タグ検索の該当結果が少ないため、タイトル検索結果を表示しています。
この記事について 最近(5.4〜6.0)のSpring Securityでは、セキュリティ設定の書き方が大幅に変わりました。その背景と、新しい書き方を紹介します。 非推奨になったものは、将来的には削除される可能性もあるため、なるべく早く新しい書き方に移行することをおすすめします。(既に削除されたものもあります) この記事は、Spring Securityのアーキテクチャの理解(Filter Chain、 AuthenticationManager 、 AccessDecisionManager など)を前提としています。あまり詳しくない方は、まずopengl_8080さんのブログを読むことをおすすめします。 サンプルコード -> https://github.com/MasatoshiTada/spring-security-intro 忙しい人のためのまとめ @Configuration
Pivotal認定講師によるSpring Framework 5.1 & Spring Boot 2.1ハンズオン! #jjug_ccc
長い話を抜きにして、早くコードを書きたいという人は1. はじめにを飛ばしてください。 Spring初学者は2. プロジェクトの作成から、 簡易な認証・認可機能を実装したい人は3. 簡易な認証・認可機能の実装から、 実業務向けの認証・認可機能を実装したい人は4. 実業務向け認証・認可機能の実装から読み始めると良いと思います。 1. はじめに 1-1. 背景 まず最初に、認証・認可について説明します。簡単に説明すると、以下のようになります。(詳しく知りたい人への参考ページ:よくわかる認証と認可) 認証 (Authentication) 通信相手が誰であるかを確認すること。 認可 (Authorization) 画面にアクセスする権限や処理を行う権限など特定の条件に対して、リソースアクセスの権限を与えること。 この認証・認可の機能をSpring Frameworkで作成されたWebアプリケーショ
最新の6.0で学ぶ! 初めてのひとのための Spring Security (株)クレディセゾン 多田真敏 2022年6月28日(2023年1月改訂) JSUG勉強会 1 このセッションについて ▸ Spring Securityの最新情報に基づいて、 基礎から丁寧に解説します ▸ 対象者 ▸ [必須] この資料レベルのSpringのDIコンテナ・Spring MVC ・Spring JDBC・Spring Bootの知識がある方 ▸ Spring Securityを使うのが初めての方 or Spring Securityを使ったことはあるけど知識をアップデートしたい方 ▸ 以下はスコープ外とします ▸ OAuth、OpenID Connect、SAML、Kotlin、WebFlux 2 https://www.docswell.com/s/MasatoshiTada/5Q4EMZ-spr
Spring Security 5.3.3で Resource Server を構成する | DevelopersIO
はじめに Spring Boot + Spring Security を利用して OAuth 2.0 の Token Introspection を利用した Resource Server を構成してみます。 環境 Java: openjdk 11.0.6 2020-01-14 LTS SpringBoot: 2.3.1.RELEASE SpringSecurity: 5.3.3.RELEASE 目的 「Spring Bootで単純なWebアプリケーションを作成し、/health エンドポイント以外すべて TokenIntrospection による AccessToken のチェックを入れて保護する」ことが目的です。それのための最小構成です。 SpringSecurity Current Reference Spring Bootアプリケーションを構成 ごくありふれたサンプルを作成します
Spring Security は割となんとなくで動作してくれるイメージだけど、カスタマイズしようとするとハマったりするので、アーキテクチャを知れば何とか分かるようになるのではないかという発想から調べてまとめてみた。 以下のようなフォーム認証を行うシナリオに沿って、どのようなクラスがどのような役割を担っているのかを調べる。 未認証の状態で認証が必要なページへアクセスする ログイン画面にリダイレクトされる 情報を入力しログイン処理を実行する ログインが完了し 1でアクセスしていた画面にリダイレクトされる なお、バージョンは 5.2.1.RELEASE で確認している。 ログイン画面へリダイレクトされるまで 認証が必要なページに対してまだ認証されていないユーザがアクセスした場合、ログイン画面へ飛ばされる仕組みについて。 ざっくりとしたフローは以下の通り。なお、今回はアクセスした際のチェック処理
【Spring】Spring Securityを使ってWeb APIの認証、認可を行う | SEのプログラミングと英語の勉強ブログ
やりたいこと Spring MVCの@RestControllerを使って作成したWeb APIに対する認証、認可をリクエスト中のAuthorizationヘッダの値で行います。この認可はリクエストごとに行います。 実装方法の概要 実装方法の概要は以下の様になります。 リクエスト中のAuthorizationヘッダの値によって認証、認可処理を行うためのフィルター、サービスを作成する Spring Securityでリクエストごとに認可処理を行うためにセッションを使用しないよう設定する。 @RestConrollerを付けたクラスのメソッドに必要な権限を持っているかをチェックするために@PreAuthorize(“hasAuthority('権限名’)")のように@PreAuthorizeアノテーションをつける 以下の環境で動作確認しています。 Java 11 Spring Boot 2.3
Spring WebFlux × Spring Securityで動的にOAuth 2.0クライアント情報を取得する - asoview! Tech Blog
こちらの記事は、アソビュー! Advent Calendar 2023の20日目(B面)です。 こんにちは! アソビューでバックエンドエンジニアをしている島田です。 そろそろクリスマスが近づいていますが、4歳の息子に去年は3歳で3つのプレゼントがあったから今年は4つだよね?と末恐ろしいことを言われて恐々としています... (お菓子セットで逃げようかと思います) さて本題ですが、SaaS向けシステムの新規開発を行い、その中でSpring Cloud GatewayにSpring SecurityのOAuth 2.0クライアントを実装しました。 アソビューのバックエンドシステムは、さまざまなアプリケーションで構成されており、それぞれがマイクロサービスとして運用されています。 これにより、バックエンドは分散した形態をとっていますが、外部に公開するAPIに関しては、ユーザーに対して統一感のあるイン
Spring Security with Spring Boot 2.1でシンプルなデモサイトを作成する - Qiita
概要 以前に『Spring Security with Spring Boot 2.0で簡単なRest APIを実装する』という記事を作成しましたが、今回画面のあるシンプルなデモサイトを作成しましたので改めて記事を作成しました。 ソースコードはrubytomato/demo-java12-securityにあります。 環境 Windows 10 Professional 1903 OpenJDK 12.0.2 Spring Boot 2.1.9 Spring Security 5.1.6 MySQL 8.0.17 参考 Spring Security Reference Doc Spring Security API Doc 作成するデモサイトの主な機能 アカウント登録・削除機能 アカウント登録内容の変更機能 メールアドレス/パスワードでログイン ログアウト ロールによるアクセス制御 セッ
Spring Security をわかりやすく(認証全体像編・その1) - カジュアルな技術ノート
何回かに渡って Spring Security の認証を扱っていきたいと思います。 Spring Security を触ったことのある人にまず聞いてみたいのですが、認証の実装に対してどんな印象を持っていますか? いままで何人かの人にこの質問をぶつけてみましたが、 とても直感的にはわかりにくい という声を聞いております(かくいう僕自身、何度か挫折しました。。)。 よくわからないクラスがたくさん登場したり、必要な実装自体が非常に部分的だったりするので、全体像がよく見えなくなりがちです。 少しずつ全体像が見えるように。。 今回は Spring Security 認証の中でも、 結局ログインって何をやってるのか 結局ログイン済みユーザーかどう判断しているのか と行ったところをざっくりと説明していきます。 一般的なログイン認証の話 最初に一般的なログイン認証の話をします。 ログイン認証では、ユーザー
本記事は 【Advent Calendar 2023】 11日目の記事です。 🎄 10日目 ▶▶ 本記事 ▶▶ 12日目 🎅 はじめに こんにちは、去年の11月に中途入社した上村です。転職してから1年となり、時間が経つのが早いと感じます... 私はSpring Bootを用いたWebアプリケーションに業務で携わっています。その中で、CSRF(クロスサイトリクエストフォージェリ)という脆弱性に触れる機会がありました。Spring Securityの機能により、CSRF対策が簡単にできることを学んだので、紹介していきます。 CSRFとは CSRFとは、Webアプリケーションの脆弱性の一つです。本来拒否すべきリクエストを受信して処理してしまう脆弱性、もしくはその脆弱性を突く攻撃を表します。 通販システムを例として説明します。この通販システム向けの攻撃用サイトを攻撃者が予め用意しておきます。正
spring-security │ build.gradle └─src ├─main │ ├─java │ │ └─com │ │ └─example │ │ └─security │ │ └─springsecurity │ │ │ ServletInitializer.java │ │ │ SpringsecurityApplication.java │ │ │ WebSecurityConfig.java │ │ │ │ │ └─account │ │ Account.java │ │ AccountRepository.java │ │ AccountService.java │ │ AuthController.java │ │ │ └─resources │ │ application.properties │ │ hibernate.properties │ │ │ ├─s
spring securityを使用してファイルアップロード
Spring Securityは、Springのサブプロジェクトの一つでWebアプリケーションに必要な機能を追加します。正規ユーザーであるかを確認するための「認証機能」と、ユーザーのアクセスを制御する「認可機能」を簡単に追加することが可能です。 Javaは、1995年にサン・マイクロシステムズが開発したプログラミング言語です。表記法はC言語に似ていますが、既存のプログラミング言語の短所を踏まえていちから設計されており、最初からオブジェクト指向性を備えてデザインされています。セキュリティ面が強力であることや、ネットワーク環境での利用に向いていることが特徴です。Javaで作られたソフトウェアは基本的にいかなるプラットフォームでも作動します。
Spring Securityを使って、3つ以上のパラメータをJSON形式で認証する - Qiita
@Getter @Setter public class LoginUser extends org.springframework.security.core.userdetails.User{ private long userId; private String userName; // 他に保持したいプロパティがあれば追加 } public class CustomAuthenticationFilter extends UsernamePasswordAuthenticationFilter { @Override public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) { try { Principal principal = ne
OAuth 2.0 with Spring Security #jjug_ccc #jjug_ccc_b / oauth2-with-spring-security
JJUG CCC 2020 Fallでの講演資料です。Spring SecurityのOAuth 2.0機能について解説しています。OAuth 2.0自体は理解している前提の、中級者向け資料です。
Engineering | Eleftheria Stein-Kousathana | February 21, 2022 | ... In Spring Security 5.7.0-M2 we deprecated the WebSecurityConfigurerAdapter, as we encourage users to move towards a component-based security configuration. To assist with the transition to this new style of configuration, we have compiled a list of common use-cases and the suggested alternatives going forward. In the examples belo
Spring Security と Spring Bootで最小機能のデモアプリケーションを作成する - Qiita
概要 これからSpring Securityについて調べようとしている方向けに、認証・認可の動作確認ができるサイトを、なるべくコードや設定を書かずに最小限の機能だけを実装したデモアプリケーションです。 ユーザー情報はデータベースから取得するようにしていますが、すぐに動作確認ができるようにデータベースにインメモリモードのH2を使用しています。 ソースコードはrubytomato / demo-spring-security-simpleにあります。 環境 Windows 10 Professional 1909 OpenJDK 13.0.2 Spring Boot 2.2.4 Spring Security 5.2.1 H2 Gradle 参考 Spring Security Reference Doc Spring Security API Doc Spring Security Arch
簡単に紹介している記事ばかりだったけど実際に手を動かすと意外とやることが多かった。。。私くらいのspring初心者の方の参考になればいいなーと思い書きました。ご指摘いただけると嬉しいです。 ログイン処理への道のり ■Spring Securityとは ・Securityで提供している認証方式として、DB認証、LDAP認証、CAS認証、JAAS認証、X509認証、Basic認証がサポートされている。 今回はDB認証を行います。 ■期待する結果 やること ・1.build.gradle内容の追加 ・2.SecurityConfigで認証設定 ・3.UserDetailsServiceインタフェースの実装(認証情報の取得(レルムを作る)) ・4.LoginUserクラスを作成する ・5.Controllerの作成 ・6.HTMLの作成 主な手順は6つです。 先にデモを【github】へあげておき
🗃 {Programming/Java/org/springframework/security/web/authentication} 🏷 Java 🏷 Spring Boot 🏷 Spring Security 🏷 2FA 🏷 MFA 🗓 Updated at 2023-09-08T08:03:26Z 🗓 Created at 2023-09-08T08:01:09Z 🌎 English Page Spring Securityで2要素認証 (2FA) を行う方法をメモします。 今回の実装は2要素に限定しているので、ここでは多要素認証 (MFA)というより2FAと明示しておきます。 "Spring Security 2FA" でGoogle検索すると、次の2例が見つかります。 https://www.baeldung.com/spring-security-tw
KotlinとSpring Security 6.xを使って、Introspection Endpointでトークンを検証するOAuth2のリソースサーバ−を実装する | DevelopersIO
KotlinとSpring Security 6.xを使って、Introspection Endpointでトークンを検証するOAuth2のリソースサーバ−を実装する AWS事業本部サービス部の佐藤です。 この前までTypeScriptばっかり触っていたのに、気づけばJavaとSpring Bootばかり触っていますね… KotlinとSpring Security 6.xを使ってOAuth2のリソースサーバーを試す機会がありましたので、手順を残そうと思います。2023年3月時点ではSpring Boot 3.xを使っているためSpring Security 6.xを使うことになるのですが、あまりネット上に情報が少なかったのとハマった部分も多かったので記事にしました。現在のSpring Security書き方をするように意識し、非推奨の書き方はしないようにしています。 新しいSpring
はじめに Spring Security を使用して、ログイン機能の実装です。 今回はデフォルトのログイン画面で、ユーザ認証もDBからは取得しません。 次回以降にDBから認証に必要な情報取得やカスタムログインページの作成をやる予定 バージョン ・Spring Boot3 ・SpringSecurity6 プロジェクトの作成 application.properties の設定 (今回はDB接続は行いませんが、DBを使用する前提でプロジェクトは作成しているため、DBの設定が必要となる) spring.jpa.database=POSTGRESQL spring.datasource.url=jdbc:postgresql://localhost:5432/postgres spring.datasource.username=ユーザ名 spring.datasource.password=パ
REST with Spring The canonical reference for building a production grade API with Spring Learn Spring Security ▼▲ THE unique Spring Security education if you’re working with Java today
🗃 {Programming/Java/org/springframework/security/crypt/password} 🏷 Java 🏷 Spring Boot 🏷 Spring Security 🗓 Updated at 2023-08-17T12:32:42Z 🗓 Created at 2023-08-17T10:43:10Z 🌎 English Page Spring Securityでログイン時にデータベース上の保存されたエンコードされたパスワードを別のアルゴリズムで再度エンコードして保存する方法を紹介します。 変更の手順を先に説明すると、 DelegatingPasswordEncoderのidForEncodeを変える UserDetailsPasswordServiceを実装する ログインし直す です。 以下、少しずつ説明します。 目次 一般的な
前回まで Spring Security その1〜ログイン機能の実装 Spring Security その2〜DB認証 Spring Security その2.5〜デフォルトのログアウト画面 今回はログイン画面を作成し、作成したログイン画面を使用して認証します。 ログインページの作成 今回はあえて、ユーザ名の項目を「accountId」。パスワードを「pw」としています。 ※デフォルトはusernameとpasswordです。 <!doctype html> <html xmlns:th="http://www.thymeleaf.org"> <head> <meta charset="utf-8"> <meta name="viewport" content="width=device-width, initial-scale=1"> <title>ログイン</title> <!-- B
今回の目標 前回はUserDetailsの実装について説明しました。 【Spring Security はじめました】#5 ユーザーの実装今回はSpring Securityで認証に使用するユーザー情報の実装について説明します。具体的にはUserDetailsインターフェースを実装するクラスを作成します。b1tblog.com2020.02.27 今回はSpring Securityで行えるセッション管理とRemember Meについて説明をします。 セッションの設定 セッションに関する設定はプロパティとしてapplication.yml(properties)に設定します。これはSpring Bootの共通の設定なので、Spring Securityに関係なく設定できます。 プロパティについてはこちらを参考にしてください。 Spring Boot アプリケーションプロパティ設定一覧 -
Spring Securityで再認証を実装してみる
Spring Securiyで再認証するサンプルアプリを作ってみたいと思います この実装が正しいかどうかいまいちわかりません。もっとこうした方がいい等あればコメント頂けると嬉しいです バグがあるかもしれません はじめに 再認証とは ここでは 以下の 1 の事として話を進めます 重要な処理の前、機密性の高い情報を表示する前にユーザー認証を行うこと パスワード変更、アカウント削除、バックアップコード表示、など セッションハイジャック対策、CSRF対策 ログインしたままでいる場合、定期的にユーザー認証すること 参考 徳丸 浩. 体系的に学ぶ 安全なWebアプリケーションの作り方 第2版 4.6.2 推測可能なセッションID 成りすましの影響 5.2.7アカウント管理のまとめ OWASP Application Security Verification Standard 4.0 - 3.7.1
概要 Spring Security を使う場合、Spring WebFlux と Spring MVC では仕組みが異なっています。このため、Spring MVC と併せて使う場合のカスタマイズ方法と Spring WebFlux と併せて使う場合のカスタマイズ方法も異なります。Spring Security を Spring WebFlux と併せて使う場合のカスタマイズ方法を少しだけ調べました。なお、コードは Kotlin で書かれています。 目次 概要 目次 確認環境 参考情報 解説 仕組み カスタマイズ Spec の設定を変える WebFilter を新規作成して登録する 確認環境 Spring Boot 2.0.3 Kotlin 1.2.50 参考情報 Spring Security 5.0 解剖速報 概略、クラス構造、基本的な使い方 GitHub - raphaelDL/sp
認証が辛い!! もっと楽に安全に認証したい。したいですよね? そういえば、ALBがOIDC認証に対応していたな、Spring Securityに食わせれば手間いらずで認証できるんじゃ・・・? 事前準備 ALBのhttps設定は以下を参考に設定 https://qiita.com/Yuki_BB3/items/fd410ef29935169aad9d Amazon CognitoやGoogle Identity PlatformでOIDCの設定をする ALBの仕様 検証が成功してターゲットグループ(Spring Securityが載ってるアプリ)を呼ぶときにはヘッダーのx-amzn-oidc-dataにJWTを乗せて送ってくる。 2回目以降もセッションが有効であれば毎回ちゃんと乗せてくれる。 有効期限(exp)は3分ぐらいとかなり短い(厳密には計ってない) 署名はECDSA + P-256
How to reload authorities on user update with Spring Security
I'm doing an application with authentication by OpenID using Spring Security. When user is logged-in, some authorities are loaded in his session. I have User with full right which can modify authorities (revoke, add roles) of others users. My question is, how to change User session authorities dynamically ? (cannot use SecurityContextHolder because I want to change another User session). Simple wa
OpenID Connect 1.0 with Spring Security #jjug_ccc #jjug_ccc_b / oidc-with-spring-security
OpenID Connect 1.0は、OAuth 2.0をベースとした認証プロトコルです。このセッションでは次の内容をわかりやすく解説します。 - OpenID Connect 1.0の概要とフロー - なぜOAuthは「認可」でOpenID Connectは「認証」なのか - Spring Securityの利用方法 このセッションは中級者向けです。次の知識を前提として解説します。 - OAuth 2.0の認可コードグラントのフローを説明できる - Spring Security 5.xのOAuth 2.0機能を使ったことがある(既に非推奨となっている「Spring Security OAuth2」ではありません)
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
![[書評] クラウド時代の負荷試験の基本が学べる一冊 – 「Amazon Web Services負荷試験入門」 | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/b5997c5ab7fbf7036f0ffc815c02cb36935bfa1b/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2024%2F05%2F9784774192628.jpg)
Spring Security 5.4〜6.0でセキュリティ設定の書き方が大幅に変わる件 - Qiita
Form認証で学ぶSpring Security入門
新人社員がSpring Securityで認証・認可機能を一から作ってみた - Qiita
最新の6.0で学ぶ!初めてのひとのためのSpring Security | ドクセル
Spring Security の認証処理アーキテクチャを学ぶ - Qiita
Spring Securityで簡単にCSRF対策ができる - NRIネットコムBlog
SpringBoot + Spring Securityで認証を行う - Qiita
Spring Security without the WebSecurityConfigurerAdapter
Spring Securityでログイン機能 - Qiita
Spring Securityで2要素認証 (2FA) を行う方法 - IK.AM
Spring Security その1〜ログイン機能の実装 - Qiita
Spring Security - Whitelist IP Range | Baeldung
Spring Securityでログイン時にパスワードハッシュアルゴリズムを変更する方法 - IK.AM
Spring Security その3〜ログイン画面のカスタマイズ - Qiita
【Spring Security はじめました】#6 セッション管理
Spring WebFlux で Spring Security の認証と認可を使う - NOSIX
ALBのOIDC認証をSpring Securityで使用してみた。 - Qiita
www.wwdjapan.com
weel.co.jp
carview.yahoo.co.jp
meguro-geka.jp
wanibooks-newscrunch.com
koubodatabase.com