В моето java webapp правя защита със стандартен spring-boot
implementation 'org.springframework.boot:spring-boot-starter-security'
@EnableWebSecurity
class SecurityConfig(...) : WebSecurityConfigurerAdapter() {
override fun configure(http: HttpSecurity) {
http.csrf().disable().httpBasic().disable()
.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.NEVER)
.sessionFixation().changeSessionId()
.and().authorizeRequests()
.antMatchers(*dennyPatterns).denyAll()
.antMatchers(*loginPatterns).permitAll()
.anyRequest().authenticated()
.and().formLogin().loginPage(loginUrl)
}
}
Как работи под капака?
Как мога да проверя в обратен прокси, например Nginx, ако заявката е направена от удостоверен потребител?