🏥 🎵 👆🏼 स्प्रिंग प्रोफेशनल सर्टिफिकेशन की तैयारी। वसंत सुरक्षा 🧜🏻 🦏 🎩

यह लेख स्प्रिंग प्रोफेशनल सर्टिफिकेशन प्रेप लेख का अनुवाद है।

यह वसंत सुरक्षा के विषय और उस पर मुख्य प्रश्नों को कवर करेगा।

इसका उपयोग साक्षात्कार की तैयारी के लिए भी किया जा सकता है।

↓ अन्य लेख सामग्री की तालिका में लिंक पर उपलब्ध हैं available

सामग्री की तालिका

निर्भरता इंजेक्शन, कंटेनर, IoC, सेम
एओपी (पहलू-उन्मुख प्रोग्रामिंग)
जेडीबीसी, लेनदेन, जेपीए, स्प्रिंग डेटा
वसंत का बूट
स्प्रिंग mvc
वसंत सुरक्षा
बाकी
परीक्षण

स्वयं प्रश्न:

प्रमाणीकरण और प्राधिकरण क्या है?

प्रमाणीकरण एक कंप्यूटर सिस्टम के उपयोगकर्ता की पुष्टि करने की प्रक्रिया है।
वसंत में ऐसा होता है:

परिणामस्वरूप पासवर्ड और उपयोगकर्ता नाम UsernamePasswordAuthenticationToken के उदाहरण में परिवर्तित हो जाता है। यह ऑथेंटिकेशन इंटरफेस को लागू करता है।
सत्यापन के लिए टोकन AuthenticationManager ऑब्जेक्ट पर पास किया जाता है
यदि सफल होता है, तो AM पॉप्युलेटेड Authentication ऑब्जेक्ट लौटाता है
सुरक्षा संदर्भ को SecurityContextHolder.getContext().setAuthentication(...) सेट करके कहा जाता है SecurityContextHolder.getContext().setAuthentication(...)

प्राधिकरण यह सत्यापित करने की प्रक्रिया है कि उपयोगकर्ता के पास कार्रवाई करने के लिए आवश्यक भूमिका है। प्राधिकरण के दौरान, यह जाँच की जाती है कि आपके पास संसाधन तक पहुँचने के लिए उचित अधिकार हैं या नहीं।

प्रक्रिया:

उपयोगकर्ता के प्रमुख (प्रिंसिपल) द्वारा, उसकी भूमिका प्रदर्शित की जाती है
उपयोगकर्ता की भूमिका संसाधन भूमिका के विरुद्ध जाँच की गई

पहले, प्रमाणीकरण होता है, और फिर प्रमाणीकरण होता है।

सुरक्षा आंतरिक रूप से कैसे काम करती है?

स्प्रिंग एओपी प्रॉक्सी का उपयोग करना जो कि AbstractSecurityInterceptor वर्ग से विरासत में मिला है।

यह प्राधिकरण को कॉल करने वाली विधियों के लिए उपयोग किया जाता है।
सुरक्षा वेब अवसंरचना सर्वलेट फिल्टर पर आधारित है।

पहला चरण DelegatingFilterProxy फ़िल्टर को कॉन्फ़िगर करना है। वह FilterChainProxy के अनुरोध को FilterChainProxy ।

FilterChainProxy एक बीन है जो कंस्ट्रक्टर में एक या अधिक SecurityFilterChain को स्वीकार करता है।

SeccurityFilterChain फ़िल्टर की सूची के साथ अनुरोध में URL की तुलना करता है।

मुख्य विशेषताएं वसंत सुरक्षा में शामिल हैं

SecurityContextHolder - इसमें एप्लिकेशन में SecurityContext की पहुंच और सम्‍मिलित है।

SecurityContext - ऑथेंटिकेशन ऑब्जेक्ट वाली स्प्रिंग सिक्योरिटी का डिफ़ॉल्ट कार्यान्वयन।

Authentication - प्रमाणीकरण अनुरोध के लिए या प्रमाणित किए गए प्रिंसिपल के लिए एक टोकन प्रदान करता है। इसमें उन शक्तियों की एक सूची भी शामिल है, जिनके पास प्रिंसिपल की पहुंच है।

दी गई GrantedAuthority - GrantedAuthority प्राचार्य को दिए गए अधिकार को समाहित करता है।

UserDetails - उपयोगकर्ता के बारे में जानकारी UserDetails : पासवर्ड, लॉगिन, अनुमतियाँ। इस जानकारी का उपयोग सफल प्रमाणीकरण के बाद ऑथेंटिकेशन ऑब्जेक्ट बनाने के लिए किया जाता है।

UserDetailsService - यह सेवा उपयोगकर्ता से रिपॉजिटरी (प्रोग्राम मेमोरी, डेटाबेस, आदि) के बारे में जानकारी प्राप्त करती है और उसे UserDetails में डालती है।

एक प्रतिनिधि प्रॉक्सी फ़िल्टर क्या है?

DelegatingFilterProxy वर्ग एक वर्ग है जो javax.Servlet.Filter इंटरफ़ेस को लागू करता है।

यह एक विशेष फिल्टर है जो अन्य बीन्स को काम को दर्शाता है, जो कि फिल्टर भी हैं।

सुरक्षा फ़िल्टर श्रृंखला क्या है?

फ़िल्टर श्रृंखला SecurityFilterChain इंटरफ़ेस को लागू करता है। स्प्रिंग सुरक्षा द्वारा प्रदान किया गया कार्यान्वयन DefaultSecurityFilterChain है।

DSFC कंस्ट्रक्टर कई मापदंडों को स्वीकार करता है। पहला पैरामीटर अनुरोध मिलानकर्ता है। शेष पैरामीटर फ़िल्टर हैं जो सर्वलेट को लागू करते हैं। फ़िल्टर इंटरफ़ेस। यहाँ DSFC द्वारा स्वीकार किए गए सभी फ़िल्टर हैं:

ChannelProcessingFilter
SecurityContextPersistenceFilter
ConcurrentSessionFilter
कोई भी फ़िल्टर: UserNamePasswordAuthenticationFilter / CasAythenticationFilter / BasicAuthenticationFilter
SecurityContextHolderAwareRequestFilter
JaasApiIntegrationFilter
RemeberMeAuthenticationFilter
AnonymusAuthenticationFilter
ExceptionTranslationFilter
FilterSecurityInterceptor

सुरक्षा संदर्भ क्या है?

प्राथमिक वस्तु एक SecurityContextHolder । यह वह स्थान है जहां वर्तमान सुरक्षा संदर्भ के बारे में विवरण संग्रहीत हैं, उदाहरण के लिए, वर्तमान में आवेदन का उपयोग करने वाले प्रिंसिपल का विवरण। डिफ़ॉल्ट रूप से, ThreadLocal उपयोग भंडारण के लिए किया जाता है।

 // SecurityContext SecurityHolderContext.getContext()

getContext() विधि द्वारा लौटाए गए ऑब्जेक्ट SecurityContext । यह आपको एक Authentication वस्तु प्राप्त करने और स्थापित करने की अनुमति देता है।

Authentication निम्नलिखित गुणों का प्रतिनिधित्व करता है:

प्राचार्य को दी गई शक्तियों का संग्रह
उपयोगकर्ता पहचान के लिए डेटा (लॉगिन, पासवर्ड)
विवरण - जोड़ें। यदि आवश्यक हो तो जानकारी। अशक्त हो सकते हैं
प्रमुख
प्रमाणीकरण ध्वज - बूलियन चर जो इंगित करता है कि क्या प्राचार्य ने सफलतापूर्वक परीक्षा उत्तीर्ण की है

विशिष्ट URL पर उपयोगकर्ता क्लिक अवरोधन कैसे सेट करें?

 @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() //    /resources .antMatchers("/resources/**").permitAll() //      2  .antMatchers("/").hasAnyRole("ANONYMOUS", "USER") .antMatchers("/login)*").hasAnyRole("ANONYMOUS", "USER") .antMatchers("/logoutr").hasAnyRole("ANONYMOUS", "USER") //      ADMIN .antMatchers("iadmin/*").hasRole("ADMIN") .antMatchers("/events/").hasRole("ADMIN") }

AntMatchers और mvcMatchers () विधियों में * का क्या अर्थ है?

इस अभिव्यक्ति का अर्थ है "कोई भी।"

2 प्रकार हैं:

* - केवल उसी स्तर पर स्वीकार करता है जिस स्तर पर इसका उपयोग किया जाता है।

उदाहरण के लिए, पैटर्न "/ आदेश / *" उपयोगकर्ता के अधिकारों की जाँच करेगा यदि उपयोगकर्ता अनुसरण करता है

/ आदेश / एलियंस या / आदेश / 1, लेकिन नहीं / आदेश / विदेशी / 1।
** - सभी स्तरों पर हस्तक्षेप करता है।
किसी भी अनुरोध की जाँच की जाएगी, / आदेश / एलियंस, / आदेश / 1, / आदेश / विदेशी / 1।

एंटीमैटर की तुलना में mvcMatcher अधिक सुरक्षित क्यों है?

क्योंकि antMatcher(“/service”) केवल “/service” लिए अनुरोध पथ को मैप करता है, जबकि mvcMatcher(“/service”) “/service” , “/service.html” , "/service.abc" को मैप करता है ।

क्या स्प्रिंग सपोर्ट पासवर्ड हैशिंग है? नमक क्या है?

हाँ, यह करता है। हैशिंग के लिए एक पासवर्डइन्कोडर इंटरफ़ेस है, जिसमें केवल एक विधि है:

static PasswordEncoder createDelegatingPasswordEncoder() , जो डिफ़ॉल्ट DelegatePasswordEncoder लौटाता है।

पासवर्ड हैश मान की गणना करने के लिए नमक का उपयोग किया जाता है। यह यादृच्छिक संख्याओं का एक क्रम है जिसका उपयोग टेक्स्ट पासवर्ड को हैश में बदलने के लिए किया जाता है। नमक हैश पासवर्ड के बगल में स्पष्ट रूप में संग्रहीत किया जाता है और बाद में इसका उपयोग तब किया जा सकता है जब एक नए उपयोगकर्ता लॉगिन के साथ एक साफ पासवर्ड को हैश में परिवर्तित किया जाता है।

आपको तरीकों के लिए सुरक्षा की आवश्यकता क्यों है? इसे कैसे स्थापित करें?

स्प्रिंग सुरक्षा बीन्स में व्यक्तिगत विधियों के संरक्षण का समर्थन करता है (उदाहरण के लिए, नियंत्रकों में)। यह अनुप्रयोग के लिए सुरक्षा की एक अतिरिक्त परत है।

इसे @EnableGlobalMethodSecurity एनोटेशन का उपयोग करके स्पष्ट रूप से निर्दिष्ट किया जाना चाहिए।

@RolesAllowed एनोटेशन क्या करता है?

यह एनोटेशन JSR-250 पर आधारित है।
@RolesAllowed आपको भूमिकाओं का उपयोग करके विधियों (उदाहरण के लिए, नियंत्रक वर्ग में) तक पहुंच को कॉन्फ़िगर करने की अनुमति देता है।
उदाहरण: @RolesAllowed(“ADMIN”) केवल ADMIN भूमिका वाले उपयोगकर्ताओं को अनुमति देगा

उपयोग करने के लिए, आपको @Configuration क्लास पर @EnableGlobalMethodSecurity(jsr250Enabled=true) सेट करने की आवश्यकता है + आपको इस एनोटेशन को क्लासपैथ में होने की आवश्यकता है।

हमें @PreAuthorize के बारे में बताएं

@PreAuthorize आपको स्पेल का उपयोग करके विधि तक पहुंच को कॉन्फ़िगर करने की अनुमति देता है।
उपयोग करने के लिए, आपको @EnableGlobalMethodSecurity(prePostEnabled=true) सेट @EnableGlobalMethodSecurity(prePostEnabled=true)

इन सभी एनोटेशनों को कैसे लागू किया जाता है?

एंड-टू-एंड कार्यक्षमता का उपयोग स्प्रिंग एओपी (प्रॉक्सी ऑब्जेक्ट) का उपयोग करके किया जाता है।

स्प्रिंग प्रोफेशनल सर्टिफिकेशन की तैयारी। वसंत सुरक्षा

More articles: