springboot-security

Skill zawierający najlepsze praktyki zabezpieczania aplikacji Spring Boot. Obejmuje konfigurację uwierzytelniania (JWT, OAuth2, sesje), autoryzacji opartej na rolach, walidacji danych wejściowych, ochrony przed CSRF, zarządzania tajnymi danymi, limitowania żądań oraz skanowania zależności pod kątem luk bezpieczeństwa. Aktywuj go przy dodawaniu logowania, tworzeniu endpointów lub obsłudze wrażliwych danych w serwisach Java.

1. Aktywuj skill gdy planujesz dodać uwierzytelnianie do aplikacji Spring Boot – zarówno JWT, OAuth2, jak i sesje oparte na ciasteczkach. Skill dostarczy gotowe wzorce implementacji filtrów autoryzacyjnych i konfiguracji bezpiecznych ciasteczek z flagami httpOnly, Secure i SameSite=Strict.

2. Użyj skill do konfiguracji autoryzacji na poziomie metod – włącz @EnableMethodSecurity i stosuj adnotacje @PreAuthorize do kontrolerów, aby ograniczyć dostęp do endpointów na podstawie ról użytkownika. Skill pokazuje, jak domyślnie odmawiać dostępu i odsłaniać tylko wymagane zakresy.

3. Wdrażaj walidację danych wejściowych użytkownika – skill zawiera wzorce Bean Validation i niestandardowych walidatorów, które chronią aplikację przed złośliwymi lub nieprawidłowymi danymi.

4. Skonfiguruj nagłówki bezpieczeństwa, CORS i ochronę CSRF zgodnie z wytycznymi zawartymi w skill. Skill opisuje, jak prawidłowo ustawić polityki bezpieczeństwa dla aplikacji webowych.

5. Zarządzaj tajnymi danymi (klucze API, hasła) – skill wskazuje na użycie Vault lub zmiennych środowiskowych zamiast hardkodowania wrażliwych informacji w kodzie.

6. Dodaj rate limiting i ochronę przed atakami brute-force, a także regularnie skanuj zależności projektu pod kątem znanych luk bezpieczeństwa (CVE) – skill zawiera praktyczne podejścia do obu zagadnień.