红帽全球峰会安全概述
摘要
第 1 章 Quarkus 安全概述
Quarkus Security 是一个框架,它提供架构、多个身份验证和授权机制,以及其他工具来构建安全、生产质量的 Java 应用程序。
在您的 Quarkus 应用程序中构建安全前,了解 Quarkus 安全架构 和您可以使用的不同身份验证机制和功能。
1.1. Quarkus 安全的主要功能
Quarkus 安全框架为 Basic、Form-based 和 mutual TLS (mTLS)身份验证提供了内置的安全身份验证机制。您还可以使用其他已知的 身份验证机制,如 OpenID Connect (OIDC)。身份验证机制取决于 身份提供程序 来验证身份验证凭据,并将它们映射到具有用户名、角色、原始身份验证凭据和其他属性的 SecurityIdentity 实例。
Quarkus 还包括内置的安全性,以允许基于常见安全注释 @RolesAllowed、@DenyAll、@PermitAll on REST 端点以及 Contexts 和 Dependency Injection (CDI) Bean 进行基于角色的访问控制(RBAC)。如需更多信息,请参阅 Web 端点指南的 Quarkus 授权 指南。
Quarkus 安全还支持以下功能:
Quarkus Security 也可高度自定义。如需更多信息,请参阅 Quarkus 安全提示和技巧 指南。
1.2. Quarkus 安全入门
要开始使用 Quarkus 中的安全,请考虑使用内置 Quarkus 基本身份验证 和 Jakarta Persistence 身份提供程序以及启用基于角色的访问控制来保护 Quarkus 应用程序端点。
使用基本身份验证和 Jakarta Persistence 教程 完成 Getting started with Security 中的步骤。
使用基本身份验证成功保护 Quarkus 应用程序后,您可以通过添加更多高级身份验证机制来进一步提高安全性,例如 Quarkus OpenID Connect (OIDC)授权代码流机制。
1.3. Quarkus 安全测试
有关测试 Quarkus 安全功能并确保您的 Quarkus 应用程序安全保护的指南,请参阅 安全测试 指南。
1.4. Quarkus 中的安全功能的更多信息
1.4.1. Websocket 下一步安全性
quarkus-websockets-next 扩展提供 WebSocket API 的现代、高效的实现。它还提供与 Quarkus 安全性的集成。如需更多信息,请参阅 Quarkus "WebSockets Next reference" 指南中的 Security 部分。
1.4.2. 跨原始资源共享
要使 Quarkus 应用程序可供在不同域上运行的另一个应用程序访问,您需要配置跨原始资源共享(CORS)。有关 CORS 过滤器 Quarkus 的更多信息,请参阅 Quarkus "Cross-origin 资源共享" 指南中的 CORS 过滤器 部分。
1.4.3. 跨站点请求 Forgery (CSRF)防止
Quarkus Security 提供了一个 Quarkus REST (以前为 RESTEasy Reactive)过滤,它可以防止您的应用程序免受 跨站点请求 Forgery 攻击。如需更多信息,请参阅 Quarkus cross -Site Request Forgery Prevention 指南。
1.4.4. SameSite cookies
您可以将 SameSite cookie 属性添加到 Quarkus 端点设置的任何 Cookie 中。如需更多信息,请参阅 Quarkus "HTTP 参考" 指南中的 SameSite cookies 部分。
1.4.5. Secret 引擎
您可以使用带有 Quarkus 的 secret 引擎来存储、生成或加密数据。
Quarkus 提供了 Quarkiverse 中用于安全存储凭证的额外扩展,如 Quarkus 和 HashiCorp Vault。
1.5. 环境属性中的 secret
Quarkus 支持将 secret 存储在环境属性中。如需更多信息,请参阅 环境文件指南中的 Quarkus 存储 secret。
1.5.1. 安全序列化
如果您的 Quarkus 安全架构包含 Quarkus REST (以前为 RESTEasy Reactive)和 Jackson,则 Quarkus 可以根据配置的安全性限制 JSON 序列化中包含的字段。如需更多信息,请参阅 Quarkus "Writing REST services with Quarkus REST (以前称为 RESTEasy Reactive)" 指南中的 JSON 序列化 部分。
1.5.2. 使用 Panache 保护 REST 数据自动生成的资源
如果您使用带有 Panache 扩展的 REST 数据自动生成资源,您仍可在软件包 jakarta.annotation.security 中使用安全注解。如需更多信息,请参阅 Quarkus "Generating Jakarta REST resources with Panache" 指南中的 保护端点 部分。
1.6. 安全漏洞检测
大多数 Quarkus 标签在美国 国家漏洞数据库(NVD)中报告。有关安全漏洞的详情,请查看 Quarkus 指南中的安全漏洞检测和报告。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}