Restful API Security

pom.xml


Tutaq ki, app /movies api a muraciet edir. Bu zaman, o ilk once OAuth2 serverine chatir. Url e muraciet etdiyi zaman, ozunde appId , secretKey, username, password kimi melumatlari saxladir.
OAuth2 serverine chatdiqda, appId ve secretKey e gore muracietin mumkunluyunu teyin edir. Meselen app in /movies e muraciet huququ var , lakin /news a muraciet huququ yoxdur. Eger muraciet huququ yoxdursa, hech restful a muraciet gedib chatmir, yari yolda OAuth2 terefinden saxladilir.
Tutaq ki , muraciet huququ var, bu zaman restful a muraciet olunur. Muraciet zamani gelen username ve password burada rol oynayir. Restful API teyin edir ki, bu username ve password var mi , varsa hansi huquqlara malikdir. Alinan neticeni geri qaytarir.



BasicAuthentication ve DigestAuthentication
BasicAuth da api e her defe sorgu gonderende username ve password gonderilir ve bu melumatlara gore huququ teyin edilir, hech bir token olmur. Bu melumatlar gonderilen zaman hashlanmamish formada gonderilir.
DigestAuth ise Basic in ust versiyasidir. Burada username ve password hashlanmish shekilde gonderilir.
Bu 2 sinin chatishmayan ceheti resurslarin idare olunmasindadir. Yuxardaki shekildeki kimi sorgu gonderenin huququnu teyin ede bilmirler.

OAuth2 de ise bu melumatlar token sheklinde gonderilir ve resurslarin idare olunmasi mumkundur.

Classlar haqqinda :

SecurityConfig login olan adam uchun ishleyir

AuthorizationServerConfig appId , secretKey  ve diger parametrler vasitesiyle resurs teyin olunur.

ResourceServerConfig resurs id nin hansi token ile ishleyeceyini teyin edir.

Popular posts from this blog

Validation for AZ phone numbers with RegEx in Java

Number bir neche formada gele biler bize. Meselen,  99451xxxxxxx 99455xxxxxxx ve s. 051xxxxxxx 055xxxxxxx ve s. 51xxxxxxx 55xxxxxxx ve s. Bu nomreleri standart formaya salmaq uchun kichik kod : public static String validate (String number){ final String prefix = "994" ; if (number.length() == 12 && number.matches( "^(994)+(50|51|55|70|77|99).*$" )) { return number ; } else if (number.length() == 10 && number.matches( "^(0)+(50|51|55|70|77|99).*$" )) { return prefix + number.substring( 1 ) ; } else if (number.length() == 9 && number.matches( "^(50|51|55|70|77|99).*$" )) { return prefix + number ; } return null; } sonda bize qayidan netice  99451xxxxxxx ve ya 99455xxxxxxx sheklinde olacaq. Eger null qayidarsa, bu methodun cagrildigi yerde uygun helli etmek olar.
Read more

Java necə işləyir, kod nədir ?

Image
Ilk once proqrami run etmezden qabaq, qarshimizda olan ClassName.java faylini nezerden kecirek. Bu fayl sadece bildiyimiz .txt faylindan ibaretdir. Burada her hansi bir IDE vasitesile proqrami run etdikde, hemin IDE, JDK nin terkibindeki bin package in icindeki javac ni cagirir. javac bizim yazdigimiz ClassName.java faylini bytecodelara cevirir, ve eyni adli .class fayli yaradir. Bu fayl JRE uchun lazimlidir. JRE oz novbesinde elde etdiyi .class formatli fayllardan istifade ederek, OS a davamli olaraq emrler gonderir ve proqrami icra edir. QEYD: JDK , terkibinde compiler ve run etmek uchun istifade olunan komponentleri ozunde saxlayir. Java Development Kit . Proqramcinin ehtiyac duydugu komponentdir. JRE , java da yazilmish proqrami istenilen OS da run etmek uchun, qisaca proqrami run etmek uchun istifade olunur. Java Runtime Environment. yazdigimiz java app i run etmek uchun teleb olunan minimum komponent jre dir. user teref uchun esasen ehtiyac duyulur https://medium.com/@b
Read more

@Transactional annotation haqqinda. Cascade istifade olunmasi

Image
Umumiyyetle bu annotation Service Layer de istifade etmek duzgundur. Repository de istifade etmek, Serivce layerden cagrilan her bir Repository method uchun tranzaksiyanin yaradilmasi demekdir.  Meselen, UserRepository de save ve remove adli method var tutaq ki ve Transactional annotation u ile qeyd olunub. Service Layerde saveAndRemoveUnused adli method var. Bu method save edib, istifade olunmayanlari remove edecek.  Eger Service Layerden bu iki methodu cagirsaq, bu zaman her bir emeliyyat uchun Tranzaksiya achilacaq ki, bu da db ni yora biler. Hell yolu olaraq, Service Layerde bu methodlarin istifade oludugun yerde @Transaction qeyd etmek kifayetdir. Bu zaman bu method ishlediyi vaxt boyunca yalniz bir tranzaksiya achilacaq. save ve update methodlari uchun ayrica tranzaksiya achilmayacaq. Diger istifadesine baxsaq meselen, update method id e gore tapir ve hemin useri hansisa field ni deyishir. Methodun bashina @Transactional yazmaqla, userRepository nin save methodunu cagirmaqdan use
Read more