisez pour l'authentification.

    import org.springframework.security.web.authentication.preauth.AbstractPreAuthenticatedProcessingFilter;

public class APIKeyAuthFilter extends AbstractPreAuthenticatedProcessingFilter {

    private String principalRequestHeader;

    public APIKeyAuthFilter(String principalRequestHeader) {
        this.principalRequestHeader = principalRequestHeader;
    }

    @Override
    protected Object getPreAuthenticatedPrincipal(HttpServletRequest request) {
        return request.getHeader(principalRequestHeader);
    }

    @Override
    protected Object getPreAuthenticatedCredentials(HttpServletRequest request) {
        return "N/A";
    }

}

    Configurer le filtre de votre Sécurité sur le Web config.

    import org.springframework.beans.factory.annotation.Value;
import org.springframework.context.annotation.Configuration;
import org.springframework.core.annotation.Order;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.authentication.BadCredentialsException;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.config.http.SessionCreationPolicy;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.AuthenticationException;
@Configuration
@EnableWebSecurity
@Order(1)
public class APISecurityConfig extends WebSecurityConfigurerAdapter {
@Value("${yourapp.http.auth-token-header-name}")
private String principalRequestHeader;
@Value("${yourapp.http.auth-token}")
private String principalRequestValue;
@Override
protected void configure(HttpSecurity httpSecurity) throws Exception {
APIKeyAuthFilter filter = new APIKeyAuthFilter(principalRequestHeader);
filter.setAuthenticationManager(new AuthenticationManager() {
@Override
public Authentication authenticate(Authentication authentication) throws AuthenticationException {
String principal = (String) authentication.getPrincipal();
if (!principalRequestValue.equals(principal))
{
throw new BadCredentialsException("The API key was not found or not the expected value.");
}
authentication.setAuthenticated(true);
return authentication;
}
});
httpSecurity.
antMatcher("/api/**").
csrf().disable().
sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS).
and().addFilter(filter).authorizeRequests().anyRequest().authenticated();
}
}
    • cela a été très utile. J'ai une application qui a besoin de soutenir à la fois le nom d'utilisateur/Mot de passe et ApiKey d'authentification. J'ai eu le nom d'utilisateur/Mot de passe de travail et après la lecture de votre post a été en mesure d'obtenir ApiKey de travail. Malheureusement, je semblait rompre le nom d'utilisateur/Mot de passe. Je me méfie c'est l'ordre de mes filtres ou mon utilisation de la même AuthenticationManager pour à la fois le nom d'utilisateur/Mot de passe et ApiKey auth. Tous les conseils?
    • Vous devriez être en mesure de configurer les deux WebSecurityConfigurerAdapter avec d'authentification différents gestionnaires de l'ala: stackoverflow.com/questions/33603156/...
    • Si j'ai bien compris, le APIKey n'est pas privé. Toute personne utilisant le client peut ouvrir le développeur de la console et vérifier l'en-tête de contenu. Est-il juste?
    • Généralement, le client d'une API sécurisée avec une clé API est un autre service. Si vous êtes en déduire que le client de cette API serait un navigateur web, je vous suggère de regarder dans OAuth / JWT les jetons d'authentification de l'utilisateur.
    InformationsquelleAutor MarkOfHall