Защита Spring API загрузки с ключом API и секретностью

Я хотел бы защитить API загрузки Spring, чтобы он был доступен только для клиентов, имеющих действительный ключ API и секрет. Однако в программе нет аутентификации (стандартный вход с именем пользователя и паролем), поскольку все данные являются анонимными. Все, чего я пытаюсь достичь, это то, что все запросы API могут использоваться только для сторонних интерфейсов сторонних разработчиков.

Я нашел много статей о том, как защитить API загрузки Spring с помощью аутентификации пользователя. Но мне не нужна аутентификация пользователей. То, о чем я думаю, просто предоставляет моему клиенту ключ API и секрет, поэтому он имеет доступ к конечным точкам.

Не могли бы вы предложить мне, как я могу это достичь? Спасибо!

Ответ 1

Создайте фильтр, который захватывает заголовки, которые вы используете для аутентификации.

import org.springframework.security.web.authentication.preauth.AbstractPreAuthenticatedProcessingFilter;

public class APIKeyAuthFilter extends AbstractPreAuthenticatedProcessingFilter {

    private String principalRequestHeader;

    public APIKeyAuthFilter(String principalRequestHeader) {
        this.principalRequestHeader = principalRequestHeader;
    }

    @Override
    protected Object getPreAuthenticatedPrincipal(HttpServletRequest request) {
        return request.getHeader(principalRequestHeader);
    }

    @Override
    protected Object getPreAuthenticatedCredentials(HttpServletRequest request) {
        return "N/A";
    }

}

Настройте фильтр в конфигурации Web Security.

import org.springframework.beans.factory.annotation.Value;
import org.springframework.context.annotation.Configuration;
import org.springframework.core.annotation.Order;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.authentication.BadCredentialsException;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.config.http.SessionCreationPolicy;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.AuthenticationException;

@Configuration
@EnableWebSecurity
@Order(1)
public class APISecurityConfig extends WebSecurityConfigurerAdapter {

    @Value("${yourapp.http.auth-token-header-name}")
    private String principalRequestHeader;

    @Value("${yourapp.http.auth-token}")
    private String principalRequestValue;

    @Override
    protected void configure(HttpSecurity httpSecurity) throws Exception {
        APIKeyAuthFilter filter = new APIKeyAuthFilter(principalRequestHeader);
        filter.setAuthenticationManager(new AuthenticationManager() {

            @Override
            public Authentication authenticate(Authentication authentication) throws AuthenticationException {
                String principal = (String) authentication.getPrincipal();
                if (!principalRequestValue.equals(principal))
                {
                    throw new BadCredentialsException("The API key was not found or not the expected value.");
                }
                authentication.setAuthenticated(true);
                return authentication;
            }
        });
        httpSecurity.
            antMatcher("/api/**").
            csrf().disable().
            sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS).
            and().addFilter(filter).authorizeRequests().anyRequest().authenticated();
    }

}

Ответ 2

@Value ("$ {yourapp.http.auth-token-header-name}") приватная строка String PrincipalRequestHeader;

@Value("${yourapp.http.auth-token}")
private String principalRequestValue;

какой из них является ключевым, а какой секретным? Нужно ли добавить это в мой файл application.properties?