:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883400/1883452/original.jpg "Die Gewinner der diesjährigen IT-Awards stehen fest – und hier sind Ihre Dev-Insider-Preisträger: (Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883900/1883949/original.jpg "Am 21. Oktober 2021 ab 13:00 Uhr erhalten die Gewinner der diesjährigen Leserwahl den Readers' Choice Dev-Insider Award 2021. (Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/7a/59/7a595755b165e6d0939b52bc4bb82e9d/0113646230.jpeg "Blockchain-Technologien schaffen Vertrauen, was auch beim programmatischer Werbung von Vorteil ist. (Bild: <a href=https://pixabay.com/de/users/kiquebg-5133331/>kiquebg</a>)")
:quality(80)/p7i.vogel.de/wcms/fc/5d/fc5d51c434c66a36ab98ec88e33f3f11/0113457541.jpeg "Das Blockchain Competence Center Mittweida veranstaltet die gesamte Blockchain Autumn School 2023 über Zoom. (Bild: BCCM)")
:quality(80)/p7i.vogel.de/wcms/35/5b/355b75f20e735b8a4e5e14052b58477d/0113325597.jpeg "Basierend auf USD-Coin sollen die Programmable Wallets von Circle einfach integrierbare Crypto-Geldbörsen ermöglichen. (Bild: Circle)")
:quality(80)/p7i.vogel.de/wcms/63/d2/63d2f4e43c55e2140ec3bd9b96d19d5c/0114247757.jpeg "Zumindest in der jetzigen Form wird künstliche Intelligenz keine Jobs vernichten, sondern vielmehr ergänzen. (Bild: <a href=https://pixabay.com/de/users/placidplace-25572496/>Placidplace</a>)")
:quality(80)/p7i.vogel.de/wcms/4a/2c/4a2c83570cf413a53acc88791127985b/0113689146.jpeg "UX- und UI-Design müssen sich auf immer neue Trends einstellen, es gibt allerdings auch einige festgeschriebene Grundregeln. (Bild: <a href=https://unsplash.com/@karlsolano>Karl Solano</a>)")
:quality(80)/p7i.vogel.de/wcms/58/19/5819c761ed85847bcd078190acf7ad4f/0114215872.jpeg "Die Beta von GitHub Copilot Chat ist fortan für alle User von Visual Studio und VS Code verfügbar. (Bild: GitHub)")
:quality(80)/p7i.vogel.de/wcms/c5/cf/c5cfc19667755322546e8e914f17890d/0114256966.jpeg "Mehr am Bahnhof denn in der Berufsschule: Der angehende Fachinformatiker für Systemintegration Jonas Lohrmann beklagt lange Wege zur Berufsschule. (Bild: Lohrmann)")
:quality(80)/p7i.vogel.de/wcms/5e/08/5e0825016fa505d43decf6f23fcd5047/0114270026.jpeg "Die Open Source Pentest-Tools Legion, sqlmap, Zed Attack Proxy, OpenSCAP, Karkinos und Scapy helfen Admins bei der Schwachstellensuche. (Bild: Nmedia - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/02/ca/02caa38db6be1bcce330d6bb35d8742e/0114195179.jpeg "Langeweile lassen Developer nicht lange auf sich sitzen, der Arbeitgeber ist schnell gewechselt. (Bild: Leonardo.ai)")
:quality(80)/p7i.vogel.de/wcms/6d/7b/6d7bd893f3034b22e9515d03f4a2bcf8/0114243416.jpeg "Lens AppIQ richtet sich laut Mirantis insbesondere an IT-Fachkräfte, die täglich mit Kubernetes arbeiten müssen. (Bild: Mirantis)")
:quality(80)/p7i.vogel.de/wcms/dd/64/dd64a3e1d07ca90d00b83de559c2512d/0113887944.jpeg "„Edge-Computing ist kein bestimmter Ort oder Gerätetyp, sondern eher ein Kontinuum von Standorten, die vom zentralisierten Cloud-Computing entfernt sind“, so Autor Sebastian Scheele. Trotzdem eignen sich Cloud-Native-Technologien, insbesondere Kubernetes, um an der Edge Computing zu betreiben. (Bild: frei lizenziert: distelAPPArath)")
:quality(80)/p7i.vogel.de/wcms/80/87/80875380ee678528982c0dcc073f0684/0114128044.jpeg "Die WSO2 API Platform for Kubernetes (APK) erweitert Kubernetes um API Management der Enterprise-Klasse. (Bild: WSO2)")
:quality(80)/p7i.vogel.de/wcms/bf/88/bf88d3e9f2f3c4cd391fc2218d8eca4c/0114136576.jpeg "Generative KI sollte als unterstützendes Tool verantwortungsbewusst eingesetzt werden. (© ipopba - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b7/64/b76475ee2a6f7435d75f28607817522d/0114100897.jpeg "Der Erfolg des Apple App Store fußt auf der großen Anzahl hochqualitativer Apps – ein Merkmal, das Apple selbst kontrolliert. (Bild: <a href=https://unsplash.com/@maria_shalabaieva>Mariia Shalabaieva</a>)")
:quality(80)/p7i.vogel.de/wcms/45/93/45930907cccf8cb2ca621cb6555cf717/0114183021.jpeg "SQL-Datenbanken lassen sich unproblematisch hin zu PostgreSQL migrieren, Unternehmen sollten diesen Schritt trotzdem gut vorbereiten. (Bild: Leonardo.ai)")
:quality(80)/p7i.vogel.de/wcms/2b/5e/2b5e53a28c7068ca57358ee8c8b7e221/0114149037.jpeg "Das Java-21-Release ist das Ergebnis einer Zusammenarbeit zwischen Entwicklern von Oracle und der weltweiten Java-Developer-Community. (Bild: Oracle)")
:quality(80)/p7i.vogel.de/wcms/e8/a2/e8a2ed56eaea2f9670ac8bfbefe10cc7/0113533673.jpeg "Copy-and-paste- oder Clipboard-Programming kann sich sehr negativ auf die Code-Qualität auswirken. (Bild: <a href?https://pixabay.com/users/chenspec-7784448/>chenspec</a>)")
:quality(80)/p7i.vogel.de/wcms/7e/5a/7e5aac8b7041780b5065919ce0cbabf3/0113499457.jpeg "Zeremonielles Kreuz des „John Frum Cargo Cult“, auf der Insel Tanna im heutigen Vanuatu. (Bild: JohnFrumCrossTanna1967.jpg / Tim Ross - eigene Arbeit / CC BY 3.0)")
:quality(80)/p7i.vogel.de/wcms/d8/90/d890b7a3d8daf81956377a29a87efdd5/0113481871.jpeg "Das Scaled Agile Framework soll großen Unternehmen dabei helfen, agile Methoden zu adaptieren. (Bild: <a href=https://pixabay.com/users/snottyboggins-6421955/>SnottyBoggins</a>)")
:quality(80)/p7i.vogel.de/wcms/ec/0c/ec0cdde8e59873a426bf939ed52c38f3/0113355036.jpeg "Selbstbedienung ist beim Developer Self-Service ausdrücklich erwünscht. (Bild: <a href=https://pixabay.com/users/manfredrichter-4055600/><u>Manfred Richter</u></a>)")
:quality(80)/p7i.vogel.de/wcms/c2/21/c2213857722c33ef3d02db0acf33abc0/0112236476.jpeg "So sehen Chiselled Ubuntu containers aus – zumindest nach Auffassung der generativen KI DALL-E2. (Bild: Dall-E 2)")
:quality(80)/p7i.vogel.de/wcms/a9/6d/a96d15ff02a35fc84a9b65702395aa6b/0110694349.jpeg "Größenvergleich der gängigen Basis-Images (komprimiert und unkomprimiert). (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
Einstieg in Spring Boot, Teil 22 Verriegelt und verrammelt – Security mit Spring Boot
Das Thema Sicherheit steht bei vielen Unternehmen ganz oben auf der Agenda. Mit der grundlegenden Absicherung von Spring-Projekten befassen wir uns im vorerst letzten Beitrag dieser Serie.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/134700/134771/65.png "20200122-PNG-confluent_logo-denim.png ()")
Die Gefahr, dass durch einen Angriff Daten entwendet oder verschlüsselt werden, beschert vielen Verantwortlichen schlaflose Nächte. Auch Spring Boot kann dem Thema Brisanz und Komplexität nicht nehmen, aber zumindest eine Grundabsicherung eines Projekts ist schnell realisiert, sie erfolgt einfach durch Zufügen des Starters spring-boot-starter-security in POM.xml:
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>:quality(80)/images.vogel.de/vogelonline/bdb/1849000/1849056/original.jpg)
:quality(80)/images.vogel.de/vogelonline/bdb/1849000/1849057/original.jpg)
:quality(80)/images.vogel.de/vogelonline/bdb/1849000/1849058/original.jpg)
:quality(80)/images.vogel.de/vogelonline/bdb/1849000/1849059/original.jpg)
Die Sicherheitseinstellungen entsprechen danach vermutlich noch nicht den eigenen Vorstellungen, aber eine MVC-Anwendung, wie sie in vorgehenden Teilen dieser Reihe besprochen wurde, ist zumindest rudimentär abgesichert. Das zeigt der Zugriff auf eine beliebige Seite der Webanwendung.
Anstelle der erwarteten HTML-Seite erscheint nach dem Einbinden des Security-Starter eine Login-Seite unter /login. Spring leistet hier im Hintergrund offensichtlich ganze Arbeit. Der für den Zutritt erforderliche Username ist user, das Passwort findet sich in den Log-Ausgaben in der Konsole:
Using generated security password: 83f9365e-91a1-4d5a-b534-6bbac903a0e8Nach Eingabe dieser Daten landet man dann auf der ursprünglich gewünschten Seite. Ähnlich funktioniert das für einen REST-Service. Anstelle der erwarteten JSON-Antwort erhält man nach Zufügen des Security-Starter eine 401/Unauthorized-Meldung beim Aufruf eines beliebigen Endpoints:
{
"timestamp": "08:40:33.130+00:00",
"status": 401,
"error": "Unauthorized",
"path": "/customers"
}
Erst durch Angabe von Username und Passwort in Form eines Basic Authentication-Header lässt sich der Service (im Beispiel mit Postman) wieder aufrufen.
Authentifizierung
Das Passwort in der Konsole ändert sich bei jedem Neustart und ist offensichtlich nicht für den produktiven Einsatz gedacht. Das Anpassen der Security-Konfiguration an die eigenen Erfordernisse erfolgt in einem WebSecurityConfigurer, den man am einfachsten durch Erben von der Klasse WebSecurityConfigurerAdapter erstellt. In der Konfigurationsklasse wie sie im folgenden Beispiel wiedergegeben ist, wird die Security durch verschiedene Methoden beschrieben.
@Configuration
public class SecurityConfiguration extends WebSecurityConfigurerAdapter { @Autowired
public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
auth.inMemoryAuthentication()
.withUser("user").password("{noop}password").roles("USER")
.and()
.withUser("admin").password("{noop}password").roles("ADMIN");
}
}Im Beispiel werden mithilfe des AuthenticationManagerBuilder die beiden Benutzer user und admin, beide mit dem Passwort password und den Rollen USER und ADMIN definiert. Auf eine Verschlüsselung des Passworts wird in diesem einfachen Beispiel verzichtet (noop steht für NoOpPasswordEncoder).
Sowohl die Webanwendung als auch der REST-Endpoint lassen sich nach dem Neustart mit den vergebenen Accountdaten aufrufen, die Ausgabe mit dem von Spring generierten Passwort in der Konsole entfällt. In der Praxis möchte man das eingegebene Passwort vielleicht eher mit einem Wert aus einer Datenbank vergleichen.
Kein Problem: Anstelle der Methode inMemoryAuthentication() lässt sich das durch Aufruf von jdbcAuthentication() von AuthenticationManagerBuilder realisieren. Das folgende Codestück zeigt ein Beispiel:
auth.jdbcAuthentication()
.dataSource(dataSource)
.withDefaultSchema()
.withUser(User.withUsername("user").password(passwordEncoder().encode("pass")).roles("USER"));Authorisierung
Nachdem der Benutzer nun authentifiziert ist (wer ist es?) folgt die Autorisierung (was darf er?). Dafür wird die Methode configure() überschrieben. Auch hier wird ein Objekt, diesmal vom Typ HttpSecurity, durch Aufruf verschiedener Methoden konfiguriert. Jede davon gibt einen Configurer wie zum Beispiel HttpBasicConfigurer oder FormLoginConfigurer zurück. Die Verknüpfung erfolgt durch die and()-Methode:
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.authorizeRequests().antMatchers("/adminspace").access("hasRole('ADMIN')")
.and()
.authorizeRequests().anyRequest().authenticated()
.and()
.formLogin() // .loginPage("/login")
.and()
.httpBasic();
}Im Beispiel oben wird die Authentifizierung über die Standard-Login-Seite (Aufruf von formLogin()) sowie über Basic Authentication (Aufruf von httpBasic()) ermöglicht. Alle Requests müssen authentifiziert sein und die URL /adminspace ist nur für User mit der Rolle ADMIN zugänglich. Eine eigene Login-Seite lässt sich durch Aufruf von loginPage() konfigurieren, im Code ist das als Kommentar angedeutet.
Das Formulieren der Einschränkungen ist alles andere als selbsterklärend, aber in der Klasse HttpSecurity finden sich zahlreiche Konfigurationsbeispiele in Form von Javadoc-Kommentaren.
Methoden Level Security
Die oben geschilderte Absicherung mit Hilfe des HttpSecurity-Objekts basiert auf Servlet-Filtern, eingehende Requests werden überprüft und gegebenenfalls abgewiesen. Neben diesem Mechanismus existiert ein zweiter, der auf AOP-Proxies setzt und ohne Web-Technologien auskommt.
Mit Hilfe dieser als Methoden-Level-Security bezeichneten Variante lassen sich beispielsweise Methoden in Services absichern. Dazu wird vor die zu sichernde Methode die Annotation PreAuthorize gesetzt, und als value-Attribut ein Spring Expression Language (SpEL)-Ausdruck angegeben. Die Methode in folgendem Beispiel lässt sich wieder nur mit der ADMIN-Rolle aufrufen:
@Service
public class AnyService { @PreAuthorize(value = "hasRole('ADMIN')")
public void anyMethod() {
...
}
}Damit das funktioniert, ist noch die Annotation @EnableGlobalMethodSecurity_ in einer Konfiguration unterzubringen:
@Configuration
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {
...
}Im Beispiel werden mit dem Attribute prePostEnabled die Pre- und Post-Annotationen aktiviert. Neben den Pre- und PostAuthorize-Annotationen existieren noch die Pre- und PostFilter-Annotationen. Auch sie funktionieren mit SpEL und werden benutzt, um Collections oder Arrays abhängig vom Ausdruck zu filtern, und damit Elemente vor der Rückgabe zu entfernen. Die alternativen Attribute securedEnabled und jsr250Enabled betreffen die Annotationen @Secured_ und @RoleAllowed_ – beide arbeiten nicht mit SpEL-Ausdrücken und validieren nur gegen Rollen.
Das komplexe Thema Security in Spring ist mit diesem Beitrag nur angerissen, es existieren ganze Bücher dazu (zum Beispiel Spring Security in Action von Laurențiu Spilcă). Mehr über die zugrundeliegenden Konzepte erfährt man auch unter Spring Security Architecture.
(ID:47710477)
:quality(80)/p7i.vogel.de/wcms/aa/38/aa3863eb1039dce4b9151fadadfc9b44/0106466514.jpeg "Login mit dem per Keycloak angelegten User. (Bild: Koller / Keycloak)")
:quality(80)/p7i.vogel.de/wcms/70/c3/70c397d097bcf66c705af2b6c81e55f7/0106970318.jpeg "Liquibase legt die Tabellen DATABASECHANGELOG und DATABASECHANGELOGLOCK automatisch an. (Bild: Koller)")