Java RESTful API 的安全性考虑因素：保护 API 免受威胁

身份验证

身份验证是验证用户是谁的过程。对于 RESTful api，可以通过以下几种方式实现：

• 基本身份验证：将用户名和密码通过 Base64 编码发送到服务器。

  @PostMapping("/login")
  public ResponseEntity<Void> login(@RequestBody UserCredentials credentials) {
    // 验证凭证并生成 Jwt 令牌
  }

• JWT 令牌：JSON WEB 令牌 (JWT) 是一种包含用户标识信息的紧凑型签名令牌。

  @GetMapping("/protected-resource")
  public ResponseEntity<ProtectedResource> getProtectedResource() {
    // 从请求中提取 JWT 令牌并验证
  }

• OAuth2：OAuth2 是一種委任權限的機制，允許第三方應用程式代表使用者存取受保護資源。

  @RequestMapping("/oauth2/authorization-code")
  public ResponseEntity<Void> authorizationCode(@RequestParam String code) {
    // 兌換授權碼以取得存取令牌
  }

授权

授权确定用户可以访问哪些 API 资源。这可以通过以下方式实现：

• 基于角色的访问控制 (RBAC)：角色是用户具有一组权限的集合。

  @PreAuthorize("hasRole("ADMIN")")
  @GetMapping("/admin-resource")
  public ResponseEntity<AdminResource> getAdminResource() {
    // 僅限具有「ADMIN」角色的使用者存取
  }

• 基于资源的访问控制 (RBAC)：權限直接分配給資源，例如特定使用者可以編輯特定記錄。

  @PreAuthorize("hasPermission(#record, "WRITE")")
  @PutMapping("/record/{id}")
  public ResponseEntity<Void> updateRecord(@PathVariable Long id, @RequestBody Record record) {
    // 僅限具有「WRITE」許可權的使用者可以更新記錄
  }

数据验证

数据验证确保通过 API 提交的数据是有效的和安全的。这可以通过以下方式实现：

• Joi：Joi 是一个流行的 javascript 库，用于验证和清理用户输入。

  
  import io.GitHub.classgraph.ClassGraph;

// 使用 Joi 驗證使用者輸入 @PostMapping("/user") public ResponseEntity createUser(@RequestBody User user) { ValidationResult result = Joi.validate(user, USER_SCHEMA); }

* **Jackson：**Jackson 是一个用于将 Java 对象序列化和反序列化的库，它提供了内置的验证功能。
```java
@PostMapping("/product")
public ResponseEntity<Void> createProduct(@RequestBody Product product) {
    // 使用 Jackson 驗證產品資料
    ObjectMapper mapper = new ObjectMapper();
    mapper.configure(DeserializationFeature.FaiL_ON_UNKNOWN_PROPERTIES, true);
}

加密

加密用于保护通过 API 传输的数据。这可以通过以下方式实现：

• SSL/TLS 加密：SSL/TLS 加密在 API 和客户端之间创建安全的连接。

  @Configuration
  @EnableWebSecurity
  public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
  
    @Override
    protected void configure(httpsecurity Http) throws Exception {
        // 將請求強制導向 HTTPS
        http.requiresChannel().anyRequest().requiresSecure();
    }
  }

• JWT 令牌签名：JWT 令牌是使用加密密钥进行签名的。

  @Bean
  public JwtEncoder jwtEncoder() {
    // 使用 256 位 AES 密鑰產生 JWT 編碼器
    return new JoseJwtEncoder(new Aes256JweAlGorithm())
  }

• 数据加密：敏感数据可以在数据库或内存中加密。

  @Entity
  public class User {
  
    @Column(name = "passWord")
    private String encryptedPassword;
  
    @PrePersist
    public void encryptPassword() {
        encryptedPassword = PasswordEncoder.encrypt(password);
    }
  }

通过采取这些措施，开发人员可以提高其 Java RESTful API 的安全性，使其免受未经授权的访问、数据泄露和其他威胁。定期审查安全措施和更新 API 以适应新的威胁至关重要，以确保持续的安全性。