Авторизация - Spring Security в деталях
Вставка
- Опубліковано 26 чер 2024
- Представить себе информационную систему, в которой все пользователи имеют одинаковые неограниченные права практически невозможно - в абсолютном большинстве информационных систем пользователи обладают разными правами, в зависимости от выполняемых задач. Авторизация обеспечивает предоставление полномочий пользователям, а так же проверку их наличия у пользователя при необходимости. В этом ролике я постарался рассказать, что такое авторизация, какие основные способы её реализации существуют, а так же рассмотрел применение Spring Security для обеспечения авторизованного доступа к HTTP-эндпоинтам и методам.
00:00:00 Вступление
00:00:19 Что такое авторизация
00:02:20 Подходы к реализации авторизации
00:13:18 HTTP-авторизация
00:44:26 Защита методов
01:15:07 Иерархии прав
#java #spring #springsecurity #abac #rbac #authorization #авторизация
Мой сайт: alexkosarev.name/
Паблик в VK: public218833461
Канал в Telegram: t.me/+TZCuO38vG3oqu_Jq
Стать доном: donut/shurik.codes
Донаты в Boosty: boosty.to/akosarev/purchase/1...
Донаты в Tinkoff: www.tinkoff.ru/cf/4PEOiVCZQuS
Краааайне годное видео. Спасибо, что потратил время на запись, уверен ты потратил далеко не полтора часа :D
Александр, вы выпускаете невероятно крутые видео. Особенно сильно я обалдел, когда в одном из них вы упомянули Стаса Асафьева. Невольно пробежала мысль: "Вот это да, теперь осталось дождаться, когда стасян в своей документалке упомянет сельского джависта". Спасибо вам огромное
полтора часа кайфа
Да ну бросьте меня так нахваливать, а то щёчки аж покраснели xD
Было бы еще очень круто увидеть от вас видео по работе с протоколом websocket
Спасибо за труд! Продолжай в том же духе) было бы интересно узнать, как вообще пришел к Java, как рос от Джуна до текущей должности, как прокачиваешь скилы)
прекрасная лекция, были проблемы с переходом на Spring Boot 3, теперь многие препоны сняты, спасибо
Отличный ролик ! Очень хорошо все рассказано, понятно и ёмко. Смотрится как хороший фильм - на одном дыхании )) Огромное Спасибо, Александр !
отлично, спасио за очередную порцию годноты!
Очень круто! Как насчёт полного курса по спрингу?)
Отвечу стандартно: было бы время)
Четкое объяснение! Благодарность за труд и время
Как всегда отлично! Жду ролик про ACL.
Спасибище! очень в тему! давно ждал ))
очень круто и качественно, все по делу, спасибо тебе огромное:3
Топовые видео по Security! И свежее что очень важно!
Спасибо
Лайк, коммент🎉
Про dispatcherTypeMatchers хотелось бы больше информации. Как раз столкнулся с проблемой, когда тип asynk (и запрос всегда падал с 403), ну и как выход был permitAll. Но внутренности сего процесса остались неясны.
А в целом отличные видео, очень много именно нужной информации в структурном виде
Огромное спасибо!
Уважаемый, будь те так любезны выпустить видео про Hibernate. Используют или нет Criteria API, основные практики и т.д. Хотелось бы знать, на чём лучше сконцентрировать внимание.
Я на практике не использую JPA/Hibernate, но пожелание учту)
Отличный канал с крутым контентом! Подписка и лайк однозначно. Скажите, планируются ли видео по reactive programming? Также очень интересует Debezium, Apache Camel, Flink и Spark.
Про реактивное программирование будет, про Apache Camel, возможно, тоже
@shurik_codes
Александр, спасибо огромное за контент! ❤ Очень информативно!
21:53 Скажите, планируется ли ролик по работе с CAS? И, может быть, SAML?
Да, блиииин... Ещё две темы в планы надо добавлять)
Учим яву, не расстраиваем Чака😂
Безумно полезное видео, автору низкий поклон! У меня вопрос насколько целесообразно давать доступы и через http и через аннотации в одном приложении?
Иногда встречаются ситуации, когда объединение техник авторизации может быть удобным, особенно, когда речь идёт о постфильтрации или поставторизации (@PostFilter и @PostAuthorize). В целом нет ничего плохого в комбинировании этих техник, хотя в большинстве случаев, на мой взгляд, можно обойтись какой-то одной.
Привет, ты навешивал Pre/PostAuthorize на сервисы, а не на контроллеры, за этим скрывается какая-то логика? А так же чему спринг отдает приоритет если присутствуют и аннотации, и фильтер чейн?
И @PreAuthorize и @PostAuthorize можно вешать и на контроллер (и не только), всё зависит от того, где хочется ограничивать доступ. Наивысший приоритет у фильтра авторизации.
Тяжело читать шрифт, поменяй пожалуйста на обычный какой нибудь, а так видео топ
Спасибо за видео. Можно ли аннотации фильтрации использовать "не по назначению", а, например, для изменения содержимого объектов коллекции? В качестве примера такой гипотетический кейс: возвращать весть список туду-шек (не только автора), но чужие туду-шки "деперсонализировать" (заменить имя автора на белиберду).
Нет, изменять сами объекты средствами Spring Security не получится, но это можно сделать при помощи АОП: описать соответствующие точки среза, и в советах модифицировать данные
классный видос, но вешать авторайзы в сервисах - жесть какая то). Если это сервисы будут использоваться внутри приложения, везде надо будет авторизоваться?) Даже представить себе кейс не могу короче такой)
Не вижу никаких проблем, абсолютно нормальное и рабочее решение, аутентификацию пройти нужно всего один раз, контекст безопасности хранится в рамках запроса и может быть получен в любой момент, в том числе и для проверки доступа
@@shurik_codes зачем проходить аутентификацию внутри приложения? взаимодействие с другими приложениями происходит через рест апи же
Спасибо. Защита методов и HTTP оно все комбинируется в продакшине или выбирается один какой-то?
Можно комбинировать, безопасность методов позволяет более тонко настраивать авторизацию, например, проверять доступ к загруженным из БД объектам, а HTTP-безопасность позволяет настроить авторизацию более общими правилами.
Добрый день! Спасибо за видео. Можно этот код в репозитории GitHub увидеть?
К этому видео нет примеров кода
не плохой контент, но от паразитов б следует избавится, таких например как `соответственно` etc
Правильно ли я понимаю, что spring security будет работать, если в качестве веб-сервера используется Tomcat (spring-boot-starter-web)? Например, если буду использовать в качестве веб-сервера Armeria, то spring security не будет ловить запросы.
Насколько я понимаю, Armeria основан на Netty, предположу, что можно прикрутить Spring Security Reactive
Расскажите, пожалуйста, как использовать кастомные аннотации в авторизации. В аннотации задаются енам параметры (ресурс, действие), по которым через внешний сервис определяется имеет пользователь право доступа к методу или нет.
АОП в помощь: в точках среза указывать (pointcut) перехватываемые аннотации, в советах (advice) реализовывать нужную логику
То есть хотите сказать с помощью Spring Security такое невозможно сделать?
@@user-jq5ez8vz2j чтобы строить поведение относительно кастомные аннотаций нужно АОП, а внутри можно использовать spring security
@@shurik_codes не уверен, что это оптимальный путь. Но в любом случае было бы интересно посмотреть как правильно встроить СС в advice, чтоб аннотация отрабатывала полностью как @PreAuthorize например, как на обычных методах, так и на контроллерах.
Подскажите, какой шрифт у вас
JetBrains Mono
Ты на windows пересел?
Нет, это Ubuntu Linux)
напугал)
Убранный вентилятор еле пережил, а тут переход на виндоус)
@@shurik_codes
один на нас другой на кавказ
Слишком длинные ролики, больше 20 минут не хочется смотреть(
Кому-то нужны исчерпывающие ролики, кому-то коротенькие, к сожалению, угодить всем не могу
знаю о таком, а если делать короткую версию и расширенную? будет больше контента, больше лайков и просмотров)@@shurik_codes
@@psevdonim_youtube147 на это всё время надо, которого катастрофически не хватает
Ставь на x2 если куда то спешишь. Человек всё подробно разбирает.