தனிப்பயன் அங்கீகாரத்துடன் ரியாக்ட்-ஸ்பிரிங் பயன்பாட்டில் 401 அங்கீகரிக்கப்படாத ஸ்பிரிங் பாதுகாப்பு பிழைகளை சரிசெய்தல்

தனிப்பயன் அங்கீகாரத்துடன் ரியாக்ட்-ஸ்பிரிங் பயன்பாட்டில் 401 அங்கீகரிக்கப்படாத ஸ்பிரிங் பாதுகாப்பு பிழைகளை சரிசெய்தல்
தனிப்பயன் அங்கீகாரத்துடன் ரியாக்ட்-ஸ்பிரிங் பயன்பாட்டில் 401 அங்கீகரிக்கப்படாத ஸ்பிரிங் பாதுகாப்பு பிழைகளை சரிசெய்தல்
Daniel Marino
வெள்ளி, 15 நவம்பர், 2024 ’அன்று’ முற்பகல் 11:38:03

தனிப்பயன் உள்நுழைவு செயலாக்கங்களில் ஸ்பிரிங் செக்யூரிட்டியின் அங்கீகரிப்புச் சிக்கல்களை பிழைத்திருத்துதல்

உங்கள் ஸ்பிரிங் செக்யூரிட்டி திட்டத்தில் 401 அங்கீகரிக்கப்படாத பிழையை எதிர்கொள்வது ஏமாற்றமளிக்கும், குறிப்பாக உள்நுழைவு உள்ளமைவு சரியாக அமைக்கப்பட்டிருக்கும் போது. 😣 பல டெவலப்பர்கள், ஸ்பிரிங் செக்யூரிட்டியின் இயல்புநிலைக்கு வெளியே தனிப்பயன் உள்நுழைவுப் பக்கத்தைச் செயல்படுத்தும்போது, ​​தங்கள் பயன்பாட்டின் பின்தள ஆதாரங்களைப் பாதுகாக்க முயற்சிக்கும்போது இந்தச் சிக்கலை எதிர்கொள்கின்றனர்.

ரியாக்ட் போன்ற முன்-இறுதி கட்டமைப்பானது உள்நுழைவுப் பக்கத்தை நிர்வகித்து பின்தளத்துடன் தொடர்புகொண்டு, ஸ்பிரிங் செக்யூரிட்டியின் படிவ அடிப்படையிலான உள்நுழைவு அமைப்பைத் தவிர்த்து, இந்தச் சிக்கல் எழலாம். அத்தகைய அமைப்புகளில், ஸ்பிரிங் செக்யூரிட்டி அங்கீகரிக்கப்பட்ட அமர்வை அங்கீகரிக்கத் தவறிவிடலாம், நீங்கள் பாதுகாக்கப்பட்ட ஆதாரங்களைப் பயன்படுத்த முயற்சிக்கும் போது அணுகல் மறுக்கப்படும்.

இந்த கட்டுரையில், வெற்றிகரமான உள்நுழைவுக்குப் பிறகு, இந்த அங்கீகரிக்கப்படாத அணுகல் பிழையின் பின்னணியில் உள்ள பொதுவான காரணங்களை நாங்கள் முழுக்குவோம். ஸ்பிரிங்ஸ் செக்யூரிட்டி சூழல் மற்றும் அமர்வு நிர்வாகத்தின் பங்கைப் புரிந்துகொள்வதன் மூலம், தனிப்பயன் அமைப்பில் இந்தச் சிக்கலை எப்படித் தீர்ப்பது என்பது குறித்த தெளிவைப் பெறுவீர்கள்.

உங்கள் அங்கீகார தர்க்கம் தொடர்ந்து சரியான அமர்வு நிலையை அமைக்கிறது என்பதை உறுதிப்படுத்த நடைமுறை உத்திகளை ஆராய்வோம், உங்கள் பயன்பாடு முழுவதும் மென்மையான, அங்கீகரிக்கப்பட்ட அணுகலைச் செயல்படுத்துகிறது. 🚀

கட்டளை பயன்பாட்டின் உதாரணம்
sessionManagement இந்த கட்டளை ஸ்பிரிங் செக்யூரிட்டி HTTP அமர்வுகளை எவ்வாறு கையாளுகிறது என்பதை உள்ளமைக்கிறது. session.sessionCreationPolicy(SessionCreationPolicy.STATELESS) ஐப் பயன்படுத்துவது, ஒவ்வொரு கோரிக்கையும் தனித்தனியாக அங்கீகரிக்கப்படுவதை உறுதிசெய்கிறது, இது REST-அடிப்படையிலான, டோக்கன்-அங்கீகரிக்கப்பட்ட அமைப்புகளில் அடிக்கடி பயன்படுத்தப்படும் நிலையற்ற APIகளுக்கு அவசியம்.
OncePerRequestFilter OnePerRequestFilter என்பது ஒரு ஸ்பிரிங் செக்யூரிட்டி வடிப்பானாகும், இது ஒரு கோரிக்கைக்கு ஒருமுறை செயல்படுத்தப்படுவதற்கு உத்தரவாதம் அளிக்கிறது. பணிநீக்கம் இல்லாமல் ஒவ்வொரு கோரிக்கைக்கும் அங்கீகார தர்க்கம் தொடர்ந்து பயன்படுத்தப்படுவதை உறுதிசெய்ய, தனிப்பயன் அங்கீகார வடிப்பான்களில் இது பயன்படுத்தப்படுகிறது.
SecurityContextHolder SecurityContextHolder.getContext().setAuthentication(authentication)ஐ அழைப்பதன் மூலம், இந்த கட்டளை அங்கீகரிக்கப்பட்ட பயனரின் விவரங்களை பாதுகாப்பு சூழலில் அமைக்கிறது, ஸ்பிரிங் செக்யூரிட்டி நடப்பு அமர்வுக்கு அங்கீகரிக்கப்பட்ட பயனரை அங்கீகரிப்பதை உறுதி செய்கிறது.
DaoAuthenticationProvider இந்த கட்டளை புதிய DaoAuthenticationProvider() ஒரு குறிப்பிட்ட பயனர் விவரங்கள் சேவை மற்றும் கடவுச்சொல் குறியாக்கியைப் பயன்படுத்தி அங்கீகாரத்தை அமைக்கிறது, பயனர் தரவுத்தளத்தின் அடிப்படையில் தனிப்பயன் சரிபார்ப்பை அனுமதிக்கிறது மற்றும் பாதுகாப்பான கடவுச்சொல் கையாளுதலை உறுதி செய்கிறது.
MockMvcRequestBuilders.post mockMvc.perform(MockMvcRequestBuilders.post("/login")) இல் காணப்படுவது போல், யூனிட் சோதனைகளில் இந்த கட்டளை HTTP POST கோரிக்கையை உருவகப்படுத்துகிறது. இது HTTP கோரிக்கைகளை நேரடியாகக் கட்டுப்படுத்தியின் இறுதிப் புள்ளிக்கு அனுப்புவதன் மூலம் ஸ்பிரிங் MVC கன்ட்ரோலர்களை சோதிக்கிறது.
authorizeHttpRequests இந்த கட்டளை எந்த கோரிக்கைகளுக்கு அங்கீகாரம் தேவை மற்றும் பொதுவில் அணுகக்கூடியது என்பதைக் குறிப்பிடுகிறது. authorize.requestMatchers("/user/login").permitAll() உள்நுழைவு மற்றும் பதிவு இறுதிப்புள்ளிகளை நற்சான்றிதழ்கள் இல்லாமல் அணுக அனுமதிக்கிறது.
TokenProvider JWT டோக்கன்களை உருவாக்க மற்றும் நிர்வகிக்க TokenProvider போன்ற தனிப்பயன் வகுப்பு பயன்படுத்தப்படுகிறது. இந்த வகுப்பு, டோக்கன் அடிப்படையிலான அங்கீகாரத்தில் இன்றியமையாத, மட்டு, மீண்டும் பயன்படுத்தக்கூடிய மற்றும் பாதுகாப்பான டோக்கன் கையாளுதலை உறுதி செய்வதற்காக டோக்கன் உருவாக்க தர்க்கத்தை இணைக்கிறது.
csrf().disable() Disabling CSRF is critical in stateless API configurations, particularly for REST APIs without session-based login. csrf(csrf ->CSRF ஐ முடக்குவது நிலையற்ற API உள்ளமைவுகளில் முக்கியமானது, குறிப்பாக அமர்வு அடிப்படையிலான உள்நுழைவு இல்லாத REST APIகளுக்கு. csrf(csrf -> csrf.disable()) பொதுவாக டோக்கன் அடிப்படையிலான அங்கீகாரத்தைப் பயன்படுத்தும் பயன்பாடுகளுக்கு அவசியமானது, ஏனெனில் CSRF பாதுகாப்பு இந்த விஷயத்தில் தேவையற்றது.
requestMatchers இந்த கட்டளையானது, authorize.requestMatchers("/user/register") போன்ற குறிப்பிட்ட பாதுகாப்பு விதிகளுக்கு பொருந்தக்கூடிய இறுதிப்புள்ளிகளை வடிகட்டுகிறது. அங்கீகாரத் தேவைகளில் இருந்து பதிவு மற்றும் உள்நுழைவு இறுதிப்புள்ளிகளை விலக்குவதற்கு இது இங்கு பயன்படுத்தப்படுகிறது.
usernamePasswordAuthenticationToken தனிப்பயன் அங்கீகார செயல்முறைகளில் இந்த கட்டளை அவசியம். புதிய UsernamePasswordAuthenticationToken() வழங்கப்பட்ட நற்சான்றிதழ்களுடன் ஒரு அங்கீகார டோக்கனை உருவாக்குகிறது, இது அங்கீகரிப்பு மேலாளரை சேமிக்கப்பட்ட பயனர் விவரங்களுக்கு எதிராக இந்த நற்சான்றிதழ்களை சரிபார்க்க அனுமதிக்கிறது.

தனிப்பயன் உள்நுழைவு அங்கீகாரத்திற்கான ஸ்பிரிங் பாதுகாப்பு உள்ளமைவைப் புரிந்துகொள்வது

வழங்கப்பட்ட ஸ்கிரிப்ட்டில், கையாளுதலுக்கான தனிப்பயன் உள்ளமைவைக் காண்கிறோம் அங்கீகாரம் ஸ்பிரிங் செக்யூரிட்டியில் அதன் இயல்புநிலை உள்நுழைவு படிவத்தைப் பயன்படுத்தாமல். ஒரு தனி உருவாக்கம் மூலம் பாதுகாப்பு வடிகட்டி சங்கிலி கட்டமைப்பு, எந்த இறுதிப்புள்ளிகள் பாதுகாக்கப்படுகின்றன மற்றும் ஸ்பிரிங் அமர்வுகளை எவ்வாறு நிர்வகிக்கிறது என்பதற்கான கட்டுப்பாட்டைப் பெறுகிறோம். REST API களில் பொதுவான CSRF (Cross-Site Request Forgery) பாதுகாப்பை உள்ளமைவு முடக்குகிறது, ஏனெனில், பாதுகாப்பான, டோக்கன்-அடிப்படையிலான கோரிக்கைகளைப் பயன்படுத்தி முன்தள கட்டமைப்பு (ரியாக்ட் போன்றவை) தொடர்பு கொள்கிறது. இங்கே, authorizeHttpRequests கட்டளை முக்கியமானது; "/பயனர்/உள்நுழைவு" மற்றும் "/பயனர்/பதிவு" போன்ற குறிப்பிட்ட URLகள் அனைத்து பயனர்களுக்கும் திறந்திருப்பதை உறுதி செய்கிறது, அதே நேரத்தில் பாதுகாக்கப்பட்ட ஆதாரங்களை அணுகுவது போன்ற பிற கோரிக்கைகளை அங்கீகரிக்கப்பட்ட பயனர்களுக்கு மட்டுமே கட்டுப்படுத்துகிறது.

அமர்வு உருவாக்கக் கொள்கையை SessionCreationPolicy.IF_REQUIRED உடன் அமைத்துள்ளோம், இது தேவைப்படும் போது மட்டுமே அமர்வு உருவாக்கத்தை அனுமதிக்கிறது. சில கோரிக்கைகள் அமர்வு அடிப்படையிலான அங்கீகாரத்தை சார்ந்திருக்கும் பயன்பாடுகளுக்கு இந்த அணுகுமுறை பொருந்தும், ஆனால் மற்றவை (டோக்கன்கள் உள்ளவை போன்றவை) இல்லை. எடுத்துக்காட்டாக, ஒரு பயனர் ரியாக்ட் ஃபிரண்டென்ட் வழியாக உள்நுழைந்து, ஆதாரங்களுக்கான தொடர்ச்சியான அணுகலை எதிர்பார்க்கிறார் என்றால், இந்த அமர்வுக் கொள்கையானது பயன்பாட்டில் வழிகளை மாற்றும்போது பயனர் மீண்டும் மீண்டும் வெளியேறுவதைச் சந்திக்காமல் இருப்பதை உறுதிசெய்கிறது. கிளையன்ட் (ரியாக்ட் ஆப்) பின்தள API உடன் எவ்வாறு தொடர்பு கொள்கிறது என்பதைப் பொறுத்து, அமர்வு மற்றும் நிலையற்ற தேவைகள் இரண்டையும் கையாள இது மிகவும் உதவியாக இருக்கும்.

சேவை வகுப்பில் authenticateUser எனப்படும் ஒரு முறை உள்ளது, அங்கு AuthenticationManager பீன் செயல்பாட்டுக்கு வருகிறது. இந்த பீன் DaoAuthenticationProvider மற்றும் PasswordEncoder மூலம் கட்டமைக்கப்பட்டுள்ளது, இது தரவுத்தளத்திற்கு எதிராக பயனர் நற்சான்றிதழ்களை சரிபார்க்க அவசியம். இந்த முறை authenticationManager.authenticate ஐ பயனர்பெயர்PasswordAuthenticationToken உடன் அழைக்கிறது, வழங்கப்பட்ட பயனர்பெயர் மற்றும் கடவுச்சொல்லை அடிப்படையாகக் கொண்டு அங்கீகரிக்க முயற்சிக்கிறது. வெற்றியடைந்தால், ஸ்பிரிங் செக்யூரிட்டியின் SecurityContextHolder இந்த அங்கீகரிக்கப்பட்ட பயனரின் அமர்வை வைத்திருக்கும். இந்த வழியில், முன்பக்கம் மற்றொரு கோரிக்கையை வைக்கும் போது, ​​ஸ்பிரிங் மறு சரிபார்ப்பு தேவையில்லாமல் பயனரின் அங்கீகார நிலையை மீட்டெடுக்க முடியும்.

இருப்பினும், இந்த அமைப்பு இருந்தபோதிலும், அமர்வு அல்லது டோக்கன் சரியாகப் பராமரிக்கப்படாவிட்டால், 401 அங்கீகரிக்கப்படாத பிழையைப் பெறுவது போன்ற சிக்கல்கள் ஏற்படலாம். எடுத்துக்காட்டாக, நிலையற்ற அமர்வுகளுடன் REST API ஐப் பயன்படுத்தும் போது, ​​சேவையகம் கோரிக்கைகளுக்கு இடையே அங்கீகாரத்தைத் தக்கவைக்கவில்லை என்றால், இந்த அமைப்பு தோல்வியடையக்கூடும். இதை நிவர்த்தி செய்ய, டோக்கன் அடிப்படையிலான அங்கீகாரத்தை நாங்கள் செயல்படுத்தலாம், அங்கு உருவாக்கப்பட்ட டோக்கன் ஒவ்வொரு கோரிக்கை தலைப்பிலும் உள்நுழைந்த பிறகு இணைக்கப்பட்டு, அமர்வை சர்வரில் இருந்து சுயாதீனமாக ஆக்குகிறது. சோதனைச் சூழல்களில், MockMvcRequestBuilders டெவலப்பர்களை கோரிக்கைகளை உருவகப்படுத்த அனுமதிக்கிறது மற்றும் உள்நுழைவு எண்ட்பாயிண்ட் சரியாக அங்கீகார டோக்கனை வழங்குகிறது என்பதை உறுதிப்படுத்துகிறது. இந்த டோக்கனை மேலும் கோரிக்கைகளில் பயன்படுத்தலாம், ரியாக்ட் ஃபிரண்ட்டண்ட் மீண்டும் அங்கீகரிக்கப்படாமல் பாதுகாப்பான இறுதிப்புள்ளிகளை அணுக அனுமதிக்கிறது, இது ஒரு மென்மையான பயனர் அனுபவத்தை வழங்குகிறது. 🔐

தீர்வு 1: நிலையற்ற அமர்வு நிர்வாகத்திற்கான ஸ்பிரிங் பாதுகாப்பு உள்ளமைவைப் புதுப்பித்தல்

இந்த அணுகுமுறை REST API சூழலில் அமர்வு நிர்வாகத்தைத் தீர்க்க ஸ்பிரிங் செக்யூரிட்டியின் நிலையற்ற அமர்வுக் கொள்கையைப் பயன்படுத்துகிறது, இது ரியாக்ட் போன்ற ஒற்றைப் பக்க பயன்பாடுகளுக்கு (SPAs) உகந்ததாக உள்ளது. இங்கே, REST API நிலையற்ற மாதிரியுடன் பொருந்துமாறு SecurityFilterChain உள்ளமைவைச் சரிசெய்கிறோம்.

@Bean
public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
    return http
        .csrf(csrf -> csrf.disable())  // Disable CSRF for REST APIs
        .authorizeHttpRequests(auth -> auth
            .requestMatchers("/user/register", "/user/login").permitAll()
            .anyRequest().authenticated()
        )
        .httpBasic(Customizer.withDefaults())
        .sessionManagement(session ->
            session.sessionCreationPolicy(SessionCreationPolicy.STATELESS)
        )
        .build();
}

தீர்வு 2: டோக்கன் அடிப்படையிலான அங்கீகாரத்திற்கான தனிப்பயன் அங்கீகரிப்பு வடிகட்டி

இந்த தீர்வில், தனிப்பயன் வடிகட்டி பயனரை அங்கீகரித்து, பதில் தலைப்பில் டோக்கனை இணைக்கிறது. இந்த வடிப்பான் டோக்கன் அடிப்படையிலான அங்கீகாரத்தைப் பயன்படுத்துகிறது, இது RESTful பயன்பாடுகளுக்கு ஏற்றது மற்றும் React உடன் தடையின்றி வேலை செய்யும்.

@Component
public class CustomAuthFilter extends OncePerRequestFilter {
    private final AuthenticationManager authenticationManager;
    public CustomAuthFilter(AuthenticationManager authManager) {
        this.authenticationManager = authManager;
    }
    @Override
    protected void doFilterInternal(HttpServletRequest request,
                                    HttpServletResponse response,
                                    FilterChain filterChain)
                                    throws ServletException, IOException {
        String authHeader = request.getHeader("Authorization");
        if (authHeader != null && authHeader.startsWith("Bearer ")) {
            String token = authHeader.substring(7);
            Authentication authentication = new UsernamePasswordAuthenticationToken(token, null);
            Authentication authResult = authenticationManager.authenticate(authentication);
            SecurityContextHolder.getContext().setAuthentication(authResult);
        }
        filterChain.doFilter(request, response);
    }
}

தீர்வு 3: சேவை வகுப்பு சரிசெய்தல் மற்றும் டோக்கன் பதில்

இந்தச் சேவை செயல்படுத்தல் வெற்றிகரமான உள்நுழைவில் JWT டோக்கனை அனுப்புகிறது, மட்டு வடிவமைப்பைப் பயன்படுத்தி, ஒவ்வொரு செயல்பாடும் சோதனைக்குரியது மற்றும் பயன்பாடு முழுவதும் மீண்டும் பயன்படுத்தக்கூடியது என்பதை உறுதிப்படுத்துகிறது.

@Service
public class AuthenticationService {
    private final AuthenticationManager authenticationManager;
    private final TokenProvider tokenProvider; // Custom class for generating JWTs
    public AuthenticationService(AuthenticationManager authenticationManager,
                                 TokenProvider tokenProvider) {
        this.authenticationManager = authenticationManager;
        this.tokenProvider = tokenProvider;
    }
    public String authenticateAndGenerateToken(LoginDTO loginDTO) {
        Authentication authentication = authenticationManager
            .authenticate(new UsernamePasswordAuthenticationToken(loginDTO.getUserName(),
                                                                loginDTO.getPassword()));
        SecurityContextHolder.getContext().setAuthentication(authentication);
        return tokenProvider.createToken(authentication);
    }
}

டோக்கன் உருவாக்கம் மற்றும் அங்கீகாரத்திற்கான அலகு சோதனை

இந்த ஜூனிட் சோதனையானது அங்கீகரிப்பு மற்றும் டோக்கன் உருவாக்கம் சரியாகச் செயல்படுவதையும், பாதுகாப்பான ஆதாரங்களை அணுகுவதற்கான அங்கீகாரத்தை உறுதிப்படுத்துவதையும் உறுதி செய்கிறது.

@SpringBootTest
@AutoConfigureMockMvc
public class AuthenticationServiceTest {
    @Autowired
    private MockMvc mockMvc;
    @MockBean
    private AuthenticationService authenticationService;
    @Test
    public void testAuthenticateAndGenerateToken() throws Exception {
        LoginDTO loginDTO = new LoginDTO("user", "password");
        String token = authenticationService.authenticateAndGenerateToken(loginDTO);
        mockMvc.perform(MockMvcRequestBuilders.post("/login")
                .contentType(MediaType.APPLICATION_JSON)
                .content("{\\"userName\\":\\"user\\", \\"password\\":\\"password\\"}"))
                .andExpect(status().isOk())
                .andExpect(header().exists("Authorization"))
                .andExpect(content().string("Successfully Authenticated"));
    }
}

நிலையற்ற வசந்த பாதுகாப்பு பயன்பாடுகளில் அமர்வு சவால்களை சமாளித்தல்

சந்தர்ப்பங்களில் வசந்த பாதுகாப்பு நிலையற்ற API தகவல்தொடர்புக்காக கட்டமைக்கப்பட்டுள்ளது, அமர்வு மேலாண்மை தந்திரமானதாக இருக்கும், குறிப்பாக தனிப்பயன் உள்நுழைவு ஓட்டத்தைப் பயன்படுத்தும் போது. நிலையற்ற உள்ளமைவுகள் என்பது ஒவ்வொரு கோரிக்கையும் அதன் சொந்த அங்கீகார டோக்கனைக் கொண்டு செல்ல வேண்டும், இது சேவையகம் முந்தைய கோரிக்கைகளிலிருந்து சுயாதீனமாக சரிபார்க்கிறது. ஒரு பயனர் ஒருமுறை உள்நுழைந்து, அவர்களின் அமர்வு சேவையகத்தில் தொடர்ந்து இருக்கும் பாரம்பரிய அமர்வு அடிப்படையிலான அமைப்புகளிலிருந்து இது வேறுபடுகிறது. REST APIகள் வழியாக அங்கீகாரத்தைக் கையாளவும் உள்நுழைவு கோரிக்கைகளை அனுப்பவும் பொதுவாகப் பயன்படுத்தப்படும் React frontends மூலம், ஒருங்கிணைப்பு ஒவ்வொரு API கோரிக்கையும் அங்கீகரிக்கப்படுவதை உறுதிப்படுத்த வேண்டும், பெரும்பாலும் JWTகள் போன்ற டோக்கன்களைப் பயன்படுத்துகிறது.

ஸ்பிரிங் செக்யூரிட்டியின் இயல்புநிலை அமர்வு மேலாண்மை தனிப்பயன் உள்ளமைவால் மாற்றப்படும் போது, ​​பயனர் அங்கீகாரத்தை எவ்வாறு அமைப்பது மற்றும் பராமரிப்பது என்பதைப் புரிந்துகொள்வது அவசியம். பாதுகாப்பு சூழல் வைத்திருப்பவர். அமர்வுகளை நம்பாமல், கோரிக்கை தலைப்புகளில் சேர்க்கப்பட்டுள்ள டோக்கன்களை சரிபார்க்கும் தனிப்பயன் அங்கீகார வடிப்பானைப் பயன்படுத்துவதன் மூலம் இதைத் தீர்ப்பதற்கான ஒரு வழி. அமர்வு நிலைத்தன்மை இல்லாமல் உங்கள் பயன்பாட்டிற்கு மீண்டும் மீண்டும் பயனர் அடையாளம் தேவைப்பட்டால், நீங்கள் டோக்கனை உள்நாட்டில் முன்பக்கத்தில் சேமித்து ஒவ்வொரு கோரிக்கையின் தலைப்பிலும் சேர்க்க விரும்பலாம். பாதுகாப்பான மற்றும் திறமையான RESTful APIகளுக்கான நிலையற்ற வடிவமைப்பு மாதிரியுடன் சீரமைத்து, அமர்வு நிலையைக் கண்காணிக்க வேண்டிய தேவையை இது நீக்குகிறது.

மேலும், லாக்அவுட் செயல்பாட்டை செயல்படுத்துவது நிலையற்ற பயன்பாடுகளில் கருத்தில் கொள்ள வேண்டிய மற்றொரு அம்சமாகும். சேவையகத்தில் எந்த அமர்வும் இல்லாததால், வெளியேறுவது பொதுவாக கிளையன்ட் பக்கத்திலிருந்து டோக்கனை அகற்றுவதை உள்ளடக்குகிறது. இந்தச் சூழ்நிலையில், கிளையண்டின் உள்ளூர் சேமிப்பகத்தில் உள்ள டோக்கனை நிராகரித்து, சர்வரில் உள்ள டோக்கனுடன் கோரிக்கைகளை நிராகரிப்பதன் மூலம் வெற்றிகரமான வெளியேறுதல் அடையப்படுகிறது. இந்த முறை சர்வர் பக்க அமர்வு கையாளுதல் இல்லாமல் அங்கீகரிக்கப்படாத அணுகலைத் தடுப்பதன் மூலம் அதிக பாதுகாப்பு நிலைகளை ஆதரிக்கிறது. இறுதியில், அளவிடுதல் மற்றும் பாதுகாப்பிற்கு முன்னுரிமை அளிக்கும் பயன்பாடுகளுக்கு இந்த உள்ளமைவு மிகவும் பொருத்தமானது, குறிப்பாக டோக்கன் சேமிப்பகத்தை திறம்பட நிர்வகிக்கக்கூடிய ரியாக்ட் போன்ற முன்-இறுதி கட்டமைப்புகளுடன் இணைக்கப்படும் போது. 🚀

ஸ்பிரிங் பாதுகாப்பு தனிப்பயன் அங்கீகாரச் சிக்கல்கள் பற்றிய பொதுவான கேள்விகள்

  1. அமைத்த பிறகும் நான் ஏன் 401 அங்கீகரிக்கப்படாத பிழையைப் பெறுகிறேன் SecurityContextHolder?
  2. 401 பிழையானது, அங்கீகரிப்பு சூழல் தொடரவில்லை என்றால் அடிக்கடி ஏற்படும். உங்கள் விண்ணப்பம் நிலையற்றதாக இருந்தால், டோக்கன் அடிப்படையிலான அங்கீகாரத்தைப் பயன்படுத்துகிறீர்கள் என்பதை உறுதிப்படுத்தவும்.
  3. ஸ்பிரிங் செக்யூரிட்டியில் நிலையற்ற அமர்வு நிர்வாகத்தை எவ்வாறு இயக்குவது?
  4. அமைக்கவும் SessionCreationPolicy.STATELESS உங்கள் SecurityFilterChain ஒவ்வொரு கோரிக்கையும் சுயாதீனமாக அங்கீகரிக்கப்படுவதை உறுதி செய்ய.
  5. பங்கு என்ன DaoAuthenticationProvider தனிப்பயன் அங்கீகாரத்தில்?
  6. தி DaoAuthenticationProvider உங்கள் தரவுத்தளத்திற்கு எதிராக பயனர் நற்சான்றிதழ்களை சரிபார்க்கிறது மற்றும் பாதுகாப்பான அங்கீகாரத்திற்காக கடவுச்சொற்களை குறியாக்குகிறது.
  7. ஸ்பிரிங் செக்யூரிட்டியில் அமர்வு நிர்வாகத்திற்கு JWT டோக்கன்களைப் பயன்படுத்தலாமா?
  8. ஆம், நிலையற்ற பயன்பாடுகளுக்கு JWT டோக்கன்கள் சிறந்தவை. அங்கீகாரத்திற்குப் பிறகு ஒரு டோக்கனை உருவாக்கி, அடுத்தடுத்த கோரிக்கைகளுக்கான தலைப்பில் அதைச் சேர்க்கவும்.
  9. CSRF பாதுகாப்பு நிலையற்ற APIகளை எவ்வாறு பாதிக்கிறது?
  10. CSRF பாதுகாப்பு பொதுவாக நிலையற்ற APIகளில் முடக்கப்பட்டுள்ளது csrf().disable() அமர்வுகள் இல்லாத API களுக்கு இது தேவையற்றது என்பதால்.
  11. உள்நுழைவு அல்லது பதிவு போன்ற சில இறுதிப்புள்ளிகளுக்கு பொது அணுகலை நான் அனுமதிக்க விரும்பினால் என்ன செய்வது?
  12. பயன்படுத்தவும் authorizeHttpRequests மற்றும் அங்கீகாரம் இல்லாமல் அணுகக்கூடிய இறுதிப்புள்ளிகளைக் குறிப்பிடவும் permitAll().
  13. ரியாக்ட் மூலம் கிளையன்ட் பக்கத்தில் டோக்கன்களை எவ்வாறு சேமிப்பது?
  14. டோக்கன்களை சேமிக்கவும் localStorage அல்லது sessionStorage, பின்தளமானது ஒவ்வொரு கோரிக்கையையும் அங்கீகரிக்க முடியும் என்பதை உறுதிப்படுத்த ஒவ்வொரு கோரிக்கையின் தலைப்பிலும் அவற்றைச் சேர்க்கவும்.
  15. APIகளுக்கான CSRFஐ முடக்குவது பாதுகாப்பானதா?
  16. CSRF முக்கியமாக குக்கீ அடிப்படையிலான தாக்குதல்களுக்கு எதிராகப் பாதுகாப்பதால், உங்கள் ஆப்ஸ் டோக்கன்களை நம்பியிருந்தாலோ அல்லது குக்கீகளைப் பயன்படுத்தாமலோ APIகளுக்கான CSRFஐ முடக்குவது பாதுகாப்பானது.
  17. செயல்பாடு என்ன OncePerRequestFilter தனிப்பயன் அங்கீகாரத்தில்?
  18. இந்த வடிப்பான் ஒரு கோரிக்கைக்கு ஒருமுறை மட்டுமே செயல்படுத்துகிறது, கோரிக்கை சுழற்சியில் தேவையற்ற சோதனைகள் இல்லாமல் அங்கீகார தர்க்கம் தொடர்ந்து பொருந்தும் என்பதை உறுதிப்படுத்துகிறது.
  19. எனது அங்கீகார டோக்கன் வெவ்வேறு இறுதிப்புள்ளிகளில் ஏன் அங்கீகரிக்கப்படாமல் போகலாம்?
  20. ஒவ்வொரு கோரிக்கையின் தலைப்பிலும் டோக்கனை அமைத்திருப்பதை உறுதிசெய்து, நிலையான டோக்கன் சரிபார்ப்பு செயல்முறையைப் பயன்படுத்தி சர்வரில் அது சரியாகச் சரிபார்க்கப்பட்டதா என்பதை உறுதிப்படுத்தவும்.
  21. எனது ஸ்பிரிங் பாதுகாப்பு உள்ளமைவை நான் எவ்வாறு சோதிப்பது?
  22. பயன்படுத்தவும் MockMvc உங்கள் சோதனைகளில் கோரிக்கைகளை உருவகப்படுத்தவும், அங்கீகார பதில்களைச் சரிபார்க்கவும் மற்றும் பாதுகாக்கப்பட்ட இறுதிப்புள்ளிகளை உள்நுழைந்த பிறகு மட்டுமே அணுக முடியும் என்பதை சரிபார்க்கவும்.

தனிப்பயன் வசந்த பாதுகாப்பு அங்கீகாரத்தில் 401 பிழைகளைத் தீர்ப்பதற்கான இறுதி எண்ணங்கள்

தனிப்பயன் உள்நுழைவுப் பக்கத்துடன் ஸ்பிரிங் அடிப்படையிலான பயன்பாட்டை வெற்றிகரமாகப் பாதுகாப்பதற்கு கவனமாக உள்ளமைவு தேவைப்படுகிறது, குறிப்பாக நிலையற்ற அமர்வுகள் அல்லது டோக்கன் அடிப்படையிலான அணுகுமுறைகளைப் பயன்படுத்தினால். ரியாக்ட் ஃபிரண்ட்டெண்டுடன் ஒருங்கிணைக்கும்போது, ​​உங்கள் பாதுகாப்பு உள்ளமைவு RESTful, நிலையற்ற கொள்கைகளுடன் சீரமைக்கப்படுவதை உறுதிசெய்தல் அமர்வு சிக்கல்களைத் தவிர்க்க உதவும்.

மாற்றியமைப்பதில் இருந்து பாதுகாப்பு வடிகட்டி சங்கிலி டோக்கன் அடிப்படையிலான ஓட்டங்களை செயல்படுத்துவதற்கான அமைப்புகள், ஒவ்வொரு அணுகுமுறையும் நம்பகமான அங்கீகார அமைப்பை உருவாக்குவதில் பங்கு வகிக்கிறது. அமர்வு மேலாண்மை, டோக்கன் கையாளுதல் மற்றும் பாதுகாப்புச் சூழல் ஆகியவற்றைப் புரிந்துகொள்வதன் மூலம், உங்கள் ஸ்பிரிங் செக்யூரிட்டி பயன்பாடுகளில் உள்ள 401 அங்கீகரிக்கப்படாத பிழைகளைத் தீர்க்க நீங்கள் நன்கு தயாராக இருப்பீர்கள். 🔒

வசந்த பாதுகாப்பில் தனிப்பயன் அங்கீகாரத்தை செயல்படுத்துவதற்கான ஆதாரங்கள் மற்றும் குறிப்புகள்
  1. ஸ்பிரிங் செக்யூரிட்டியின் உள்ளமைவு மற்றும் அமர்வு மேலாண்மை பற்றிய விரிவான விவரங்களுக்கு, பார்க்கவும் வசந்த பாதுகாப்பு அதிகாரப்பூர்வ ஆவணம் .
  2. ரியாக்ட் ஃபிரண்ட்டண்ட் மூலம் தனிப்பயன் அங்கீகார ஓட்டங்களைப் புரிந்துகொண்டு செயல்படுத்த, வழிகாட்டியைப் பார்க்கவும் வசந்த பாதுகாப்பு மற்றும் எதிர்வினை உள்நுழைவு பயிற்சி .
  3. இந்தக் கட்டுரையின் உள்ளமைவு எடுத்துக்காட்டுகள் மற்றும் ஸ்பிரிங் பூட் அமைவு ஆகியவை இவரின் நுண்ணறிவை அடிப்படையாகக் கொண்டவை Baeldung ஸ்பிரிங் பாதுகாப்பு அமர்வு வழிகாட்டி .