Выполнение запросов
OkHttp поддерживает синхронные и асинхронные вызовы.
Синхронный вызов:
Асинхронный вызов:
Обработка ответов
Ответы в OkHttp неизменяемы и предоставляют доступ к заголовкам, телу и статусу ответа.
Важно: Метод response.body().string() загружает тело ответа в память, поэтому для больших ответов рекомендуется использовать потоковую передачу:
Расширенные функции
Интерсепторы
Интерсепторы — это мощный механизм для наблюдения, модификации и управления запросами и ответами.
OkHttp поддерживает два типа интерсепторов:
Прикладные интерсепторы (addInterceptor): Вызываются для каждого запроса и ответа, включая кэшированные. Подходят для логирования, добавления заголовков или модификации запросов.
Сетевые интерсепторы (addNetworkInterceptor): Вызываются только для сетевых запросов, игнорируя кэшированные ответы. Полезны для обработки перенаправлений и повторных попыток.
Пример интерсептора для логирования:
Добавление интерсептора:
Пример сетевого интерсептора для добавления заголовка Cache-Control:
Практическое применение интерсепторов:
Логирование запросов и ответов с помощью HttpLoggingInterceptor.
Добавление заголовков аутентификации.
Повторные попытки при сбоях (например, при 503 ошибках).
Модификация тела запроса или ответа (например, шифрование/дешифрование).
#Java #middle #on_request #OkHttp
OkHttp поддерживает синхронные и асинхронные вызовы.
Синхронный вызов:
OkHttpClient client = new OkHttpClient();
Call call = client.newCall(request);
Response response = call.execute();
Асинхронный вызов:
Call call = client.newCall(request);
call.enqueue(new Callback() {
@Override
public void onFailure(Call call, IOException e) {
System.err.println("Request failed: " + e.getMessage());
}
@Override
public void onResponse(Call call, Response response) throws IOException {
if (response.isSuccessful()) {
String body = response.body().string();
System.out.println("Response: " + body);
}
}
});
Обработка ответов
Ответы в OkHttp неизменяемы и предоставляют доступ к заголовкам, телу и статусу ответа.
if (response.isSuccessful()) {
String body = response.body().string(); // Важно: вызывать .string() только один раз
System.out.println("Response body: " + body);
} else {
System.err.println("Request failed with code: " + response.code());
}
response.close(); // Закрытие ответа для освобождения ресурсовВажно: Метод response.body().string() загружает тело ответа в память, поэтому для больших ответов рекомендуется использовать потоковую передачу:
try (ResponseBody body = response.body()) {
InputStream inputStream = body.byteStream();
// Чтение потока
}Расширенные функции
Интерсепторы
Интерсепторы — это мощный механизм для наблюдения, модификации и управления запросами и ответами.
OkHttp поддерживает два типа интерсепторов:
Прикладные интерсепторы (addInterceptor): Вызываются для каждого запроса и ответа, включая кэшированные. Подходят для логирования, добавления заголовков или модификации запросов.
Сетевые интерсепторы (addNetworkInterceptor): Вызываются только для сетевых запросов, игнорируя кэшированные ответы. Полезны для обработки перенаправлений и повторных попыток.
Пример интерсептора для логирования:
public class LoggingInterceptor implements Interceptor {
@Override
public Response intercept(Chain chain) throws IOException {
Request request = chain.request();
long t1 = System.nanoTime();
System.out.println(String.format("Sending request %s on %s%n%s",
request.url(), chain.connection(), request.headers()));
Response response = chain.proceed(request);
long t2 = System.nanoTime();
System.out.println(String.format("Received response for %s in %.1fms%n%s",
response.request().url(), (t2 - t1) / 1e6d, response.headers()));
return response;
}
}Добавление интерсептора:
OkHttpClient client = new OkHttpClient.Builder()
.addInterceptor(new LoggingInterceptor())
.build();
Пример сетевого интерсептора для добавления заголовка Cache-Control:
public class CacheControlInterceptor implements Interceptor {
@Override
public Response intercept(Chain chain) throws IOException {
Request request = chain.request();
Response response = chain.proceed(request);
return response.newBuilder()
.header("Cache-Control", "max-age=60")
.build();
}
}Практическое применение интерсепторов:
Логирование запросов и ответов с помощью HttpLoggingInterceptor.
Добавление заголовков аутентификации.
Повторные попытки при сбоях (например, при 503 ошибках).
Модификация тела запроса или ответа (например, шифрование/дешифрование).
#Java #middle #on_request #OkHttp
👍3
Настройка клиента
OkHttpClient.Builder позволяет настраивать параметры клиента, такие как таймауты, пул соединений и интерсепторы.
Для отключения перенаправлений:
Загрузка файлов
OkHttp поддерживает загрузку файлов с помощью MultipartBody:
Для отслеживания прогресса загрузки можно создать кастомный RequestBody:
Отмена запросов
Запросы можно отменить с помощью метода Call.cancel():
Кэширование
Для настройки кэша:
#Java #middle #on_request #OkHttp
OkHttpClient.Builder позволяет настраивать параметры клиента, такие как таймауты, пул соединений и интерсепторы.
OkHttpClient client = new OkHttpClient.Builder()
.connectTimeout(10, TimeUnit.SECONDS)
.readTimeout(30, TimeUnit.SECONDS)
.writeTimeout(30, TimeUnit.SECONDS)
.build();
Для отключения перенаправлений:
OkHttpClient client = new OkHttpClient.Builder()
.followRedirects(false)
.build();
Загрузка файлов
OkHttp поддерживает загрузку файлов с помощью MultipartBody:
File file = new File("src/test/resources/test.txt");
RequestBody fileBody = RequestBody.create(MediaType.parse("application/octet-stream"), file);
RequestBody requestBody = new MultipartBody.Builder()
.setType(MultipartBody.FORM)
.addFormDataPart("file", file.getName(), fileBody)
.build();
Request request = new Request.Builder()
.url("https://api.example.com/upload")
.post(requestBody)
.build();Для отслеживания прогресса загрузки можно создать кастомный RequestBody:
public class ProgressRequestWrapper extends RequestBody {
private final RequestBody requestBody;
private final ProgressListener listener;
public ProgressRequestWrapper(RequestBody requestBody, ProgressListener listener) {
this.requestBody = requestBody;
this.listener = listener;
}
@Override
public MediaType contentType() {
return requestBody.contentType();
}
@Override
public void writeTo(BufferedSink sink) throws IOException {
CountingSink countingSink = new CountingSink(sink, this, contentLength());
BufferedSink bufferedSink = Okio.buffer(countingSink);
requestBody.writeTo(bufferedSink);
bufferedSink.flush();
}
public interface ProgressListener {
void update(long bytesWritten, long contentLength, boolean done);
}
}Отмена запросов
Запросы можно отменить с помощью метода Call.cancel():
Call call = client.newCall(request);
ScheduledExecutorService executor = Executors.newScheduledThreadPool(1);
executor.schedule(() -> {
call.cancel();
System.out.println("Request cancelled");
}, 1, TimeUnit.SECONDS);
Кэширование
Для настройки кэша:
File cacheDirectory = new File("src/test/resources/cache");
int cacheSize = 10 * 1024 * 1024; // 10 MiB
Cache cache = new Cache(cacheDirectory, cacheSize);
OkHttpClient client = new OkHttpClient.Builder()
.cache(cache)
.build();#Java #middle #on_request #OkHttp
👍3
Лучшие практики
Управление соединениями:
Используйте пулинг соединений для оптимизации производительности, но следите за количеством открытых соединений, чтобы избежать перегрузки ресурсов.
Настройте максимальное количество соединений с помощью ConnectionPool.
Обработка больших ответов:
Избегайте использования response.body().string() для больших ответов. Вместо этого используйте byteStream() для потоковой обработки.
Обработка ошибок:
Реализуйте повторные попытки для преходящих ошибок (например, 503) с помощью интерсепторов.
Всегда закрывайте Response с помощью response.close() или try-with-resources.
Безопасность:
Регулярно обновляйте OkHttp для получения последних исправлений безопасности.
Используйте привязку сертификатов для защиты от атак типа "человек посередине".
Асинхронные вызовы:
Предпочитайте асинхронные вызовы для Android-приложений, чтобы избежать блокировки UI-потока.
Интеграция с другими библиотеками
OkHttp часто используется в связке с другими библиотеками:
Retrofit: Упрощает создание RESTful API, используя OkHttp как базовый HTTP-клиент.
Moshi/Gson: Для сериализации и десериализации JSON.
HttpLoggingInterceptor: Для логирования HTTP-запросов и ответов.
Тестирование
OkHttp предоставляет MockWebServer для имитации серверных ответов в тестах:
Для добавления MockWebServer в проект:
Требования и зависимости
Версии: OkHttp 5.x поддерживает Android 5.0+ (API 21+) и Java 8+. Для более старых платформ используйте ветку 3.12.x (Android 2.3+, Java 7+).
Зависимости: Okio и стандартная библиотека Kotlin. Опционально: Conscrypt для улучшенной TLS-поддержки.
Maven:
Для управления версиями рекомендуется использовать BOM:
Поддержка GraalVM
OkHttp совместим с GraalVM Native Image, начиная с версии 5.0.0-alpha.2.
Пример сборки:
Безопасность
Для обеспечения безопасности регулярно обновляйте OkHttp, чтобы использовать последние исправления. Следите за историей конфигурации TLS на странице OkHttp.
#Java #middle #on_request #OkHttp
Управление соединениями:
Используйте пулинг соединений для оптимизации производительности, но следите за количеством открытых соединений, чтобы избежать перегрузки ресурсов.
Настройте максимальное количество соединений с помощью ConnectionPool.
Обработка больших ответов:
Избегайте использования response.body().string() для больших ответов. Вместо этого используйте byteStream() для потоковой обработки.
Обработка ошибок:
Реализуйте повторные попытки для преходящих ошибок (например, 503) с помощью интерсепторов.
Всегда закрывайте Response с помощью response.close() или try-with-resources.
Безопасность:
Регулярно обновляйте OkHttp для получения последних исправлений безопасности.
Используйте привязку сертификатов для защиты от атак типа "человек посередине".
Асинхронные вызовы:
Предпочитайте асинхронные вызовы для Android-приложений, чтобы избежать блокировки UI-потока.
Интеграция с другими библиотеками
OkHttp часто используется в связке с другими библиотеками:
Retrofit: Упрощает создание RESTful API, используя OkHttp как базовый HTTP-клиент.
OkHttpClient client = new OkHttpClient.Builder()
.addInterceptor(new LoggingInterceptor())
.build();
Retrofit retrofit = new Retrofit.Builder()
.baseUrl("https://api.example.com/")
.client(client)
.addConverterFactory(GsonConverterFactory.create())
.build();
Moshi/Gson: Для сериализации и десериализации JSON.
HttpLoggingInterceptor: Для логирования HTTP-запросов и ответов.
Тестирование
OkHttp предоставляет MockWebServer для имитации серверных ответов в тестах:
MockWebServer server = new MockWebServer();
server.enqueue(new MockResponse().setBody("Hello, world!"));
server.start();
HttpUrl baseUrl = server.url("/test");
OkHttpClient client = new OkHttpClient();
Request request = new Request.Builder().url(baseUrl).build();
Response response = client.newCall(request).execute();
assertEquals("Hello, world!", response.body().string());
server.shutdown();
Для добавления MockWebServer в проект:
<dependency>
<groupId>com.squareup.okhttp3</groupId>
<artifactId>mockwebserver</artifactId>
<version>5.1.0</version>
<scope>test</scope>
</dependency>
Требования и зависимости
Версии: OkHttp 5.x поддерживает Android 5.0+ (API 21+) и Java 8+. Для более старых платформ используйте ветку 3.12.x (Android 2.3+, Java 7+).
Зависимости: Okio и стандартная библиотека Kotlin. Опционально: Conscrypt для улучшенной TLS-поддержки.
Maven:
<dependency>
<groupId>com.squareup.okhttp3</groupId>
<artifactId>okhttp</artifactId>
<version>5.1.0</version>
</dependency>
Для управления версиями рекомендуется использовать BOM:
<dependency>
<groupId>com.squareup.okhttp3</groupId>
<artifactId>okhttp-bom</artifactId>
<version>5.1.0</version>
<type>pom</type>
<scope>import</scope>
</dependency>
Поддержка GraalVM
OkHttp совместим с GraalVM Native Image, начиная с версии 5.0.0-alpha.2.
Пример сборки:
./gradlew okcurl:nativeImage
./okcurl/build/graal/okcurl https://httpbin.org/get
Безопасность
Для обеспечения безопасности регулярно обновляйте OkHttp, чтобы использовать последние исправления. Следите за историей конфигурации TLS на странице OkHttp.
#Java #middle #on_request #OkHttp
👍4
Обзор JSON Web Tokens (JWT) в Java
JSON Web Tokens (JWT) — это стандарт для создания компактных, самодостаточных токенов, используемых для безопасной передачи информации между сторонами в виде JSON-объекта. JWT широко применяется для аутентификации и авторизации в веб-приложениях, особенно в REST API. В Java экосистема библиотек, таких как jjwt и java-jwt, предоставляет мощные инструменты для работы с JWT.
Структура JWT
JWT состоит из трех основных частей, разделенных точками (.):
Header — содержит метаданные о токене, такие как тип (typ: JWT) и алгоритм подписи (например, alg: HS256 или RS256).
Payload — содержит полезные данные (claims), такие как идентификатор пользователя (sub), время выпуска (iat), срок действия (exp) и кастомные данные.
Signature — подпись, созданная с использованием секретного ключа или пары ключей (для асимметричных алгоритмов), для проверки целостности и подлинности токена.
Каждая часть кодируется в Base64Url и объединяется в строку вида: Header.Payload.Signature.
Пример JWT:
Использование JWT в Java
Наиболее популярная библиотека для работы с JWT в Java — это io.jsonwebtoken:jjwt. Она поддерживает создание, парсинг и валидацию токенов с использованием различных алгоритмов подписи.
Установка зависимости
Добавьте зависимость в pom.xml для Maven:
Создание JWT
Пример создания JWT с использованием HMAC-SHA256:
Парсинг и валидация JWT
Пример проверки и извлечения данных из токена:
Управление памятью и производительность
1. Размер токена и влияние на память
JWT компактны, но их размер зависит от содержимого payload и используемого алгоритма.
Например:
HMAC-SHA256 (симметричный) создает токены меньшего размера, так как используется один ключ.
RSA/ECDSA (асимметричные алгоритмы) увеличивают размер подписи, что может быть заметно при большом количестве токенов.
Payload с большим количеством claims (например, сложные JSON-объекты) увеличивает объем токена, что влияет на объем передаваемых данных и потребление памяти.
Рекомендации:
Минимизируйте количество claims в payload. Храните только необходимые данные, такие как sub, iat, exp.
Используйте сжатие (например, JWS Compression с DEF в jjwt) для уменьшения размера токена, если это допустимо.
#Java #middle #on_request #Jwt
JSON Web Tokens (JWT) — это стандарт для создания компактных, самодостаточных токенов, используемых для безопасной передачи информации между сторонами в виде JSON-объекта. JWT широко применяется для аутентификации и авторизации в веб-приложениях, особенно в REST API. В Java экосистема библиотек, таких как jjwt и java-jwt, предоставляет мощные инструменты для работы с JWT.
Структура JWT
JWT состоит из трех основных частей, разделенных точками (.):
Header — содержит метаданные о токене, такие как тип (typ: JWT) и алгоритм подписи (например, alg: HS256 или RS256).
Payload — содержит полезные данные (claims), такие как идентификатор пользователя (sub), время выпуска (iat), срок действия (exp) и кастомные данные.
Signature — подпись, созданная с использованием секретного ключа или пары ключей (для асимметричных алгоритмов), для проверки целостности и подлинности токена.
Каждая часть кодируется в Base64Url и объединяется в строку вида: Header.Payload.Signature.
Пример JWT:
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c
Использование JWT в Java
Наиболее популярная библиотека для работы с JWT в Java — это io.jsonwebtoken:jjwt. Она поддерживает создание, парсинг и валидацию токенов с использованием различных алгоритмов подписи.
Установка зависимости
Добавьте зависимость в pom.xml для Maven:
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt</artifactId>
<version>0.12.6</version>
</dependency>
Создание JWT
Пример создания JWT с использованием HMAC-SHA256:
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import io.jsonwebtoken.security.Keys;
import java.security.Key;
import java.util.Date;
public class JwtExample {
public static String createJwt(String subject, long ttlMillis) {
Key key = Keys.secretKeyFor(SignatureAlgorithm.HS256); // Генерация ключа
return Jwts.builder()
.setSubject(subject)
.setIssuedAt(new Date())
.setExpiration(new Date(System.currentTimeMillis() + ttlMillis))
.signWith(key)
.compact();
}
}
Парсинг и валидация JWT
Пример проверки и извлечения данных из токена:
import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.security.Keys;
public class JwtExample {
public static Claims parseJwt(String jwt, String secret) {
Key key = Keys.hmacShaKeyFor(secret.getBytes());
return Jwts.parserBuilder()
.setSigningKey(key)
.build()
.parseClaimsJws(jwt)
.getBody();
}
}
Управление памятью и производительность
1. Размер токена и влияние на память
JWT компактны, но их размер зависит от содержимого payload и используемого алгоритма.
Например:
HMAC-SHA256 (симметричный) создает токены меньшего размера, так как используется один ключ.
RSA/ECDSA (асимметричные алгоритмы) увеличивают размер подписи, что может быть заметно при большом количестве токенов.
Payload с большим количеством claims (например, сложные JSON-объекты) увеличивает объем токена, что влияет на объем передаваемых данных и потребление памяти.
Рекомендации:
Минимизируйте количество claims в payload. Храните только необходимые данные, такие как sub, iat, exp.
Используйте сжатие (например, JWS Compression с DEF в jjwt) для уменьшения размера токена, если это допустимо.
#Java #middle #on_request #Jwt
👍4
2. Кэширование ключей
Создание и парсинг ключей (особенно для асимметричных алгоритмов, таких как RSA) — дорогостоящая операция с точки зрения CPU и памяти.
Например:
Генерация RSA-ключей требует значительных вычислительных ресурсов.
Повторное декодирование Base64-строк для ключей при каждом запросе увеличивает нагрузку.
Рекомендации:
Кэшируйте ключи в памяти (например, в ConcurrentHashMap или с использованием Spring Cache).
Используйте пул ключей для многопоточных приложений, чтобы избежать создания новых экземпляров Key для каждого запроса.
Пример кэширования ключа:
3. Многопоточность
Библиотека jjwt потокобезопасна, но неправильное управление ключами или токенами может привести к проблемам.
Например:
Неправильное использование ThreadLocal для хранения временных ключей может привести к утечкам памяти.
Частое создание JwtParser без повторного использования увеличивает потребление ресурсов.
Рекомендации:
Создавайте и конфигурируйте JwtParserBuilder один раз и переиспользуйте его.
Используйте ThreadLocal только для временных данных, которые очищаются после обработки запроса.
Пример потокобезопасного парсера:
Нюансы безопасности
1. Выбор алгоритма подписи
HMAC-SHA (HS256, HS384, HS512): Быстрее, но требует безопасного хранения секретного ключа на всех серверах. Утечка ключа компрометирует всю систему.
RSA/ECDSA: Медленнее, но безопаснее, так как публичный ключ используется для проверки, а приватный хранится только на сервере, выдающем токены.
None-алгоритм: Никогда не используйте alg: none, так как это позволяет подделывать токены без подписи.
Рекомендации:
Для микросервисов с централизованным управлением ключами предпочтительнее RSA/ECDSA.
Используйте jjwt с настройкой require("alg"), чтобы предотвратить атаки с изменением алгоритма:
2. Срок действия токена
Короткий срок действия (exp) снижает риск использования украденных токенов, но увеличивает нагрузку на сервер из-за частого обновления токенов (refresh tokens).
Рекомендации:
Устанавливайте exp в пределах 15-60 минут для access-токенов.
Используйте refresh-токены с более длинным сроком действия и строгим контролем (например, храните их в базе данных с возможностью отзыва).
3. Уязвимости
JWT Header Injection: Атакующий может изменить заголовок, чтобы подменить алгоритм (например, с RS256 на HS256). Всегда проверяйте алгоритм при парсинге.
Weak Keys: Слабые или предсказуемые ключи для HMAC-SHA делают токены уязвимыми для brute-force атак.
Payload Tampering: Если токен не подписан или подпись не проверяется, злоумышленник может изменить payload.
Рекомендации:
Используйте ключи достаточной длины (например, 256 бит для HS256).
Проверяйте подпись токена на каждом запросе.
Включайте jti (JWT ID) для отслеживания и отзыва токенов.
#Java #middle #on_request #Jwt
Создание и парсинг ключей (особенно для асимметричных алгоритмов, таких как RSA) — дорогостоящая операция с точки зрения CPU и памяти.
Например:
Генерация RSA-ключей требует значительных вычислительных ресурсов.
Повторное декодирование Base64-строк для ключей при каждом запросе увеличивает нагрузку.
Рекомендации:
Кэшируйте ключи в памяти (например, в ConcurrentHashMap или с использованием Spring Cache).
Используйте пул ключей для многопоточных приложений, чтобы избежать создания новых экземпляров Key для каждого запроса.
Пример кэширования ключа:
private static final Key SIGNING_KEY = Keys.secretKeyFor(SignatureAlgorithm.HS256);
public static String createJwt(String subject, long ttlMillis) {
return Jwts.builder()
.setSubject(subject)
.setIssuedAt(new Date())
.setExpiration(new Date(System.currentTimeMillis() + ttlMillis))
.signWith(SIGNING_KEY)
.compact();
}
3. Многопоточность
Библиотека jjwt потокобезопасна, но неправильное управление ключами или токенами может привести к проблемам.
Например:
Неправильное использование ThreadLocal для хранения временных ключей может привести к утечкам памяти.
Частое создание JwtParser без повторного использования увеличивает потребление ресурсов.
Рекомендации:
Создавайте и конфигурируйте JwtParserBuilder один раз и переиспользуйте его.
Используйте ThreadLocal только для временных данных, которые очищаются после обработки запроса.
Пример потокобезопасного парсера:
private static final JwtParser JWT_PARSER = Jwts.parserBuilder()
.setSigningKey(Keys.hmacShaKeyFor("secret".getBytes()))
.build();
public static Claims parseJwt(String jwt) {
return JWT_PARSER.parseClaimsJws(jwt).getBody();
}
Нюансы безопасности
1. Выбор алгоритма подписи
HMAC-SHA (HS256, HS384, HS512): Быстрее, но требует безопасного хранения секретного ключа на всех серверах. Утечка ключа компрометирует всю систему.
RSA/ECDSA: Медленнее, но безопаснее, так как публичный ключ используется для проверки, а приватный хранится только на сервере, выдающем токены.
None-алгоритм: Никогда не используйте alg: none, так как это позволяет подделывать токены без подписи.
Рекомендации:
Для микросервисов с централизованным управлением ключами предпочтительнее RSA/ECDSA.
Используйте jjwt с настройкой require("alg"), чтобы предотвратить атаки с изменением алгоритма:
Jwts.parserBuilder()
.require("alg", "RS256")
.setSigningKey(publicKey)
.build();
2. Срок действия токена
Короткий срок действия (exp) снижает риск использования украденных токенов, но увеличивает нагрузку на сервер из-за частого обновления токенов (refresh tokens).
Рекомендации:
Устанавливайте exp в пределах 15-60 минут для access-токенов.
Используйте refresh-токены с более длинным сроком действия и строгим контролем (например, храните их в базе данных с возможностью отзыва).
3. Уязвимости
JWT Header Injection: Атакующий может изменить заголовок, чтобы подменить алгоритм (например, с RS256 на HS256). Всегда проверяйте алгоритм при парсинге.
Weak Keys: Слабые или предсказуемые ключи для HMAC-SHA делают токены уязвимыми для brute-force атак.
Payload Tampering: Если токен не подписан или подпись не проверяется, злоумышленник может изменить payload.
Рекомендации:
Используйте ключи достаточной длины (например, 256 бит для HS256).
Проверяйте подпись токена на каждом запросе.
Включайте jti (JWT ID) для отслеживания и отзыва токенов.
#Java #middle #on_request #Jwt
👍4
Оптимизация и масштабирование
1. Хранение и ротация ключей
Для HMAC-SHA ключи должны безопасно храниться (например, в Vault или AWS KMS).
Для RSA/ECDSA используйте ротацию ключей с поддержкой JWK (JSON Web Key) для автоматического обновления публичных ключей.
2. Масштабирование в микросервисах
Централизуйте выдачу токенов через отдельный сервис (например, Auth Service).
Используйте JWK для распространения публичных ключей между сервисами.
3. Кэширование токенов
Кэшируйте проверенные токены в Redis или другом in-memory хранилище, чтобы снизить нагрузку на парсинг и валидацию.
Используйте TTL кэша, соответствующий exp токена.
4. Логирование и мониторинг
Логируйте попытки использования невалидных или истекших токенов для анализа атак.
Мониторьте время парсинга и валидации токенов, чтобы выявить узкие места.
Пример интеграции с Spring Security
JWT часто используется в связке с Spring Security для защиты REST API.
Пример конфигурации:
#Java #middle #on_request #Jwt
1. Хранение и ротация ключей
Для HMAC-SHA ключи должны безопасно храниться (например, в Vault или AWS KMS).
Для RSA/ECDSA используйте ротацию ключей с поддержкой JWK (JSON Web Key) для автоматического обновления публичных ключей.
2. Масштабирование в микросервисах
Централизуйте выдачу токенов через отдельный сервис (например, Auth Service).
Используйте JWK для распространения публичных ключей между сервисами.
3. Кэширование токенов
Кэшируйте проверенные токены в Redis или другом in-memory хранилище, чтобы снизить нагрузку на парсинг и валидацию.
Используйте TTL кэша, соответствующий exp токена.
4. Логирование и мониторинг
Логируйте попытки использования невалидных или истекших токенов для анализа атак.
Мониторьте время парсинга и валидации токенов, чтобы выявить узкие места.
Пример интеграции с Spring Security
JWT часто используется в связке с Spring Security для защиты REST API.
Пример конфигурации:
import io.jsonwebtoken.Jwts;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.web.SecurityFilterChain;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;
@Configuration
public class SecurityConfig {
@Bean
public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
http
.authorizeRequests()
.antMatchers("/api/public").permitAll()
.anyRequest().authenticated()
.and()
.addFilterBefore(new JwtAuthenticationFilter(), UsernamePasswordAuthenticationFilter.class);
return http.build();
}
}
public class JwtAuthenticationFilter extends OncePerRequestFilter {
@Override
protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain)
throws ServletException, IOException {
String header = request.getHeader("Authorization");
if (header != null && header.startsWith("Bearer ")) {
String token = header.substring(7);
try {
Claims claims = Jwts.parserBuilder()
.setSigningKey(Keys.hmacShaKeyFor("secret".getBytes()))
.build()
.parseClaimsJws(token)
.getBody();
String username = claims.getSubject();
if (username != null) {
UsernamePasswordAuthenticationToken auth = new UsernamePasswordAuthenticationToken(
username, null, Collections.emptyList());
SecurityContextHolder.getContext().setAuthentication(auth);
}
} catch (Exception e) {
SecurityContextHolder.clearContext();
}
}
chain.doFilter(request, response);
}
}
#Java #middle #on_request #Jwt
👍4
Введение в Nginx
Nginx (произносится как "engine x") — это высокопроизводительное программное обеспечение с открытым исходным кодом, выполняющее функции веб-сервера, обратного прокси-сервера, балансировщика нагрузки, TCP/UDP-прокси и почтового прокси-сервера. Созданное Игорем Сысоевым в 2004 году, оно распространяется под лицензией BSD из 2 пунктов. Nginx завоевал популярность благодаря своей скорости, стабильности и низкому потреблению ресурсов, что делает его выбором для многих высоконагруженных сайтов, таких как Netflix, Dropbox, Яндекс и ВКонтакте.
Согласно данным W3Techs (по состоянию на апрель 2025 года), Nginx занимает первое место среди веб-серверов, обслуживая 33,8% всех веб-сайтов, опережая Apache (26,4%) и Cloudflare Server (23,4%). Это подчеркивает его широкое признание и надежность.
Как работает Nginx?
Nginx использует асинхронную событийно-ориентированную архитектуру, которая позволяет обрабатывать тысячи одновременных соединений с минимальным использованием ресурсов.
Основные аспекты его работы включают:
Один основной процесс и несколько рабочих процессов: Основной процесс управляет конфигурацией и координирует работу, а рабочие процессы обрабатывают запросы пользователей. Это снижает накладные расходы по сравнению с многопоточной моделью, используемой, например, в Apache.
Механизмы событий: Nginx поддерживает такие технологии, как kqueue (FreeBSD), epoll (Linux) и другие, для эффективной обработки сетевых соединений.
Оптимизация передачи данных: Использование технологий, таких как sendfile и асинхронный ввод/вывод (AIO), минимизирует копирование данных и ускоряет доставку контента.
Низкое потребление памяти: Например, для 10 000 неактивных HTTP keep-alive соединений требуется всего около 2,5 МБ памяти.
Запросы пользователей разбиваются на небольшие сетевые соединения, которые обрабатываются асинхронно. После обработки они собираются в единый ответ и отправляются клиенту. Одно соединение может обрабатывать до 1024 запросов, что значительно повышает производительность.
Для чего нужен Nginx?
Nginx универсален и применяется в различных сценариях:
Веб-сервер
Обслуживает статический контент (HTML, CSS, изображения, JavaScript) с высокой скоростью.
Обратный прокси
Перенаправляет запросы к другим серверам, скрывая их от клиента.
Балансировка нагрузки
Распределяет входящий трафик между несколькими серверами для повышения отказоустойчивости.
Кеширование
Сохраняет часто запрашиваемый контент для ускорения доставки.
Почтовый прокси
Поддерживает протоколы IMAP, POP3, SMTP с возможностью аутентификации через HTTP.
Безопасность
Поддерживает SSL/TLS, ограничение доступа по IP и защиту от DDoS-атак.
Nginx особенно эффективен для высоконагруженных веб-приложений, где требуется быстрая доставка контента и стабильность при большом количестве запросов.
Почему выбрать Nginx?
Nginx выделяется среди других веб-серверов, таких как Apache, по нескольким причинам:
Высокая производительность: Асинхронная архитектура позволяет обрабатывать больше запросов с меньшими ресурсами.
Эффективность для статического контента: Nginx быстрее Apache в доставке статических файлов, таких как изображения и CSS.
Модульная архитектура: Легко расширяется с помощью модулей для добавления новых функций.
Низкое потребление ресурсов: Минимизирует использование памяти и процессора, что идеально для серверов с ограниченными ресурсами.
Широкое применение: Используется крупными компаниями, такими как Netflix, Dropbox и WordPress.com, что подтверждает его надежность.
Nginx также может работать в связке с Apache: Nginx обрабатывает статический контент, а Apache — динамический, что оптимизирует производительность сайта.
#Java #middle #on_request #nginx
Nginx (произносится как "engine x") — это высокопроизводительное программное обеспечение с открытым исходным кодом, выполняющее функции веб-сервера, обратного прокси-сервера, балансировщика нагрузки, TCP/UDP-прокси и почтового прокси-сервера. Созданное Игорем Сысоевым в 2004 году, оно распространяется под лицензией BSD из 2 пунктов. Nginx завоевал популярность благодаря своей скорости, стабильности и низкому потреблению ресурсов, что делает его выбором для многих высоконагруженных сайтов, таких как Netflix, Dropbox, Яндекс и ВКонтакте.
Согласно данным W3Techs (по состоянию на апрель 2025 года), Nginx занимает первое место среди веб-серверов, обслуживая 33,8% всех веб-сайтов, опережая Apache (26,4%) и Cloudflare Server (23,4%). Это подчеркивает его широкое признание и надежность.
Как работает Nginx?
Nginx использует асинхронную событийно-ориентированную архитектуру, которая позволяет обрабатывать тысячи одновременных соединений с минимальным использованием ресурсов.
Основные аспекты его работы включают:
Один основной процесс и несколько рабочих процессов: Основной процесс управляет конфигурацией и координирует работу, а рабочие процессы обрабатывают запросы пользователей. Это снижает накладные расходы по сравнению с многопоточной моделью, используемой, например, в Apache.
Механизмы событий: Nginx поддерживает такие технологии, как kqueue (FreeBSD), epoll (Linux) и другие, для эффективной обработки сетевых соединений.
Оптимизация передачи данных: Использование технологий, таких как sendfile и асинхронный ввод/вывод (AIO), минимизирует копирование данных и ускоряет доставку контента.
Низкое потребление памяти: Например, для 10 000 неактивных HTTP keep-alive соединений требуется всего около 2,5 МБ памяти.
Запросы пользователей разбиваются на небольшие сетевые соединения, которые обрабатываются асинхронно. После обработки они собираются в единый ответ и отправляются клиенту. Одно соединение может обрабатывать до 1024 запросов, что значительно повышает производительность.
Для чего нужен Nginx?
Nginx универсален и применяется в различных сценариях:
Веб-сервер
Обслуживает статический контент (HTML, CSS, изображения, JavaScript) с высокой скоростью.
Обратный прокси
Перенаправляет запросы к другим серверам, скрывая их от клиента.
Балансировка нагрузки
Распределяет входящий трафик между несколькими серверами для повышения отказоустойчивости.
Кеширование
Сохраняет часто запрашиваемый контент для ускорения доставки.
Почтовый прокси
Поддерживает протоколы IMAP, POP3, SMTP с возможностью аутентификации через HTTP.
Безопасность
Поддерживает SSL/TLS, ограничение доступа по IP и защиту от DDoS-атак.
Nginx особенно эффективен для высоконагруженных веб-приложений, где требуется быстрая доставка контента и стабильность при большом количестве запросов.
Почему выбрать Nginx?
Nginx выделяется среди других веб-серверов, таких как Apache, по нескольким причинам:
Высокая производительность: Асинхронная архитектура позволяет обрабатывать больше запросов с меньшими ресурсами.
Эффективность для статического контента: Nginx быстрее Apache в доставке статических файлов, таких как изображения и CSS.
Модульная архитектура: Легко расширяется с помощью модулей для добавления новых функций.
Низкое потребление ресурсов: Минимизирует использование памяти и процессора, что идеально для серверов с ограниченными ресурсами.
Широкое применение: Используется крупными компаниями, такими как Netflix, Dropbox и WordPress.com, что подтверждает его надежность.
Nginx также может работать в связке с Apache: Nginx обрабатывает статический контент, а Apache — динамический, что оптимизирует производительность сайта.
#Java #middle #on_request #nginx
👍6🔥3
Простая установка Nginx на Ubuntu
Установка Nginx на Ubuntu проста и занимает всего несколько минут.
Обновите списки пакетов:
Установите Nginx:
Запустите Nginx:
Включите автозапуск Nginx:
Проверьте статус Nginx:
Для настройки брандмауэра (если используется ufw) разрешите HTTP-трафик:
Демонстрация работы Nginx
После выполнения вышеуказанных шагов откройте веб-браузер и введите IP-адрес вашего сервера (например, http://your_server_ip). Вы увидите стандартную страницу приветствия Nginx.
Эта страница подтверждает, что Nginx установлен и функционирует корректно. Если страница не отображается, проверьте статус сервера и настройки брандмауэра.
#Java #middle #on_request #nginx
Установка Nginx на Ubuntu проста и занимает всего несколько минут.
Обновите списки пакетов:
sudo apt update
Эта команда обновляет индекс пакетов для системы управления пакетами apt.
Установите Nginx:
sudo apt install nginx
Подтвердите установку, нажав Y и Enter, когда система запросит разрешение.
Запустите Nginx:
sudo systemctl start nginx
Эта команда запускает веб-сервер.
Включите автозапуск Nginx:
sudo systemctl enable nginx
Это гарантирует, что Nginx будет запускаться автоматически при перезагрузке системы.
Проверьте статус Nginx:
sudo systemctl status nginx
Если в выводе указано active (running), сервер работает корректно.
Для настройки брандмауэра (если используется ufw) разрешите HTTP-трафик:
sudo ufw allow 'Nginx HTTP'
sudo ufw status
Демонстрация работы Nginx
После выполнения вышеуказанных шагов откройте веб-браузер и введите IP-адрес вашего сервера (например, http://your_server_ip). Вы увидите стандартную страницу приветствия Nginx.
Эта страница подтверждает, что Nginx установлен и функционирует корректно. Если страница не отображается, проверьте статус сервера и настройки брандмауэра.
#Java #middle #on_request #nginx
👍5🔥1