ਕਸਟਮ ਪ੍ਰਮਾਣੀਕਰਣ ਦੇ ਨਾਲ ਇੱਕ ਰੀਐਕਟ-ਸਪਰਿੰਗ ਐਪ ਵਿੱਚ 401 ਅਣਅਧਿਕਾਰਤ ਸਪਰਿੰਗ ਸੁਰੱਖਿਆ ਗਲਤੀਆਂ ਨੂੰ ਠੀਕ ਕਰਨਾ

ਕਸਟਮ ਪ੍ਰਮਾਣੀਕਰਣ ਦੇ ਨਾਲ ਇੱਕ ਰੀਐਕਟ-ਸਪਰਿੰਗ ਐਪ ਵਿੱਚ 401 ਅਣਅਧਿਕਾਰਤ ਸਪਰਿੰਗ ਸੁਰੱਖਿਆ ਗਲਤੀਆਂ ਨੂੰ ਠੀਕ ਕਰਨਾ
ਕਸਟਮ ਪ੍ਰਮਾਣੀਕਰਣ ਦੇ ਨਾਲ ਇੱਕ ਰੀਐਕਟ-ਸਪਰਿੰਗ ਐਪ ਵਿੱਚ 401 ਅਣਅਧਿਕਾਰਤ ਸਪਰਿੰਗ ਸੁਰੱਖਿਆ ਗਲਤੀਆਂ ਨੂੰ ਠੀਕ ਕਰਨਾ
Daniel Marino
ਸ਼ੁੱਕਰਵਾਰ, 15 ਨਵੰਬਰ 2024 11:05:43 ਪੂ.ਦੁ.

ਕਸਟਮ ਲੌਗਇਨ ਲਾਗੂਕਰਨਾਂ ਵਿੱਚ ਬਸੰਤ ਸੁਰੱਖਿਆ ਦੇ ਪ੍ਰਮਾਣੀਕਰਨ ਮੁੱਦਿਆਂ ਨੂੰ ਡੀਬੱਗ ਕਰਨਾ

ਤੁਹਾਡੇ ਸਪਰਿੰਗ ਸੁਰੱਖਿਆ ਪ੍ਰੋਜੈਕਟ ਵਿੱਚ ਇੱਕ 401 ਅਣਅਧਿਕਾਰਤ ਗਲਤੀ ਦਾ ਸਾਹਮਣਾ ਕਰਨਾ ਨਿਰਾਸ਼ਾਜਨਕ ਹੋ ਸਕਦਾ ਹੈ, ਖਾਸ ਕਰਕੇ ਜਦੋਂ ਲਾਗਇਨ ਸੰਰਚਨਾ ਸਹੀ ਢੰਗ ਨਾਲ ਸੈੱਟ ਕੀਤੀ ਜਾਪਦੀ ਹੈ। 😣 ਬਹੁਤ ਸਾਰੇ ਡਿਵੈਲਪਰ, ਬਸੰਤ ਸੁਰੱਖਿਆ ਦੇ ਪੂਰਵ-ਨਿਰਧਾਰਤ ਤੋਂ ਬਾਹਰ ਇੱਕ ਕਸਟਮ ਲੌਗਇਨ ਪੰਨਾ ਲਾਗੂ ਕਰਦੇ ਹੋਏ, ਆਪਣੇ ਐਪ ਦੇ ਬੈਕਐਂਡ ਸਰੋਤਾਂ ਨੂੰ ਸੁਰੱਖਿਅਤ ਕਰਨ ਦੀ ਕੋਸ਼ਿਸ਼ ਕਰਦੇ ਸਮੇਂ ਇਸ ਸਮੱਸਿਆ ਦਾ ਸਾਹਮਣਾ ਕਰਦੇ ਹਨ।

ਇਹ ਮੁੱਦਾ ਉਦੋਂ ਪੈਦਾ ਹੋ ਸਕਦਾ ਹੈ ਜਦੋਂ ਇੱਕ ਫਰੰਟ-ਐਂਡ ਫਰੇਮਵਰਕ ਜਿਵੇਂ React ਲੌਗਇਨ ਪੰਨੇ ਦਾ ਪ੍ਰਬੰਧਨ ਕਰਦਾ ਹੈ ਅਤੇ ਸਪਰਿੰਗ ਸੁਰੱਖਿਆ ਦੇ ਫਾਰਮ-ਅਧਾਰਿਤ ਲੌਗਇਨ ਸੈੱਟਅੱਪ ਨੂੰ ਬਾਈਪਾਸ ਕਰਦੇ ਹੋਏ, ਬੈਕਐਂਡ ਨਾਲ ਸੰਚਾਰ ਕਰਦਾ ਹੈ। ਅਜਿਹੇ ਸੈੱਟਅੱਪਾਂ ਵਿੱਚ, ਬਸੰਤ ਸੁਰੱਖਿਆ ਇੱਕ ਪ੍ਰਮਾਣਿਤ ਸੈਸ਼ਨ ਨੂੰ ਪਛਾਣਨ ਵਿੱਚ ਅਸਫਲ ਹੋ ਸਕਦੀ ਹੈ, ਜਿਸ ਨਾਲ ਜਦੋਂ ਤੁਸੀਂ ਸੁਰੱਖਿਅਤ ਸਰੋਤਾਂ ਦੀ ਵਰਤੋਂ ਕਰਨ ਦੀ ਕੋਸ਼ਿਸ਼ ਕਰਦੇ ਹੋ ਤਾਂ ਪਹੁੰਚ ਤੋਂ ਇਨਕਾਰ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ।

ਇਸ ਲੇਖ ਵਿੱਚ, ਅਸੀਂ ਇੱਕ ਜਾਪਦੇ ਸਫਲ ਲੌਗਇਨ ਤੋਂ ਬਾਅਦ ਇਸ ਅਣਅਧਿਕਾਰਤ ਪਹੁੰਚ ਗਲਤੀ ਦੇ ਪਿੱਛੇ ਦੇ ਆਮ ਕਾਰਨਾਂ ਵਿੱਚ ਡੁਬਕੀ ਲਗਾਵਾਂਗੇ। ਬਸੰਤ ਦੇ ਸੁਰੱਖਿਆ ਸੰਦਰਭ ਅਤੇ ਸੈਸ਼ਨ ਪ੍ਰਬੰਧਨ ਦੀ ਭੂਮਿਕਾ ਨੂੰ ਸਮਝ ਕੇ, ਤੁਸੀਂ ਇੱਕ ਕਸਟਮ ਸੈੱਟਅੱਪ ਵਿੱਚ ਇਸ ਮੁੱਦੇ ਨੂੰ ਕਿਵੇਂ ਹੱਲ ਕਰਨਾ ਹੈ ਬਾਰੇ ਸਪਸ਼ਟਤਾ ਪ੍ਰਾਪਤ ਕਰੋਗੇ।

ਆਉ ਇਹ ਯਕੀਨੀ ਬਣਾਉਣ ਲਈ ਵਿਹਾਰਕ ਰਣਨੀਤੀਆਂ ਦੀ ਪੜਚੋਲ ਕਰੀਏ ਕਿ ਤੁਹਾਡਾ ਪ੍ਰਮਾਣੀਕਰਨ ਤਰਕ ਲਗਾਤਾਰ ਸਹੀ ਸੈਸ਼ਨ ਸਥਿਤੀ ਨੂੰ ਸੈੱਟ ਕਰਦਾ ਹੈ, ਤੁਹਾਡੀ ਐਪਲੀਕੇਸ਼ਨ ਵਿੱਚ ਨਿਰਵਿਘਨ, ਅਧਿਕਾਰਤ ਪਹੁੰਚ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਂਦਾ ਹੈ। 🚀

ਹੁਕਮ ਵਰਤੋਂ ਦੀ ਉਦਾਹਰਨ
sessionManagement ਇਹ ਕਮਾਂਡ ਕੌਂਫਿਗਰ ਕਰਦੀ ਹੈ ਕਿ ਬਸੰਤ ਸੁਰੱਖਿਆ HTTP ਸੈਸ਼ਨਾਂ ਨੂੰ ਕਿਵੇਂ ਹੈਂਡਲ ਕਰਦੀ ਹੈ। session.sessionCreationPolicy(SessionCreationPolicy.STATELESS) ਦੀ ਵਰਤੋਂ ਕਰਨਾ ਯਕੀਨੀ ਬਣਾਉਂਦਾ ਹੈ ਕਿ ਹਰੇਕ ਬੇਨਤੀ ਨੂੰ ਵੱਖਰੇ ਤੌਰ 'ਤੇ ਪ੍ਰਮਾਣਿਤ ਕੀਤਾ ਗਿਆ ਹੈ, ਜੋ ਕਿ REST-ਅਧਾਰਿਤ, ਟੋਕਨ-ਪ੍ਰਮਾਣਿਤ ਸੈੱਟਅੱਪਾਂ ਵਿੱਚ ਅਕਸਰ ਵਰਤੇ ਜਾਂਦੇ ਸਟੇਟਲੈੱਸ API ਲਈ ਜ਼ਰੂਰੀ ਹੈ।
OncePerRequestFilter OncePerRequestFilter ਇੱਕ ਬਸੰਤ ਸੁਰੱਖਿਆ ਫਿਲਟਰ ਹੈ ਜੋ ਪ੍ਰਤੀ ਬੇਨਤੀ ਇੱਕ ਸਿੰਗਲ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਦੀ ਗਰੰਟੀ ਦਿੰਦਾ ਹੈ। ਇਸਦੀ ਵਰਤੋਂ ਕਸਟਮ ਪ੍ਰਮਾਣਿਕਤਾ ਫਿਲਟਰਾਂ ਵਿੱਚ ਇਹ ਯਕੀਨੀ ਬਣਾਉਣ ਲਈ ਕੀਤੀ ਜਾਂਦੀ ਹੈ ਕਿ ਪ੍ਰਮਾਣਿਕਤਾ ਤਰਕ ਹਰ ਇੱਕ ਬੇਨਤੀ ਲਈ ਬਿਨਾਂ ਰਿਡੰਡੈਂਸੀ ਦੇ ਲਗਾਤਾਰ ਲਾਗੂ ਕੀਤਾ ਜਾਂਦਾ ਹੈ।
SecurityContextHolder SecurityContextHolder.getContext().setAuthentication(ਪ੍ਰਮਾਣਿਕਤਾ) ਨੂੰ ਕਾਲ ਕਰਨ ਦੁਆਰਾ, ਇਹ ਕਮਾਂਡ ਸੁਰੱਖਿਆ ਸੰਦਰਭ ਵਿੱਚ ਪ੍ਰਮਾਣਿਤ ਉਪਭੋਗਤਾ ਦੇ ਵੇਰਵਿਆਂ ਨੂੰ ਸੈੱਟ ਕਰਦੀ ਹੈ, ਇਹ ਯਕੀਨੀ ਬਣਾਉਂਦੀ ਹੈ ਕਿ ਬਸੰਤ ਸੁਰੱਖਿਆ ਮੌਜੂਦਾ ਸੈਸ਼ਨ ਲਈ ਪ੍ਰਮਾਣਿਤ ਵਜੋਂ ਉਪਭੋਗਤਾ ਦੀ ਪਛਾਣ ਕਰਦੀ ਹੈ।
DaoAuthenticationProvider ਇਹ ਕਮਾਂਡ ਨਵੀਂ DaoAuthenticationProvider() ਇੱਕ ਖਾਸ ਉਪਭੋਗਤਾ ਵੇਰਵੇ ਸੇਵਾ ਅਤੇ ਪਾਸਵਰਡ ਏਨਕੋਡਰ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਪ੍ਰਮਾਣਿਕਤਾ ਸੈਟ ਅਪ ਕਰਦੀ ਹੈ, ਉਪਭੋਗਤਾ ਡੇਟਾਬੇਸ ਦੇ ਅਧਾਰ ਤੇ ਕਸਟਮ ਪ੍ਰਮਾਣਿਕਤਾ ਦੀ ਆਗਿਆ ਦਿੰਦੀ ਹੈ ਅਤੇ ਸੁਰੱਖਿਅਤ ਪਾਸਵਰਡ ਹੈਂਡਲਿੰਗ ਨੂੰ ਯਕੀਨੀ ਬਣਾਉਂਦਾ ਹੈ।
MockMvcRequestBuilders.post ਯੂਨਿਟ ਟੈਸਟਾਂ ਵਿੱਚ ਇਹ ਕਮਾਂਡ ਇੱਕ HTTP POST ਬੇਨਤੀ ਦੀ ਨਕਲ ਕਰਦੀ ਹੈ, ਜਿਵੇਂ ਕਿ mockMvc.perform(MockMvcRequestBuilders.post("/login")) ਵਿੱਚ ਦੇਖਿਆ ਗਿਆ ਹੈ। ਇਹ ਕੰਟਰੋਲਰ ਦੇ ਅੰਤਮ ਬਿੰਦੂ ਨੂੰ ਸਿੱਧੇ HTTP ਬੇਨਤੀਆਂ ਭੇਜ ਕੇ ਸਪਰਿੰਗ MVC ਕੰਟਰੋਲਰਾਂ ਦੀ ਜਾਂਚ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਂਦਾ ਹੈ।
authorizeHttpRequests ਇਹ ਕਮਾਂਡ ਦੱਸਦੀ ਹੈ ਕਿ ਕਿਹੜੀਆਂ ਬੇਨਤੀਆਂ ਲਈ ਪ੍ਰਮਾਣਿਕਤਾ ਦੀ ਲੋੜ ਹੈ ਅਤੇ ਕਿਹੜੀਆਂ ਜਨਤਕ ਤੌਰ 'ਤੇ ਪਹੁੰਚਯੋਗ ਹਨ। authorize.requestMatchers("/user/login").permitAll() ਲੌਗਿਨ ਅਤੇ ਰਜਿਸਟ੍ਰੇਸ਼ਨ ਐਂਡਪੁਆਇੰਟਸ ਨੂੰ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਤੋਂ ਬਿਨਾਂ ਐਕਸੈਸ ਕਰਨ ਦੀ ਆਗਿਆ ਦਿੰਦਾ ਹੈ।
TokenProvider ਟੋਕਨਪ੍ਰੋਵਾਈਡਰ ਵਰਗੀ ਇੱਕ ਕਸਟਮ ਕਲਾਸ ਦੀ ਵਰਤੋਂ JWT ਟੋਕਨਾਂ ਨੂੰ ਬਣਾਉਣ ਅਤੇ ਪ੍ਰਬੰਧਨ ਲਈ ਕੀਤੀ ਜਾਂਦੀ ਹੈ। ਇਹ ਕਲਾਸ ਮਾਡਿਊਲਰ, ਮੁੜ ਵਰਤੋਂ ਯੋਗ, ਅਤੇ ਸੁਰੱਖਿਅਤ ਟੋਕਨ ਹੈਂਡਲਿੰਗ ਨੂੰ ਯਕੀਨੀ ਬਣਾਉਣ ਲਈ ਟੋਕਨ ਬਣਾਉਣ ਦੇ ਤਰਕ ਨੂੰ ਸ਼ਾਮਲ ਕਰਦਾ ਹੈ, ਟੋਕਨ-ਅਧਾਰਿਤ ਪ੍ਰਮਾਣਿਕਤਾ ਵਿੱਚ ਮਹੱਤਵਪੂਰਨ।
csrf().disable() Disabling CSRF is critical in stateless API configurations, particularly for REST APIs without session-based login. csrf(csrf ->CSRF ਨੂੰ ਅਸਮਰੱਥ ਕਰਨਾ ਸਟੇਟਲੈੱਸ API ਸੰਰਚਨਾਵਾਂ ਵਿੱਚ ਮਹੱਤਵਪੂਰਨ ਹੈ, ਖਾਸ ਤੌਰ 'ਤੇ ਸੈਸ਼ਨ-ਅਧਾਰਿਤ ਲੌਗਿਨ ਤੋਂ ਬਿਨਾਂ REST API ਲਈ। csrf(csrf -> csrf.disable()) ਆਮ ਤੌਰ 'ਤੇ ਟੋਕਨ-ਅਧਾਰਿਤ ਪ੍ਰਮਾਣਿਕਤਾ ਦੀ ਵਰਤੋਂ ਕਰਨ ਵਾਲੀਆਂ ਐਪਲੀਕੇਸ਼ਨਾਂ ਲਈ ਜ਼ਰੂਰੀ ਹੈ, ਕਿਉਂਕਿ ਇਸ ਮਾਮਲੇ ਵਿੱਚ CSRF ਸੁਰੱਖਿਆ ਬੇਲੋੜੀ ਹੈ।
requestMatchers ਇਹ ਕਮਾਂਡ ਖਾਸ ਸੁਰੱਖਿਆ ਨਿਯਮਾਂ ਲਈ ਅੰਤਮ ਬਿੰਦੂਆਂ ਨੂੰ ਫਿਲਟਰ ਕਰਦੀ ਹੈ, ਜਿਵੇਂ authorize.requestMatchers("/user/register")। ਇਸਦੀ ਵਰਤੋਂ ਇੱਥੇ ਪ੍ਰਮਾਣੀਕਰਨ ਲੋੜਾਂ ਤੋਂ ਰਜਿਸਟ੍ਰੇਸ਼ਨ ਅਤੇ ਲੌਗਇਨ ਅੰਤਮ ਬਿੰਦੂਆਂ ਨੂੰ ਬਾਹਰ ਕਰਨ ਲਈ ਕੀਤੀ ਜਾਂਦੀ ਹੈ।
usernamePasswordAuthenticationToken ਇਹ ਕਮਾਂਡ ਕਸਟਮ ਪ੍ਰਮਾਣਿਕਤਾ ਪ੍ਰਕਿਰਿਆਵਾਂ ਵਿੱਚ ਜ਼ਰੂਰੀ ਹੈ। new UsernamePasswordAuthenticationToken() ਪ੍ਰਦਾਨ ਕੀਤੇ ਗਏ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਦੇ ਨਾਲ ਇੱਕ ਪ੍ਰਮਾਣਿਕਤਾ ਟੋਕਨ ਬਣਾਉਂਦਾ ਹੈ, ਜਿਸ ਨਾਲ ਪ੍ਰਮਾਣਿਕਤਾ ਪ੍ਰਬੰਧਕ ਸਟੋਰ ਕੀਤੇ ਉਪਭੋਗਤਾ ਵੇਰਵਿਆਂ ਦੇ ਵਿਰੁੱਧ ਇਹਨਾਂ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਦੀ ਪੁਸ਼ਟੀ ਕਰ ਸਕਦਾ ਹੈ।

ਕਸਟਮ ਲੌਗਇਨ ਪ੍ਰਮਾਣਿਕਤਾ ਲਈ ਬਸੰਤ ਸੁਰੱਖਿਆ ਸੰਰਚਨਾ ਨੂੰ ਸਮਝਣਾ

ਪ੍ਰਦਾਨ ਕੀਤੀ ਸਕ੍ਰਿਪਟ ਵਿੱਚ, ਅਸੀਂ ਹੈਂਡਲਿੰਗ ਲਈ ਇੱਕ ਕਸਟਮ ਕੌਂਫਿਗਰੇਸ਼ਨ ਦੇਖਦੇ ਹਾਂ ਪ੍ਰਮਾਣਿਕਤਾ ਬਸੰਤ ਸੁਰੱਖਿਆ ਵਿੱਚ ਇਸਦੇ ਡਿਫੌਲਟ ਲੌਗਇਨ ਫਾਰਮ ਦੀ ਵਰਤੋਂ ਕੀਤੇ ਬਿਨਾਂ। ਵੱਖਰਾ ਬਣਾ ਕੇ ਸੁਰੱਖਿਆ ਫਿਲਟਰਚੇਨ ਸੰਰਚਨਾ, ਅਸੀਂ ਨਿਯੰਤਰਣ ਪ੍ਰਾਪਤ ਕਰਦੇ ਹਾਂ ਕਿ ਕਿਹੜੇ ਅੰਤਮ ਬਿੰਦੂ ਸੁਰੱਖਿਅਤ ਹਨ ਅਤੇ ਸਪਰਿੰਗ ਸੈਸ਼ਨਾਂ ਦਾ ਪ੍ਰਬੰਧਨ ਕਿਵੇਂ ਕਰਦਾ ਹੈ। ਸੰਰਚਨਾ CSRF (ਕਰਾਸ-ਸਾਈਟ ਬੇਨਤੀ ਜਾਅਲਸਾਜ਼ੀ) ਸੁਰੱਖਿਆ ਨੂੰ ਅਸਮਰੱਥ ਕਰਦੀ ਹੈ, ਜੋ ਕਿ REST API ਵਿੱਚ ਆਮ ਹੈ, ਕਿਉਂਕਿ ਫਰੰਟਐਂਡ ਫਰੇਮਵਰਕ (ਜਿਵੇਂ ਪ੍ਰਤੀਕਿਰਿਆ) ਸੁਰੱਖਿਅਤ, ਟੋਕਨ-ਅਧਾਰਿਤ ਬੇਨਤੀਆਂ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਸੰਚਾਰ ਕਰਦਾ ਹੈ। ਇੱਥੇ, ਕਮਾਂਡ authorizeHttpRequests ਕੁੰਜੀ ਹੈ; ਇਹ ਯਕੀਨੀ ਬਣਾਉਂਦਾ ਹੈ ਕਿ ਖਾਸ URLs, ਜਿਵੇਂ ਕਿ "/user/login" ਅਤੇ "/user/register," ਸਾਰੇ ਉਪਭੋਗਤਾਵਾਂ ਲਈ ਖੁੱਲੇ ਹਨ, ਜਦੋਂ ਕਿ ਹੋਰ ਬੇਨਤੀਆਂ, ਜਿਵੇਂ ਕਿ ਸੁਰੱਖਿਅਤ ਸਰੋਤਾਂ ਤੱਕ ਪਹੁੰਚ ਕਰਨਾ, ਕੇਵਲ ਪ੍ਰਮਾਣਿਤ ਉਪਭੋਗਤਾਵਾਂ ਤੱਕ ਸੀਮਤ ਹੈ।

ਅਸੀਂ SessionCreationPolicy.IF_REQUIRED ਦੇ ਨਾਲ ਸੈਸ਼ਨ ਬਣਾਉਣ ਦੀ ਨੀਤੀ ਵੀ ਸੈੱਟ ਕੀਤੀ ਹੈ, ਜੋ ਸਿਰਫ਼ ਲੋੜ ਪੈਣ 'ਤੇ ਸੈਸ਼ਨ ਬਣਾਉਣ ਦੀ ਇਜਾਜ਼ਤ ਦਿੰਦੀ ਹੈ। ਇਹ ਪਹੁੰਚ ਐਪਲੀਕੇਸ਼ਨਾਂ ਦੇ ਅਨੁਕੂਲ ਹੈ ਜਿੱਥੇ ਕੁਝ ਬੇਨਤੀਆਂ ਸੈਸ਼ਨ-ਅਧਾਰਿਤ ਪ੍ਰਮਾਣਿਕਤਾ 'ਤੇ ਨਿਰਭਰ ਹੋ ਸਕਦੀਆਂ ਹਨ, ਪਰ ਹੋਰ (ਜਿਵੇਂ ਕਿ ਟੋਕਨ ਵਾਲੇ) ਨਹੀਂ ਕਰਦੇ। ਉਦਾਹਰਨ ਲਈ, ਜੇਕਰ ਕੋਈ ਉਪਭੋਗਤਾ React ਫ੍ਰੰਟਐਂਡ ਰਾਹੀਂ ਲੌਗਇਨ ਕਰਦਾ ਹੈ ਅਤੇ ਸਰੋਤਾਂ ਤੱਕ ਨਿਰੰਤਰ ਪਹੁੰਚ ਦੀ ਉਮੀਦ ਕਰਦਾ ਹੈ, ਤਾਂ ਇਹ ਸੈਸ਼ਨ ਨੀਤੀ ਇਹ ਯਕੀਨੀ ਬਣਾਉਂਦੀ ਹੈ ਕਿ ਉਪਯੋਗਕਰਤਾ ਨੂੰ ਐਪਲੀਕੇਸ਼ਨ ਵਿੱਚ ਰੂਟਾਂ ਨੂੰ ਬਦਲਦੇ ਹੋਏ ਵਾਰ-ਵਾਰ ਲੌਗਆਊਟ ਦਾ ਸਾਹਮਣਾ ਨਾ ਕਰਨਾ ਪਵੇ। ਇਹ ਵਿਸ਼ੇਸ਼ ਤੌਰ 'ਤੇ ਸੈਸ਼ਨ ਅਤੇ ਸਟੇਟਲੈੱਸ ਲੋੜਾਂ ਦੋਵਾਂ ਨੂੰ ਸੰਭਾਲਣ ਲਈ ਮਦਦਗਾਰ ਹੈ, ਇਸ ਗੱਲ 'ਤੇ ਨਿਰਭਰ ਕਰਦਾ ਹੈ ਕਿ ਕਲਾਇੰਟ (ਰਿਐਕਟ ਐਪ) ਬੈਕਐਂਡ API ਨਾਲ ਕਿਵੇਂ ਇੰਟਰੈਕਟ ਕਰਦਾ ਹੈ।

ਸਰਵਿਸ ਕਲਾਸ ਵਿੱਚ ਇੱਕ ਵਿਧੀ ਸ਼ਾਮਲ ਹੁੰਦੀ ਹੈ ਜਿਸਨੂੰ authenticateUser ਕਿਹਾ ਜਾਂਦਾ ਹੈ, ਜਿੱਥੇ AuthenticationManager ਬੀਨ ਲਾਗੂ ਹੁੰਦਾ ਹੈ। ਇਹ ਬੀਨ ਇੱਕ DaoAuthenticationProvider ਅਤੇ PasswordEncoder ਨਾਲ ਕੌਂਫਿਗਰ ਕੀਤੀ ਗਈ ਹੈ, ਜੋ ਕਿ ਡੇਟਾਬੇਸ ਦੇ ਵਿਰੁੱਧ ਉਪਭੋਗਤਾ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਦੀ ਪੁਸ਼ਟੀ ਕਰਨ ਲਈ ਜ਼ਰੂਰੀ ਹਨ। ਵਿਧੀ ਇੱਕ UsernamePasswordAuthenticationToken ਦੇ ਨਾਲ authenticationManager.authenticate ਨੂੰ ਕਾਲ ਕਰਦੀ ਹੈ, ਪ੍ਰਦਾਨ ਕੀਤੇ ਉਪਭੋਗਤਾ ਨਾਮ ਅਤੇ ਪਾਸਵਰਡ ਦੇ ਅਧਾਰ ਤੇ ਪ੍ਰਮਾਣਿਤ ਕਰਨ ਦੀ ਕੋਸ਼ਿਸ਼ ਕਰਦੀ ਹੈ। ਜੇਕਰ ਸਫਲ ਹੋ ਜਾਂਦਾ ਹੈ, ਤਾਂ ਸਪਰਿੰਗ ਸਿਕਿਓਰਿਟੀ ਦੇ SecurityContextHolder ਕੋਲ ਇਹ ਪ੍ਰਮਾਣਿਤ ਉਪਭੋਗਤਾ ਸੈਸ਼ਨ ਹੁੰਦਾ ਹੈ। ਇਸ ਤਰ੍ਹਾਂ, ਜਦੋਂ ਫਰੰਟਐਂਡ ਇੱਕ ਹੋਰ ਬੇਨਤੀ ਕਰਦਾ ਹੈ, ਤਾਂ ਸਪਰਿੰਗ ਮੁੜ-ਤਸਦੀਕ ਦੀ ਲੋੜ ਤੋਂ ਬਿਨਾਂ ਉਪਭੋਗਤਾ ਦੀ ਪ੍ਰਮਾਣਿਕਤਾ ਸਥਿਤੀ ਨੂੰ ਮੁੜ ਪ੍ਰਾਪਤ ਕਰ ਸਕਦਾ ਹੈ।

ਹਾਲਾਂਕਿ, ਇਸ ਸੈੱਟਅੱਪ ਦੇ ਬਾਵਜੂਦ, 401 ਅਣਅਧਿਕਾਰਤ ਤਰੁੱਟੀ ਪ੍ਰਾਪਤ ਕਰਨ ਵਰਗੇ ਮੁੱਦੇ ਪੈਦਾ ਹੋ ਸਕਦੇ ਹਨ ਜੇਕਰ ਸੈਸ਼ਨ ਜਾਂ ਟੋਕਨ ਨੂੰ ਸਹੀ ਢੰਗ ਨਾਲ ਨਹੀਂ ਰੱਖਿਆ ਗਿਆ ਹੈ। ਉਦਾਹਰਨ ਲਈ, ਸਟੇਟਲੈੱਸ ਸੈਸ਼ਨਾਂ ਦੇ ਨਾਲ ਇੱਕ REST API ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਸਮੇਂ, ਇਹ ਸੈੱਟਅੱਪ ਅਸਫਲ ਹੋ ਸਕਦਾ ਹੈ ਜੇਕਰ ਸਰਵਰ ਬੇਨਤੀਆਂ ਦੇ ਵਿਚਕਾਰ ਪ੍ਰਮਾਣਿਕਤਾ ਨੂੰ ਬਰਕਰਾਰ ਨਹੀਂ ਰੱਖਦਾ ਹੈ। ਇਸ ਨੂੰ ਹੱਲ ਕਰਨ ਲਈ, ਅਸੀਂ ਟੋਕਨ-ਅਧਾਰਿਤ ਪ੍ਰਮਾਣਿਕਤਾ ਨੂੰ ਲਾਗੂ ਕਰ ਸਕਦੇ ਹਾਂ, ਜਿੱਥੇ ਲੌਗਇਨ ਕਰਨ ਤੋਂ ਬਾਅਦ ਹਰੇਕ ਬੇਨਤੀ ਸਿਰਲੇਖ ਨਾਲ ਇੱਕ ਤਿਆਰ ਟੋਕਨ ਜੁੜਿਆ ਹੁੰਦਾ ਹੈ, ਸੈਸ਼ਨ ਨੂੰ ਸਰਵਰ ਤੋਂ ਸੁਤੰਤਰ ਬਣਾਉਂਦਾ ਹੈ। ਟੈਸਟਿੰਗ ਵਾਤਾਵਰਣਾਂ ਵਿੱਚ, MockMvcRequestBuilders ਡਿਵੈਲਪਰਾਂ ਨੂੰ ਬੇਨਤੀਆਂ ਦੀ ਨਕਲ ਕਰਨ ਅਤੇ ਪੁਸ਼ਟੀ ਕਰਨ ਦੀ ਇਜਾਜ਼ਤ ਦਿੰਦਾ ਹੈ ਕਿ ਲੌਗਇਨ ਐਂਡਪੁਆਇੰਟ ਸਹੀ ਢੰਗ ਨਾਲ ਇੱਕ ਪ੍ਰਮਾਣਿਕਤਾ ਟੋਕਨ ਵਾਪਸ ਕਰਦਾ ਹੈ। ਇਸ ਟੋਕਨ ਨੂੰ ਫਿਰ ਹੋਰ ਬੇਨਤੀਆਂ ਵਿੱਚ ਵਰਤਿਆ ਜਾ ਸਕਦਾ ਹੈ, ਜਿਸ ਨਾਲ ਰੀਐਕਟ ਫਰੰਟਐਂਡ ਨੂੰ ਮੁੜ-ਪ੍ਰਮਾਣਿਤ ਕੀਤੇ ਬਿਨਾਂ ਸੁਰੱਖਿਅਤ ਐਂਡਪੁਆਇੰਟ ਤੱਕ ਪਹੁੰਚ ਕਰਨ ਦੀ ਇਜਾਜ਼ਤ ਦਿੱਤੀ ਜਾ ਸਕਦੀ ਹੈ, ਇੱਕ ਨਿਰਵਿਘਨ ਉਪਭੋਗਤਾ ਅਨੁਭਵ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ। 🔐

ਹੱਲ 1: ਸਟੇਟਲੈਸ ਸੈਸ਼ਨ ਪ੍ਰਬੰਧਨ ਲਈ ਬਸੰਤ ਸੁਰੱਖਿਆ ਸੰਰਚਨਾ ਨੂੰ ਅੱਪਡੇਟ ਕਰਨਾ

ਇਹ ਪਹੁੰਚ ਇੱਕ REST API ਸੰਦਰਭ ਵਿੱਚ ਸੈਸ਼ਨ ਪ੍ਰਬੰਧਨ ਨੂੰ ਹੱਲ ਕਰਨ ਲਈ ਬਸੰਤ ਸੁਰੱਖਿਆ ਦੀ ਰਾਜ ਰਹਿਤ ਸੈਸ਼ਨ ਨੀਤੀ ਦੀ ਵਰਤੋਂ ਕਰਦੀ ਹੈ, ਜੋ ਕਿ ਪ੍ਰਤੀਕਿਰਿਆ ਵਰਗੇ ਸਿੰਗਲ-ਪੇਜ ਐਪਲੀਕੇਸ਼ਨਾਂ (SPAs) ਲਈ ਅਨੁਕੂਲਿਤ ਹੈ। ਇੱਥੇ, ਅਸੀਂ ਇੱਕ REST API ਸਟੇਟਲੈੱਸ ਮਾਡਲ ਨਾਲ ਮੇਲ ਕਰਨ ਲਈ SecurityFilterChain ਸੰਰਚਨਾ ਨੂੰ ਵਿਵਸਥਿਤ ਕਰਦੇ ਹਾਂ।

@Bean
public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
    return http
        .csrf(csrf -> csrf.disable())  // Disable CSRF for REST APIs
        .authorizeHttpRequests(auth -> auth
            .requestMatchers("/user/register", "/user/login").permitAll()
            .anyRequest().authenticated()
        )
        .httpBasic(Customizer.withDefaults())
        .sessionManagement(session ->
            session.sessionCreationPolicy(SessionCreationPolicy.STATELESS)
        )
        .build();
}

ਹੱਲ 2: ਟੋਕਨ-ਅਧਾਰਿਤ ਪ੍ਰਮਾਣਿਕਤਾ ਲਈ ਕਸਟਮ ਪ੍ਰਮਾਣਿਕਤਾ ਫਿਲਟਰ

ਇਸ ਹੱਲ ਵਿੱਚ, ਇੱਕ ਕਸਟਮ ਫਿਲਟਰ ਉਪਭੋਗਤਾ ਨੂੰ ਪ੍ਰਮਾਣਿਤ ਕਰਦਾ ਹੈ ਅਤੇ ਜਵਾਬ ਸਿਰਲੇਖ ਵਿੱਚ ਇੱਕ ਟੋਕਨ ਨੱਥੀ ਕਰਦਾ ਹੈ। ਇਹ ਫਿਲਟਰ ਟੋਕਨ-ਅਧਾਰਿਤ ਪ੍ਰਮਾਣਿਕਤਾ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ, ਜੋ ਕਿ RESTful ਐਪਲੀਕੇਸ਼ਨਾਂ ਲਈ ਆਦਰਸ਼ ਹੈ ਅਤੇ React ਨਾਲ ਸਹਿਜੇ ਹੀ ਕੰਮ ਕਰ ਸਕਦਾ ਹੈ।

@Component
public class CustomAuthFilter extends OncePerRequestFilter {
    private final AuthenticationManager authenticationManager;
    public CustomAuthFilter(AuthenticationManager authManager) {
        this.authenticationManager = authManager;
    }
    @Override
    protected void doFilterInternal(HttpServletRequest request,
                                    HttpServletResponse response,
                                    FilterChain filterChain)
                                    throws ServletException, IOException {
        String authHeader = request.getHeader("Authorization");
        if (authHeader != null && authHeader.startsWith("Bearer ")) {
            String token = authHeader.substring(7);
            Authentication authentication = new UsernamePasswordAuthenticationToken(token, null);
            Authentication authResult = authenticationManager.authenticate(authentication);
            SecurityContextHolder.getContext().setAuthentication(authResult);
        }
        filterChain.doFilter(request, response);
    }
}

ਹੱਲ 3: ਸਰਵਿਸ ਕਲਾਸ ਐਡਜਸਟਮੈਂਟਸ ਅਤੇ ਟੋਕਨ ਰਿਸਪਾਂਸ

ਇਹ ਸੇਵਾ ਲਾਗੂਕਰਨ ਸਫਲਤਾਪੂਰਵਕ ਲੌਗਇਨ ਕਰਨ 'ਤੇ JWT ਟੋਕਨ ਭੇਜਦਾ ਹੈ, ਮਾਡਿਊਲਰ ਡਿਜ਼ਾਈਨ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਇਹ ਯਕੀਨੀ ਬਣਾਉਣ ਲਈ ਕਿ ਹਰੇਕ ਫੰਕਸ਼ਨ ਟੈਸਟਯੋਗ ਹੈ ਅਤੇ ਐਪਲੀਕੇਸ਼ਨ ਵਿੱਚ ਮੁੜ ਵਰਤੋਂ ਯੋਗ ਹੈ।

@Service
public class AuthenticationService {
    private final AuthenticationManager authenticationManager;
    private final TokenProvider tokenProvider; // Custom class for generating JWTs
    public AuthenticationService(AuthenticationManager authenticationManager,
                                 TokenProvider tokenProvider) {
        this.authenticationManager = authenticationManager;
        this.tokenProvider = tokenProvider;
    }
    public String authenticateAndGenerateToken(LoginDTO loginDTO) {
        Authentication authentication = authenticationManager
            .authenticate(new UsernamePasswordAuthenticationToken(loginDTO.getUserName(),
                                                                loginDTO.getPassword()));
        SecurityContextHolder.getContext().setAuthentication(authentication);
        return tokenProvider.createToken(authentication);
    }
}

ਟੋਕਨ ਜਨਰੇਸ਼ਨ ਅਤੇ ਪ੍ਰਮਾਣਿਕਤਾ ਲਈ ਯੂਨਿਟ ਟੈਸਟ

ਇਹ JUnit ਟੈਸਟ ਇਹ ਯਕੀਨੀ ਬਣਾਉਂਦਾ ਹੈ ਕਿ ਪ੍ਰਮਾਣਿਕਤਾ ਅਤੇ ਟੋਕਨ ਜਨਰੇਸ਼ਨ ਸਹੀ ਢੰਗ ਨਾਲ ਕੰਮ ਕਰਦੇ ਹਨ ਅਤੇ ਸੁਰੱਖਿਅਤ ਸਰੋਤਾਂ ਤੱਕ ਪਹੁੰਚਣ ਲਈ ਪ੍ਰਮਾਣਿਕਤਾ ਨੂੰ ਪ੍ਰਮਾਣਿਤ ਕਰਦੇ ਹਨ।

@SpringBootTest
@AutoConfigureMockMvc
public class AuthenticationServiceTest {
    @Autowired
    private MockMvc mockMvc;
    @MockBean
    private AuthenticationService authenticationService;
    @Test
    public void testAuthenticateAndGenerateToken() throws Exception {
        LoginDTO loginDTO = new LoginDTO("user", "password");
        String token = authenticationService.authenticateAndGenerateToken(loginDTO);
        mockMvc.perform(MockMvcRequestBuilders.post("/login")
                .contentType(MediaType.APPLICATION_JSON)
                .content("{\\"userName\\":\\"user\\", \\"password\\":\\"password\\"}"))
                .andExpect(status().isOk())
                .andExpect(header().exists("Authorization"))
                .andExpect(content().string("Successfully Authenticated"));
    }
}

ਸਟੇਟਲੈੱਸ ਸਪਰਿੰਗ ਸੁਰੱਖਿਆ ਐਪਲੀਕੇਸ਼ਨਾਂ ਵਿੱਚ ਸੈਸ਼ਨ ਚੁਣੌਤੀਆਂ ਨੂੰ ਪਾਰ ਕਰਨਾ

ਮਾਮਲਿਆਂ ਵਿੱਚ ਜਿੱਥੇ ਬਸੰਤ ਸੁਰੱਖਿਆ ਸਟੇਟਲੈੱਸ API ਸੰਚਾਰ ਲਈ ਕੌਂਫਿਗਰ ਕੀਤਾ ਗਿਆ ਹੈ, ਸੈਸ਼ਨ ਪ੍ਰਬੰਧਨ ਮੁਸ਼ਕਲ ਹੋ ਸਕਦਾ ਹੈ, ਖਾਸ ਕਰਕੇ ਜਦੋਂ ਇੱਕ ਕਸਟਮ ਲੌਗਇਨ ਪ੍ਰਵਾਹ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ। ਸਟੇਟਲੈਸ ਕੌਂਫਿਗਰੇਸ਼ਨਾਂ ਦਾ ਮਤਲਬ ਹੈ ਕਿ ਹਰੇਕ ਬੇਨਤੀ ਨੂੰ ਆਦਰਸ਼ਕ ਤੌਰ 'ਤੇ ਆਪਣਾ ਪ੍ਰਮਾਣਿਕਤਾ ਟੋਕਨ ਰੱਖਣਾ ਚਾਹੀਦਾ ਹੈ, ਜਿਸ ਨੂੰ ਸਰਵਰ ਪਿਛਲੀਆਂ ਬੇਨਤੀਆਂ ਤੋਂ ਸੁਤੰਤਰ ਤੌਰ 'ਤੇ ਪ੍ਰਮਾਣਿਤ ਕਰਦਾ ਹੈ। ਇਹ ਰਵਾਇਤੀ ਸੈਸ਼ਨ-ਅਧਾਰਿਤ ਸੈੱਟਅੱਪਾਂ ਤੋਂ ਵੱਖਰਾ ਹੈ ਜਿੱਥੇ ਇੱਕ ਉਪਭੋਗਤਾ ਇੱਕ ਵਾਰ ਲੌਗਇਨ ਕਰਦਾ ਹੈ, ਅਤੇ ਉਹਨਾਂ ਦਾ ਸੈਸ਼ਨ ਸਰਵਰ 'ਤੇ ਬਣਿਆ ਰਹਿੰਦਾ ਹੈ। REST APIs ਦੁਆਰਾ ਪ੍ਰਮਾਣਿਕਤਾ ਨੂੰ ਸੰਭਾਲਣ ਅਤੇ ਲੌਗਇਨ ਬੇਨਤੀਆਂ ਭੇਜਣ ਲਈ ਆਮ ਤੌਰ 'ਤੇ ਵਰਤੇ ਜਾਂਦੇ React ਫ੍ਰੰਟਐਂਡ ਦੇ ਨਾਲ, ਏਕੀਕਰਣ ਨੂੰ ਇਹ ਯਕੀਨੀ ਬਣਾਉਣ ਦੀ ਜ਼ਰੂਰਤ ਹੁੰਦੀ ਹੈ ਕਿ ਹਰੇਕ API ਬੇਨਤੀ ਪ੍ਰਮਾਣਿਤ ਹੈ, ਅਕਸਰ JWTs ਵਰਗੇ ਟੋਕਨਾਂ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ।

ਜਦੋਂ ਸਪਰਿੰਗ ਸਿਕਿਓਰਿਟੀ ਦੇ ਡਿਫੌਲਟ ਸੈਸ਼ਨ ਪ੍ਰਬੰਧਨ ਨੂੰ ਇੱਕ ਕਸਟਮ ਕੌਂਫਿਗਰੇਸ਼ਨ ਦੁਆਰਾ ਬਦਲਿਆ ਜਾਂਦਾ ਹੈ, ਤਾਂ ਇਹ ਸਮਝਣਾ ਮਹੱਤਵਪੂਰਨ ਹੁੰਦਾ ਹੈ ਕਿ ਉਪਭੋਗਤਾ ਪ੍ਰਮਾਣੀਕਰਨ ਨੂੰ ਕਿਵੇਂ ਸੈਟ ਅਪ ਕਰਨਾ ਹੈ ਅਤੇ ਇਸਨੂੰ ਬਰਕਰਾਰ ਰੱਖਣਾ ਹੈ. ਸੁਰੱਖਿਆ ਸੰਦਰਭ ਧਾਰਕ. ਇਸ ਨੂੰ ਹੱਲ ਕਰਨ ਦਾ ਇੱਕ ਤਰੀਕਾ ਇੱਕ ਕਸਟਮ ਪ੍ਰਮਾਣਿਕਤਾ ਫਿਲਟਰ ਦੀ ਵਰਤੋਂ ਕਰਨਾ ਹੈ ਜੋ ਸੈਸ਼ਨਾਂ 'ਤੇ ਭਰੋਸਾ ਕਰਨ ਦੀ ਬਜਾਏ ਬੇਨਤੀ ਸਿਰਲੇਖਾਂ ਵਿੱਚ ਸ਼ਾਮਲ ਟੋਕਨਾਂ ਦੀ ਪੁਸ਼ਟੀ ਕਰਦਾ ਹੈ। ਜੇਕਰ ਤੁਹਾਡੀ ਐਪਲੀਕੇਸ਼ਨ ਨੂੰ ਸੈਸ਼ਨ ਦੇ ਨਿਰੰਤਰਤਾ ਤੋਂ ਬਿਨਾਂ ਵਾਰ-ਵਾਰ ਉਪਭੋਗਤਾ ਪਛਾਣ ਦੀ ਲੋੜ ਹੈ, ਤਾਂ ਤੁਸੀਂ ਟੋਕਨ ਨੂੰ ਸਥਾਨਕ ਤੌਰ 'ਤੇ ਫਰੰਟਐਂਡ 'ਤੇ ਸਟੋਰ ਕਰਨਾ ਚਾਹ ਸਕਦੇ ਹੋ ਅਤੇ ਇਸਨੂੰ ਹਰੇਕ ਬੇਨਤੀ ਦੇ ਸਿਰਲੇਖ ਵਿੱਚ ਸ਼ਾਮਲ ਕਰਨਾ ਚਾਹ ਸਕਦੇ ਹੋ। ਇਹ ਸੁਰੱਖਿਅਤ ਅਤੇ ਕੁਸ਼ਲ RESTful API ਲਈ ਇੱਕ ਸਟੇਟਲੈਸ ਡਿਜ਼ਾਈਨ ਮਾਡਲ ਦੇ ਨਾਲ ਇਕਸਾਰ ਹੋ ਕੇ, ਸੈਸ਼ਨ ਦੀ ਸਥਿਤੀ ਦਾ ਧਿਆਨ ਰੱਖਣ ਲਈ ਸਰਵਰ ਦੀ ਲੋੜ ਨੂੰ ਖਤਮ ਕਰਦਾ ਹੈ।

ਇਸ ਤੋਂ ਇਲਾਵਾ, ਲੌਗਆਉਟ ਕਾਰਜਕੁਸ਼ਲਤਾ ਨੂੰ ਲਾਗੂ ਕਰਨਾ ਸਟੇਟਲੈੱਸ ਐਪਲੀਕੇਸ਼ਨਾਂ ਵਿੱਚ ਵਿਚਾਰ ਕਰਨ ਲਈ ਇੱਕ ਹੋਰ ਪਹਿਲੂ ਹੈ। ਕਿਉਂਕਿ ਸਰਵਰ 'ਤੇ ਕੋਈ ਸੈਸ਼ਨ ਮੌਜੂਦ ਨਹੀਂ ਹੈ, ਲੌਗ ਆਉਟ ਕਰਨ ਵਿੱਚ ਆਮ ਤੌਰ 'ਤੇ ਕਲਾਇੰਟ ਸਾਈਡ ਤੋਂ ਟੋਕਨ ਨੂੰ ਹਟਾਉਣਾ ਸ਼ਾਮਲ ਹੁੰਦਾ ਹੈ। ਇਸ ਦ੍ਰਿਸ਼ਟੀਕੋਣ ਵਿੱਚ, ਇੱਕ ਸਫਲ ਲੌਗਆਉਟ ਸਿਰਫ਼ ਕਲਾਇੰਟ ਦੇ ਸਥਾਨਕ ਸਟੋਰੇਜ 'ਤੇ ਟੋਕਨ ਨੂੰ ਰੱਦ ਕਰਕੇ ਅਤੇ ਸਰਵਰ 'ਤੇ ਟੋਕਨ ਨਾਲ ਬੇਨਤੀਆਂ ਨੂੰ ਰੱਦ ਕਰਕੇ ਪ੍ਰਾਪਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। ਇਹ ਵਿਧੀ ਸਰਵਰ-ਸਾਈਡ ਸੈਸ਼ਨ ਹੈਂਡਲਿੰਗ ਤੋਂ ਬਿਨਾਂ ਅਣਅਧਿਕਾਰਤ ਪਹੁੰਚ ਨੂੰ ਰੋਕ ਕੇ ਉੱਚ ਸੁਰੱਖਿਆ ਪੱਧਰਾਂ ਦਾ ਸਮਰਥਨ ਕਰਦੀ ਹੈ। ਅੰਤ ਵਿੱਚ, ਇਹ ਸੰਰਚਨਾ ਉਹਨਾਂ ਐਪਲੀਕੇਸ਼ਨਾਂ ਲਈ ਚੰਗੀ ਤਰ੍ਹਾਂ ਅਨੁਕੂਲ ਹੈ ਜੋ ਸਕੇਲੇਬਿਲਟੀ ਅਤੇ ਸੁਰੱਖਿਆ ਨੂੰ ਤਰਜੀਹ ਦਿੰਦੇ ਹਨ, ਖਾਸ ਤੌਰ 'ਤੇ ਜਦੋਂ ਰਿਐਕਟ ਵਰਗੇ ਫਰੰਟ-ਐਂਡ ਫਰੇਮਵਰਕ ਨਾਲ ਜੋੜਾ ਬਣਾਇਆ ਜਾਂਦਾ ਹੈ ਜੋ ਟੋਕਨ ਸਟੋਰੇਜ ਨੂੰ ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਢੰਗ ਨਾਲ ਪ੍ਰਬੰਧਿਤ ਕਰ ਸਕਦਾ ਹੈ। 🚀

ਬਸੰਤ ਸੁਰੱਖਿਆ ਕਸਟਮ ਪ੍ਰਮਾਣੀਕਰਨ ਮੁੱਦਿਆਂ ਬਾਰੇ ਆਮ ਸਵਾਲ

  1. ਸੈੱਟ ਕਰਨ ਤੋਂ ਬਾਅਦ ਵੀ ਮੈਨੂੰ 401 ਅਣਅਧਿਕਾਰਤ ਗਲਤੀ ਕਿਉਂ ਮਿਲਦੀ ਹੈ SecurityContextHolder?
  2. 401 ਗਲਤੀ ਅਕਸਰ ਵਾਪਰਦੀ ਹੈ ਜੇਕਰ ਪ੍ਰਮਾਣੀਕਰਨ ਸੰਦਰਭ ਜਾਰੀ ਨਹੀਂ ਰਹਿੰਦਾ ਹੈ। ਯਕੀਨੀ ਬਣਾਓ ਕਿ ਤੁਸੀਂ ਟੋਕਨ-ਅਧਾਰਿਤ ਪ੍ਰਮਾਣਿਕਤਾ ਦੀ ਵਰਤੋਂ ਕਰ ਰਹੇ ਹੋ ਜੇਕਰ ਤੁਹਾਡੀ ਅਰਜ਼ੀ ਸਟੇਟਲੈੱਸ ਹੈ।
  3. ਮੈਂ ਬਸੰਤ ਸੁਰੱਖਿਆ ਵਿੱਚ ਰਾਜ ਰਹਿਤ ਸੈਸ਼ਨ ਪ੍ਰਬੰਧਨ ਨੂੰ ਕਿਵੇਂ ਸਮਰੱਥ ਕਰਾਂ?
  4. ਸੈੱਟ ਕਰੋ SessionCreationPolicy.STATELESS ਤੁਹਾਡੇ ਵਿੱਚ SecurityFilterChain ਇਹ ਯਕੀਨੀ ਬਣਾਉਣ ਲਈ ਕਿ ਹਰੇਕ ਬੇਨਤੀ ਸੁਤੰਤਰ ਤੌਰ 'ਤੇ ਪ੍ਰਮਾਣਿਤ ਹੈ।
  5. ਦੀ ਭੂਮਿਕਾ ਕੀ ਹੈ DaoAuthenticationProvider ਕਸਟਮ ਪ੍ਰਮਾਣਿਕਤਾ ਵਿੱਚ?
  6. DaoAuthenticationProvider ਤੁਹਾਡੇ ਡੇਟਾਬੇਸ ਦੇ ਵਿਰੁੱਧ ਉਪਭੋਗਤਾ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਦੀ ਪੁਸ਼ਟੀ ਕਰਦਾ ਹੈ ਅਤੇ ਸੁਰੱਖਿਅਤ ਪ੍ਰਮਾਣਿਕਤਾ ਲਈ ਪਾਸਵਰਡਾਂ ਨੂੰ ਏਨਕੋਡ ਕਰਦਾ ਹੈ।
  7. ਕੀ ਮੈਂ ਬਸੰਤ ਸੁਰੱਖਿਆ ਵਿੱਚ ਸੈਸ਼ਨ ਪ੍ਰਬੰਧਨ ਲਈ JWT ਟੋਕਨਾਂ ਦੀ ਵਰਤੋਂ ਕਰ ਸਕਦਾ ਹਾਂ?
  8. ਹਾਂ, JWT ਟੋਕਨ ਸਟੇਟਲੈੱਸ ਐਪਲੀਕੇਸ਼ਨਾਂ ਲਈ ਆਦਰਸ਼ ਹਨ। ਪ੍ਰਮਾਣਿਕਤਾ ਤੋਂ ਬਾਅਦ ਇੱਕ ਟੋਕਨ ਤਿਆਰ ਕਰੋ ਅਤੇ ਇਸ ਨੂੰ ਅਗਲੀਆਂ ਬੇਨਤੀਆਂ ਲਈ ਸਿਰਲੇਖ ਵਿੱਚ ਸ਼ਾਮਲ ਕਰੋ।
  9. CSRF ਸੁਰੱਖਿਆ ਸਟੇਟਲੈੱਸ API ਨੂੰ ਕਿਵੇਂ ਪ੍ਰਭਾਵਿਤ ਕਰਦੀ ਹੈ?
  10. CSRF ਸੁਰੱਖਿਆ ਆਮ ਤੌਰ 'ਤੇ ਵਰਤਦੇ ਹੋਏ ਸਟੇਟਲੈੱਸ API ਵਿੱਚ ਅਸਮਰੱਥ ਹੁੰਦੀ ਹੈ csrf().disable() ਕਿਉਂਕਿ ਸੈਸ਼ਨਾਂ ਤੋਂ ਬਿਨਾਂ API ਲਈ ਇਹ ਬੇਲੋੜੀ ਹੈ।
  11. ਜੇ ਮੈਂ ਲੌਗਇਨ ਜਾਂ ਰਜਿਸਟਰ ਵਰਗੇ ਕੁਝ ਅੰਤਮ ਬਿੰਦੂਆਂ ਤੱਕ ਜਨਤਕ ਪਹੁੰਚ ਦੀ ਇਜਾਜ਼ਤ ਦੇਣਾ ਚਾਹੁੰਦਾ ਹਾਂ ਤਾਂ ਕੀ ਹੋਵੇਗਾ?
  12. ਵਰਤੋ authorizeHttpRequests ਅਤੇ ਅੰਤਮ ਬਿੰਦੂ ਨਿਰਧਾਰਤ ਕਰੋ ਜੋ ਪ੍ਰਮਾਣਿਕਤਾ ਦੀ ਵਰਤੋਂ ਕੀਤੇ ਬਿਨਾਂ ਪਹੁੰਚਯੋਗ ਹੋਣੇ ਚਾਹੀਦੇ ਹਨ permitAll().
  13. ਮੈਂ ਪ੍ਰਤੀਕਿਰਿਆ ਦੇ ਨਾਲ ਕਲਾਇੰਟ ਸਾਈਡ 'ਤੇ ਟੋਕਨਾਂ ਨੂੰ ਕਿਵੇਂ ਸਟੋਰ ਕਰਾਂ?
  14. ਵਿੱਚ ਟੋਕਨ ਸਟੋਰ ਕਰੋ localStorage ਜਾਂ sessionStorage, ਫਿਰ ਉਹਨਾਂ ਨੂੰ ਹਰੇਕ ਬੇਨਤੀ ਦੇ ਸਿਰਲੇਖ ਵਿੱਚ ਸ਼ਾਮਲ ਕਰੋ ਤਾਂ ਜੋ ਇਹ ਯਕੀਨੀ ਬਣਾਇਆ ਜਾ ਸਕੇ ਕਿ ਬੈਕਐਂਡ ਹਰੇਕ ਬੇਨਤੀ ਨੂੰ ਪ੍ਰਮਾਣਿਤ ਕਰ ਸਕਦਾ ਹੈ।
  15. ਕੀ APIs ਲਈ CSRF ਨੂੰ ਅਯੋਗ ਕਰਨਾ ਸੁਰੱਖਿਅਤ ਹੈ?
  16. API ਲਈ CSRF ਨੂੰ ਅਸਮਰੱਥ ਕਰਨਾ ਸੁਰੱਖਿਅਤ ਹੈ ਜੇਕਰ ਤੁਹਾਡੀ ਐਪ ਟੋਕਨਾਂ 'ਤੇ ਨਿਰਭਰ ਕਰਦੀ ਹੈ ਜਾਂ ਕੂਕੀਜ਼ ਦੀ ਵਰਤੋਂ ਨਹੀਂ ਕਰਦੀ ਹੈ, ਕਿਉਂਕਿ CSRF ਮੁੱਖ ਤੌਰ 'ਤੇ ਕੂਕੀ-ਆਧਾਰਿਤ ਹਮਲਿਆਂ ਤੋਂ ਬਚਾਉਂਦਾ ਹੈ।
  17. ਦਾ ਕੰਮ ਕੀ ਹੈ OncePerRequestFilter ਕਸਟਮ ਪ੍ਰਮਾਣਿਕਤਾ ਵਿੱਚ?
  18. ਇਹ ਫਿਲਟਰ ਪ੍ਰਤੀ ਬੇਨਤੀ ਸਿਰਫ ਇੱਕ ਵਾਰ ਚਲਾਉਂਦਾ ਹੈ, ਇਹ ਯਕੀਨੀ ਬਣਾਉਂਦਾ ਹੈ ਕਿ ਬੇਨਤੀ ਚੱਕਰ ਵਿੱਚ ਬੇਲੋੜੀਆਂ ਜਾਂਚਾਂ ਤੋਂ ਬਿਨਾਂ ਪ੍ਰਮਾਣੀਕਰਨ ਤਰਕ ਲਗਾਤਾਰ ਲਾਗੂ ਹੁੰਦਾ ਹੈ।
  19. ਮੇਰੇ ਪ੍ਰਮਾਣਿਕਤਾ ਟੋਕਨ ਨੂੰ ਵੱਖ-ਵੱਖ ਅੰਤਮ ਬਿੰਦੂਆਂ ਵਿੱਚ ਕਿਉਂ ਨਹੀਂ ਪਛਾਣਿਆ ਜਾ ਸਕਦਾ ਹੈ?
  20. ਇਹ ਸੁਨਿਸ਼ਚਿਤ ਕਰੋ ਕਿ ਤੁਸੀਂ ਹਰੇਕ ਬੇਨਤੀ ਦੇ ਸਿਰਲੇਖ ਵਿੱਚ ਟੋਕਨ ਸੈਟ ਕੀਤਾ ਹੈ ਅਤੇ ਇੱਕ ਨਿਰੰਤਰ ਟੋਕਨ ਤਸਦੀਕ ਪ੍ਰਕਿਰਿਆ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਸਰਵਰ 'ਤੇ ਇਹ ਸਹੀ ਤਰ੍ਹਾਂ ਪ੍ਰਮਾਣਿਤ ਹੋਣ ਦੀ ਪੁਸ਼ਟੀ ਕਰੋ।
  21. ਮੈਂ ਆਪਣੀ ਬਸੰਤ ਸੁਰੱਖਿਆ ਸੰਰਚਨਾ ਦੀ ਜਾਂਚ ਕਿਵੇਂ ਕਰ ਸਕਦਾ ਹਾਂ?
  22. ਵਰਤੋ MockMvc ਬੇਨਤੀਆਂ ਦੀ ਨਕਲ ਕਰਨ ਲਈ ਤੁਹਾਡੇ ਟੈਸਟਾਂ ਵਿੱਚ, ਪ੍ਰਮਾਣੀਕਰਨ ਜਵਾਬਾਂ ਦੀ ਜਾਂਚ ਕਰੋ, ਅਤੇ ਪ੍ਰਮਾਣਿਤ ਕਰੋ ਕਿ ਸੁਰੱਖਿਅਤ ਅੰਤਮ ਬਿੰਦੂ ਸਿਰਫ਼ ਲੌਗਇਨ ਕਰਨ ਤੋਂ ਬਾਅਦ ਹੀ ਪਹੁੰਚਯੋਗ ਹਨ।

ਕਸਟਮ ਸਪਰਿੰਗ ਸੁਰੱਖਿਆ ਪ੍ਰਮਾਣੀਕਰਨ ਵਿੱਚ 401 ਤਰੁੱਟੀਆਂ ਨੂੰ ਹੱਲ ਕਰਨ ਬਾਰੇ ਅੰਤਿਮ ਵਿਚਾਰ

ਇੱਕ ਕਸਟਮ ਲੌਗਇਨ ਪੰਨੇ ਦੇ ਨਾਲ ਇੱਕ ਸਪਰਿੰਗ-ਅਧਾਰਿਤ ਐਪਲੀਕੇਸ਼ਨ ਨੂੰ ਸਫਲਤਾਪੂਰਵਕ ਸੁਰੱਖਿਅਤ ਕਰਨ ਲਈ ਧਿਆਨ ਨਾਲ ਸੰਰਚਨਾ ਦੀ ਲੋੜ ਹੁੰਦੀ ਹੈ, ਖਾਸ ਤੌਰ 'ਤੇ ਜੇ ਸਟੇਟਲੈਸ ਸੈਸ਼ਨਾਂ ਜਾਂ ਟੋਕਨ-ਅਧਾਰਿਤ ਪਹੁੰਚਾਂ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ। ਰਿਐਕਟ ਫਰੰਟਐਂਡ ਨਾਲ ਏਕੀਕ੍ਰਿਤ ਕਰਦੇ ਸਮੇਂ, ਇਹ ਸੁਨਿਸ਼ਚਿਤ ਕਰਨਾ ਕਿ ਤੁਹਾਡੀ ਸੁਰੱਖਿਆ ਸੰਰਚਨਾ RESTful, ਸਟੇਟਲੈਸ ਸਿਧਾਂਤਾਂ ਨਾਲ ਇਕਸਾਰ ਹੈ ਸੈਸ਼ਨ ਦੇ ਮੁੱਦਿਆਂ ਤੋਂ ਬਚਣ ਵਿੱਚ ਮਦਦ ਕਰ ਸਕਦੀ ਹੈ।

ਸੋਧਣ ਤੋਂ ਸੁਰੱਖਿਆ ਫਿਲਟਰਚੇਨ ਟੋਕਨ-ਆਧਾਰਿਤ ਪ੍ਰਵਾਹਾਂ ਨੂੰ ਲਾਗੂ ਕਰਨ ਲਈ ਸੈਟਿੰਗਾਂ, ਹਰੇਕ ਪਹੁੰਚ ਇੱਕ ਭਰੋਸੇਯੋਗ ਪ੍ਰਮਾਣੀਕਰਨ ਸੈੱਟਅੱਪ ਬਣਾਉਣ ਵਿੱਚ ਭੂਮਿਕਾ ਨਿਭਾਉਂਦੀ ਹੈ। ਸੈਸ਼ਨ ਪ੍ਰਬੰਧਨ, ਟੋਕਨ ਹੈਂਡਲਿੰਗ, ਅਤੇ ਸੁਰੱਖਿਆ ਸੰਦਰਭ ਨੂੰ ਸਮਝ ਕੇ, ਤੁਸੀਂ ਆਪਣੀਆਂ ਸਪਰਿੰਗ ਸੁਰੱਖਿਆ ਐਪਲੀਕੇਸ਼ਨਾਂ ਵਿੱਚ 401 ਅਣਅਧਿਕਾਰਤ ਤਰੁੱਟੀਆਂ ਨੂੰ ਹੱਲ ਕਰਨ ਲਈ ਚੰਗੀ ਤਰ੍ਹਾਂ ਤਿਆਰ ਹੋਵੋਗੇ। 🔒

ਬਸੰਤ ਸੁਰੱਖਿਆ ਵਿੱਚ ਕਸਟਮ ਪ੍ਰਮਾਣਿਕਤਾ ਨੂੰ ਲਾਗੂ ਕਰਨ ਲਈ ਸਰੋਤ ਅਤੇ ਹਵਾਲੇ
  1. ਬਸੰਤ ਸੁਰੱਖਿਆ ਦੀ ਸੰਰਚਨਾ ਅਤੇ ਸੈਸ਼ਨ ਪ੍ਰਬੰਧਨ ਬਾਰੇ ਵਿਆਪਕ ਵੇਰਵਿਆਂ ਲਈ, ਵੇਖੋ ਬਸੰਤ ਸੁਰੱਖਿਆ ਅਧਿਕਾਰਤ ਦਸਤਾਵੇਜ਼ .
  2. ਰੀਐਕਟ ਫਰੰਟਐਂਡ ਦੇ ਨਾਲ ਕਸਟਮ ਪ੍ਰਮਾਣੀਕਰਨ ਪ੍ਰਵਾਹ ਨੂੰ ਸਮਝਣ ਅਤੇ ਲਾਗੂ ਕਰਨ ਲਈ, 'ਤੇ ਗਾਈਡ ਦੇਖੋ ਬਸੰਤ ਸੁਰੱਖਿਆ ਅਤੇ ਪ੍ਰਤੀਕਿਰਿਆ ਲੌਗਇਨ ਟਿਊਟੋਰਿਅਲ .
  3. ਇਸ ਲੇਖ ਦੀਆਂ ਕੌਂਫਿਗਰੇਸ਼ਨ ਉਦਾਹਰਨਾਂ ਅਤੇ ਸਪਰਿੰਗ ਬੂਟ ਸੈਟਅਪ ਇਸ ਤੋਂ ਪ੍ਰਾਪਤ ਜਾਣਕਾਰੀ 'ਤੇ ਅਧਾਰਤ ਹਨ ਬੇਲਡੰਗ ਬਸੰਤ ਸੁਰੱਖਿਆ ਸੈਸ਼ਨ ਗਾਈਡ .