您好,我的应用程序存在安全问题,使经过身份验证的用户可以访问特定的端点,未经身份验证的用户可以访问其他端点,最重要的是,继续使应用程序能够与自身通信,而无需将密码存储为字符串案例基础。
代码库:
我的代码库包含许多通过REST和GraphQL调用进行通信的软件包。没有身份验证,此系统可以正常工作。使用Maven在Java 8中进行开发。
目标:
我目前正在向代码库添加身份验证,这将使三件事发生。
当前发展情况:
我已经实现了Spring Security内存身份验证(https://www.appsdeveloperblog.com/spring-security-in-memory-authentication/)。它成功阻止了URL的调用,并提示用户输入凭据,但某些预定义端点上除外。满足标准3和标准2的一部分(因为管理员可以访问Swagger和GraphiQL)。
我的问题:
不幸的是,由于用于包之间通信的RestTemplate不再具有正确的身份验证,因此设置此系统已中断了内部调用。
虽然我可以使用BasicAuthenticationInterceptor(https://www.baeldung.com/how-to-use-resttemplate-with-basic-authentication-in-spring)提供授权,但这将意味着必须在代码库的String中编写密码。据我了解,这是一种不好的形式,因为字符串然后存储在字符串池中。在其他地方,我设法在编码密码之前使用CharBuffer避免了这种情况,但是BasicAuthenticationInterceptor需要一个字符串。
任何有关如何进行的建议将不胜感激。
答案 0 :(得分:1)
如果您使用基本身份验证,则在使用resttemplate进行内部调用时必须提供密码。这并不意味着您需要在代码库中以纯文本格式存储敏感数据(在本例中为基本身份验证的凭据)。最常见的做法之一是使用外部文件存储敏感数据,然后让应用程序在运行时使用它们。您可能还想忽略git存储库中的文件,以防止该文件成为代码库的一部分。
如果您使用的是Spring Boot,请查看特定于环境的属性文件,这可能是存储特定于配置文件的配置和此类数据的理想方法。 https://docs.spring.io/spring-boot/docs/1.5.5.RELEASE/reference/html/boot-features-external-config.html https://www.baeldung.com/properties-with-spring
如果您担心将凭证以纯文本格式存储在属性文件中,则还可以加密属性文件中的敏感数据。 Spring Boot how to hide passwords in properties file