Beliebte Suchanfragen
Logo der codecentric AG, einem in Deutschland führenden IT-Consulting Unternehmen
Hamburger Menu
Logo der codecentric AG, einem in Deutschland führenden IT-Consulting Unternehmen
    //

    Springfox Swagger Extensions für Spring Security

    1.11.2018 | 8 Minuten Lesezeit

    Eine populäre Methode, um REST APIs zu dokumentieren ist Swagger 2. Für Spring(-Boot)-Projekte bietet sich Springfox an. Springfox integriert sich recht nahtlos in ein Spring-Projekt und stellt für konfigurierte REST Endpoints eine Browser-basierte Swagger UI Representation zur Verfügung. Mittels Annotations im Code können umfangreiche Details und Informationen zur API-Dokumentation hinzugefügt werden, z. B. erweiterte Informationen zu http-Statuscodes oder Beschreibungen zu einzelnen Feldern von Ressource-Modellen. Allerdings gibt es keine OOTB-Verbindung zwischen Swagger UI und der Spring-Security-Konfiguration. Dieser Artikel beschreibt eine Springfox-Swagger-UI-Erweiterung, um beide miteinander zu verbinden.

    Übersicht Spring Security und Spring REST Controller

    Durch die Verknüpfung von normalem Spring-Code mit Springfox API Annotations zur Generierung der Swagger-Dokumentation lässt sich ein altbekanntes Problem umgehen, nämlich dass Code und Dokumentation auseinanderlaufen und damit die Dokumentation häufig nicht dem aktuellen Code entspricht.

    Spring-Security-Beispiel

    Allerdings lässt sich mit Springfox die verwendete Spring-Security-Konfiguration nicht dokumentieren. Spring Security sichert per (Java-)Konfiguration ein REST-API ab und stellt eine Brücke zwischen Authentifizierung und Autorisierung her. Das folgende Code-Snippet beispielsweise sichert den REST-Endpoint „/user“ für GET- und POST-Zugriffe ab:

    1@Configuration
2public class SecurityConfig extends WebSecurityConfigurerAdapter {
3    @Override
4    protected void configure(HttpSecurity httpSecurity) throws Exception {
5        super.configure(httpSecurity);
6 
7        httpSecurity.csrf().disable();
8        httpSecurity.httpBasic();
9 
10        httpSecurity.authorizeRequests()
11            .antMatchers(HttpMethod.POST, "/user").hasRole("admin")
12            .antMatchers(HttpMethod.GET, "/user/*").hasAnyRole("admin", "user");
13 
14        httpSecurity.authorizeRequests().anyRequest().fullyAuthenticated();
15    }
16}

    Die obige Spring-Security-Konfiguration definiert, dass die Ressource „user“ sowohl von Usern mit der Rolle „user“ als auch mit der Rolle „admin“ abgefragt (GET) werden darf, während der schreibende Zugriff (POST) auf dieselbe Ressource nur durch Nutzer mit der Rolle „admin“ erlaubt ist.

    Spring-REST-Controller-Beispiel

    Eine Spring-Security-Java-Konfiguration ist relativ einfach zu lesen und zu verwalten. Ein Problem ist aber, dass diese Config von der eigentlichen Ressource, also dem REST Endpoint, losgelöst ist:

    1@RestController
2public class MyRestController {
3    @RequestMapping(method = RequestMethod.GET, value = "/user/{username}", produces = APPLICATION_JSON_VALUE)
4    @ApiOperation("Get details of a user with the given username")
5    @ApiResponses(value = {
6            @ApiResponse(code = 200, message = "Details about the given user"),
7            @ApiResponse(code = 401, message = "Cannot authenticate"),
8    })
9    public UserDTO getExampleData(@Valid
10                                  @ApiParam("Non-empty username") @PathVariable(name = "username", required = true) String username) {
11        /*
12            Get your user resource somehow and return
13         */
14    }
15    @PostMapping(value = "/user", consumes = MediaType.APPLICATION_JSON_VALUE, produces = MediaType.APPLICATION_JSON_VALUE)
16    @ResponseStatus(HttpStatus.CREATED)
17    @ApiOperation("Create a new user or update an existing user (based on username)")
18    @ApiResponses(value = {
19            @ApiResponse(code = 200, message = "User was successfully updated"),
20            @ApiResponse(code = 201, message = "User was successfully created"),
21            @ApiResponse(code = 401, message = "Cannot authenticate"),
22    })
23    public void createUser(@Valid @RequestBody UserDTO userDTO) {
24        /*
25            Save the user resource somehow
26        */
27    }
28}

    Der hier dargestellte REST-Controller wird durch Springfox API Annotations dokumentiert (Springfox ist sehr viel mächtiger als hier dargestellt, siehe Springfox Reference Documentation ). Ein Blick auf das generierte Swagger UI zeigt allerdings, dass die Spring-Security-Konfiguration aus der Klasse SecurityConfig nicht in die Dokumentation einfließt. D.h. es ist nicht ersichtlich, welche Ressource durch welche Rollen aufrufbar ist:

    Wie kann also Springfox so erweitert werden, dass die Spring-Security-Konfiguration automatisch Teil der Swagger-Dokumentation wird und damit eine höhere Kohäsion zwischen Implementierung und Dokumentation entsteht?

    Swagger-UI-Erweiterung für Spring Security

    Im Artikel Springfox Swagger mit externem Markdown erweitern hat Markus Höfer von codecentric bereits dargestellt, wie einfach Springfox mit Custom Annotations erweitert werden kann. Darauf basierend entstand der hier beschriebene Lösungsweg, um Spring-Security-Rollen in das Swagger UI zu übernehmen.

    Folgende grundlegende Schritte sind notwendig, um eine Custom Annotation für Springfox Swagger UI zu erstellen:

    1. Erzeugen einer Custom Annotation
    2. Implementierung eines Custom Springfox OperationBuilderPlugins
    3. Custom Annotation an alle REST-Controller Endpoints hinzufügen

    Weiterhin muss die Spring-Security-Konfiguration für die Springfox-Erweiterung „auslesbar“ gemacht werden, was im Folgenden zuerst beschrieben wird.

    Spring Security auslesbar machen

    Wie ein REST-API mit Spring Security gesichert werden kann, wurde bereits oben kurz dargestellt .

    Spring Security verwendet Ant-Matcher Pattern, um http-Methoden und URL-Pfade zu spezifizieren, auf die definierte Rollen zugreifen dürfen. Diese Konfiguration ist jedoch „write-only“, d.h. die Klasse HttpSecurity (genauer gesagt die Klasse ExpressionUrlAuthorizationConfigurer.ExpressionInterceptUrlRegistry aus dem Package org.springframework.security.config.annotation.web.configurers) lässt nicht zu, dass die Konfiguration der Ant-Matcher wieder ausgelesen wird. Das ist aber für unseren Use Case notwendig, denn wir wollen genau diese Information in unserer Swagger-Doku haben, müssen sie also auslesen können. Die vorgeschlagene Lösung verwaltet daher die Ant-Matcher-Konfiguration in einer eigenständigen Klasse namens HttpMethodResourceAntMatchers, die sowohl der HttpSecurity Configuration als auch der Swagger-Doku als Spring Component zur Verfügung steht:

    1public class HttpMethodResourceAntMatchers {
2    Logger logger = LoggerFactory.getLogger(HttpMethodResourceAntMatchers.class);
3    // list of all defined matchers
4    List matcherList = new ArrayList<>();
5    /**
6     * Applies all existing Matchers to the provided httpSecurity object as .authorizeRequest().antMatchers().hasAnyRole()
7     * @param httpSecurity
8     * @throws Exception
9     */
10    public void configure(org.springframework.security.config.annotation.web.builders.HttpSecurity httpSecurity) throws Exception {
11        for (HttpMethodResourceAntMatcher matcher : this.matcherList) {
12            httpSecurity.authorizeRequests().antMatchers(matcher.getMethod(), matcher.getAntPattern()).hasAnyRole(matcher.getRoles());
13        }
14    }
15    /**
16     * Add a new Matcher with HttpMethod and URL-Path
17     * @param method
18     * @param antPattern
19     * @return
20     */
21    public Role antMatchers(org.springframework.http.HttpMethod method, String antPattern) {
22        // create a new matcher
23        HttpMethodResourceAntMatcher matcher = new HttpMethodResourceAntMatcher(method, antPattern);
24        // add matcher to list of matchers
25        this.matcherList.add(matcher);
26        // return a Role wrapper object, which forces the user to add the role(s) to the matcher
27        Role role = new Role(matcher, this);
28        return role;
29    }
30    /**
31     * Helper class for a builder-like creation pattern
32     */
33    public class Role {
34        HttpMethodResourceAntMatcher matcher;
35        HttpMethodResourceAntMatchers matchers;
36 
37        public Role(HttpMethodResourceAntMatcher matcher, HttpMethodResourceAntMatchers matchers) {
38            this.matcher = matcher;
39            this.matchers = matchers;
40        }
41        /**
42         * Define which role has access to the given resource identified by the Ant-Matcher
43         * @param role
44         * @return
45         */
46        public HttpMethodResourceAntMatchers hasRole(String role) {
47            matcher.setRoles(role);
48            return matchers;
49        }
50        /**
51         * Add a list of roles which have access to the given resource identified by the Ant-Matcher
52         * @param roles
53         * @return
54         */
55        public HttpMethodResourceAntMatchers hasAnyRole(String... roles) {
56            matcher.setRoles(roles);
57            return matchers;
58        }
59    }
60}

    Die Klasse HttpMethodResourceAntMatchers imitiert die Spring HttpSecurity antMatchers() und hasRole(). Die hier referenzierte Klasse HttpMethodResourceAntMatcher ist ein einfacher Pojo mit den Membern „httpMethod“, „antPattern“ und „roles“.

    Die eigentliche Konfiguration der Matcher mithilfe der Klasse HttpMethodResourceAntMatchers findet durch die Custom Spring Component MatchersSecurityConfiguration statt:

    1@Component
2public class MatchersSecurityConfiguration {
3 
4    private HttpMethodResourceAntMatchers matchers;
5 
6    /**
7     * Returns all http matchers
8     * @return
9     */
10    public HttpMethodResourceAntMatchers getMatchers() {
11        if (matchers == null) {
12            matchers = new HttpMethodResourceAntMatchers();
13            matchers.antMatchers(HttpMethod.POST, "/user").hasRole("admin")
14                    .antMatchers(HttpMethod.GET, "/user/*").hasAnyRole("admin", "user");
15        }
16        return matchers;
17    }
18}

    MatchersSecurityConfiguration wird sowohl in die Spring Security Config injiziert als auch in die nachfolgende Swagger-Hilfsklasse für unsere Custom Annotation.

    Damit kann unsere Spring Security Config folgendermaßen angepasst werden:

    1@Configuration
2public class SecurityConfig extends WebSecurityConfigurerAdapter {
3 
4    @Autowired
5    private MatchersSecurityConfiguration matchersSecurityConfiguration;
6 
7    @Override
8    protected void configure(HttpSecurity httpSecurity) throws Exception {
9        super.configure(httpSecurity);
10 
11        httpSecurity.csrf().disable();
12        httpSecurity.httpBasic();
13        // add matchers for REST API to httpSecurity
14        this.matchersSecurityConfiguration.getMatchers().configure(httpSecurity);
15 
16        httpSecurity.authorizeRequests().anyRequest().fullyAuthenticated();
17    }
18}

    Nachdem wir die Spring-Security-Konfiguration angepasst haben, müssen die Swagger Annotation und die Springfox-Erweiterung erstellt werden.

    Custom Annotation

    Für unseren Use Case erstellen wir die Custom API Annotation ApiRoleAccessNotes:

    1import java.lang.annotation.ElementType;
2import java.lang.annotation.Retention;
3import java.lang.annotation.RetentionPolicy;
4import java.lang.annotation.Target;
5 
6@Target({ElementType.METHOD})
7@Retention(RetentionPolicy.RUNTIME)
8public @interface ApiRoleAccessNotes {
9}

    Die Annotation hat keinerlei Parameter, sie ist ein Marker für unser OperationBuilderPlugin.

    Custom Springfox OperationBuilderPlugin

    Damit die oben definierte Annotation verwendet werden kann, muss das OperationBuilderPlugin Interface als Spring Component implementiert werden. Die apply-Methode wird vom Springfox DocumentationPluginsManager für jede REST-Resource im Classpath aufgerufen:

    1@Component
2@Order(SwaggerPluginSupport.SWAGGER_PLUGIN_ORDER)
3public class OperationNotesResourcesReader implements springfox.documentation.spi.service.OperationBuilderPlugin {
4    private final DescriptionResolver descriptions;
5 
6    @Autowired
7    private MatchersSecurityConfiguration matchersSecurityConfiguration;
8 
9    final static Logger logger = LoggerFactory.getLogger(OperationNotesResourcesReader.class);
10 
11    @Autowired
12    public OperationNotesResourcesReader(DescriptionResolver descriptions) {
13        this.descriptions = descriptions;
14    }
15 
16    @Override
17    public void apply(OperationContext context) {
18        try {
19            Optional methodAnnotation = context.findAnnotation(ApiRoleAccessNotes.class);
20            if ( !methodAnnotation.isPresent() || this.matchersSecurityConfiguration == null) {
21                // the REST Resource does not have the @ApiRoleAccessNotes annotation --> ignore
22                return;
23            }
24            String apiRoleAccessNoteText = "Accessible by users having one of the following roles: ";
25            HttpMethodResourceAntMatchers matchers = matchersSecurityConfiguration.getMatchers();
26            // get all configured ant-matchers and try to match with the current REST resource
27            for (HttpMethodResourceAntMatcher matcher : matchers.matcherList) {
28                // get the RequestMapping annotation, which contains the http-method
29                Optional requestMappingOptional = context.findAnnotation(RequestMapping.class);
30                if (matcher.getMethod() == getHttpMethod(requestMappingOptional)) {
31                    AntPathMatcher antPathMatcher = new AntPathMatcher();
32                    String path = context.requestMappingPattern();
33                    if (path == null) {
34                        continue;
35                    }
36                    boolean matches = antPathMatcher.match(matcher.getAntPattern(), path);
37                    if (matches) {
38                        // we found a match for both http-method and URL-path, get the roles
39                        // add the roles to the notes. Use Markdown notation to create a list
40                        apiRoleAccessNoteText = apiRoleAccessNoteText + "\n * " +  String.join("\n * ", matcher.getRoles());
41                    }
42                }
43 
44            }
45            // add the note text to the Swagger UI
46            context.operationBuilder().notes(descriptions.resolve(apiRoleAccessNoteText));
47        } catch (Exception e) {
48            logger.error("Error when creating swagger documentation for security roles: " + e);
49        }
50    }
51 
52    private HttpMethod getHttpMethod(Optional requestMappingOptional) {
53        if (!requestMappingOptional.isPresent()) return null;
54        if (requestMappingOptional.get().method() == null || requestMappingOptional.get().method()[0] == null)
55            return null;
56        RequestMethod requestMethod = requestMappingOptional.get().method()[0];
57        switch (requestMethod) {
58            case GET:
59                return HttpMethod.GET;
60            case PUT:
61                return HttpMethod.PUT;
62            case POST:
63                return HttpMethod.POST;
64            case DELETE:
65                return HttpMethod.DELETE;
66        }
67        return null;
68    }
69 
70    @Override
71    public boolean supports(DocumentationType delimiter) {
72        return SwaggerPluginSupport.pluginDoesApply(delimiter);
73    }
74}

    Innerhalb der Klasse wird geprüft, ob die aktuell von Springfox verarbeitete Ressource unsere ApiRoleAccessNotes-Annotation besitzt. Ist dies der Fall, dann holen wir uns alle Spring Security Matcher und prüfen, welche davon auf die die aktuelle Ressource passen – sowohl in Bezug auf die Http-Methode also auch auf den konfigurierten URL-Path.

    Custom Annotion @ REST Controller

    Abschließend muss die Custom Annotation @ApiRoleAccessNotes zu allen REST-Ressourcen hinzugefügt werden, für die wir im Swagger UI die konfigurierten Rollen sehen wollen:

    1@RestController
2public class MyRestController {
3    @RequestMapping(method = RequestMethod.GET, value = "/user/{username}", produces = APPLICATION_JSON_VALUE)
4    @ApiOperation("Get details of a user with the given username")
5    @ApiResponses(value = {
6            @ApiResponse(code = 200, message = "Details about the given user"),
7            @ApiResponse(code = 401, message = "Cannot authenticate"),
8    })
9    @ApiRoleAccessNotes
10    public UserDTO getExampleData(@Valid
11                                  @ApiParam("Non-empty username") @PathVariable(name = "username", required = true) String username) {
12        /*
13            Get your user resource somehow and return
14         */
15    }
16 
17    @PostMapping(value = "/user", consumes = MediaType.APPLICATION_JSON_VALUE, produces = MediaType.APPLICATION_JSON_VALUE)
18    @ResponseStatus(HttpStatus.CREATED)
19    @ApiOperation("Create a new user or update an existing user (based on username)")
20    @ApiResponses(value = {
21            @ApiResponse(code = 200, message = "User was successfully updated"),
22            @ApiResponse(code = 200, message = "User was successfully created"),
23            @ApiResponse(code = 401, message = "Cannot authenticate"),
24    })
25    @ApiRoleAccessNotes
26    public void createUser(@Valid @RequestBody UserDTO userDTO) {
27        /*
28            Save the user resource somehow
29        */
30    }
31}

    Im Swagger UI sieht das Ganze dann folgendermaßen aus:

    Fazit

    Mit ein paar wenigen Kniffen haben wir es geschafft, dass unsere Dokumentation wieder etwas näher an den Sourcecode gerückt ist. Der Sourcecode steht unter https://github.com/HenningWaack/SpringFoxSwaggerExtensionDemo zur Verfügung. Viel Spaß damit, und ich freue mich über alle Kommentare zu diesem Post!

    Beitrag teilen

    Blog-Autor*in

    Henning Waack

    IT Consultant

    Du hast noch Fragen zu diesem Thema? Dann sprich mich einfach an.

    Du hast noch Fragen zu diesem Thema? Dann sprich mich einfach an.

    //

    Weitere Artikel in diesem Themenbereich

    Entdecke spannende weiterführende Themen und lass dich von der codecentric Welt inspirieren.

    ArchUnit in der Praxis: Architektur sauber halten und optimieren

    Wer kennt es nicht: Ein neues Projekt beginnt oder der alte Code soll endlich aufgeräumt werden. Ein großes Meeting mit allen Entwicklern und Entwicklerinnen wird einberufen: „Diesmal machen wir es sauber, korrekt und strukturiert!“ Architecture-Decision...

    • Softwarearchitektur
    • Java
    • Kotlin
    • Softwareentwicklung

    20.9.2024 | 18 Minuten Lesezeit

    Danny Steinbrecher

    Dangling DNS in Cloud Infrastrukturen

    Dangling DNS Einträge sind nichts neues. Vergessene, veraltete oder fehlerhafte DNS-Einträge können dazu führen, dass Subdomänen übernommen werden können und beispielsweise bei Phishing-Kampagnen genutzt werden um Geheimnisse von MitarbeiterInnen zu ...

    • IT-Security
    • Validierung
    • Cloud
    • AWS
    • Infrastructure

    5.9.2024 | 3 Minuten Lesezeit

    Markus Höfer

    Aber ich habe doch ein Antivirusprogramm …

    Antivirus- und EDR-FunktionsweiseIn der Vergangenheit haben sich Antivirusprogramme auf das Entdecken und Beseitigen von schädlichen Dateien spezialisiert. Dabei überprüften sie das Dateisystem und Dateien während der Ausführung.EDR-Software (Endpoint...

    • IT-Security

    1.7.2024 | 7 Minuten Lesezeit

    Markus Höfer

    Rust in der Cloud: Performance-Vergleich mit TypeScript und Java in AWS...

    In diesem Artikel setzen wir Rust ein, um AWS-Lambda-Funktionen zu implementieren und vergleichen die Performance mit TypeScript (Node.js) und Java (JVM). Rust ist momentan in aller Munde und wird für seine Performance, Effizienz und Speichersicherheit...

    • Rust
    • Cloud
    • AWS
    • Serverless
    • Node.js
    • Java
    • JavaScript
    • Green IT

    20.6.2024 | 6 Minuten Lesezeit

    Nicolas Großmann

    Zero Trust Azure Identity & Access Architektur

    Falko Lehmann und Hendrik Kamp haben in ihrem Blog Post zu Zero-trust Architecture bereits dargelegt, warum Zero-Trust Sicherheitsmodelle gegenüber traditionellen Perimetersicherheitsmodellen zu bevorzugen sind, um Schaden durch Cyber-Angriffe zu minimieren...

    • IT-Security
    • IAM
    • Azure
    • Softwarearchitektur

    4.6.2024 | 13 Minuten Lesezeit

    Philip Sanetra

    Test Fixtures mit JUnit 5

    Wir Softwareentwickler leben in einem ständigen Dilemma. Jede Funktionalität der Software sollte durch Unit-Tests und Integrationstest abgesichert werden. Es sollten dabei so viel Tests wie nötig, aber nur so wenige wie möglich geschrieben werden. Schreiben...

    • Java
    • Testing
    • Framework
    • Softwareentwicklung

    25.3.2024 | 7 Minuten Lesezeit

    Jens Kaiser

    Charge your APIs Volume 23: REST vs. gRPC

    APIs dienen als Verbindungsstück zwischen Daten und Verarbeitung und erlauben uns damit, Daten im richtigen Kontext als Informationen zu interpretieren. Passende fachliche Themen sind dabei präsenter denn je und erreichen bald auch den Endverbraucher...

    • Java
    • Softwareentwicklung
    • Spring
    • Softwarearchitektur
    • API
    • Data

    11.2.2024 | 7 Minuten Lesezeit

    Sebastian Tiemann

    Ein tolles Paar: Spring Webflux und Kotlin Coroutines

    In diesem Artikel gehen wir darauf ein, wie mithilfe des Spring-Webflux-Projekts eine reaktive Anwendung erstellt werden kann und welche Herausforderungen dieser Ansatz mit sich bringt. Wir erläutern kurz, was Kotlin Coroutines sind und zeigen, wie die...

    • Kotlin
    • Spring
    • Reactive Programming

    18.12.2023 | 7 Minuten Lesezeit

    Christian Franzen

    Ferdinand Ade

    Reactive Programming mit Spring Webflux

    In diesem Artikel geben wir einen Überblick über Reactive Programming, erläutern, welche Prinzipien diesem zugrunde liegen und wann ein Einsatz sinnvoll sein kann. Anschließend zeigen wir, wie mithilfe des Spring-Webflux-Projekts eine reaktive Anwendung...

    • Spring
    • Java
    • Reactive Programming

    11.12.2023 | 13 Minuten Lesezeit

    Christian Franzen

    Ferdinand Ade

    Die 5 größten Risiken für deine IT-Sicherheit – und wie du dich davor ...

    Damit dein Unternehmen dauerhaft erfolgreich sein kann, ist es für deine IT-Abteilung unerlässlich, sich kontinuierlich mit dem Thema IT-Sicherheit auseinanderzusetzen. Ansonsten ist die Gefahr für dein Geschäft groß – der Bitkom summiert circa 203 Milliarden...

    • IT-Security

    6.9.2023 | 12 Minuten Lesezeit

    Björn Bohn

    Test-Fixtures: Wozu denn überhaupt?

    Für uns Softwareentwickler ist der ultimative Endgegner immer die Komplexität. Wir haben zahlreiche, teils ziemlich mächtige Waffen gesammelt, um in diesen Kämpfen bestehen zu können: Dinge wie Modularisierung, Abstraktion, Lean Development, iteratives...

    • Testing
    • Java
    • Test Driven Development

    12.5.2023 | 19 Minuten Lesezeit

    Rüdiger zu Dohna

    Microservice Integration Testing done right

    In diesem Artikel beschreiben wir gesammelte Best Practices für das Integration Testing von Microservices. Zu diesem Zweck haben wir ein Projekt namens toti-example-service erstellt und auf GitHub veröffentlicht. Wir werden uns in diesem Beitrag immer...

    • Testing
    • Microservices
    • Spring
    • Kotlin

    11.4.2023 | 7 Minuten Lesezeit

    Tobias Dittrich

    Till Voß

    Threat Modeling 101 – Wie fange ich eigentlich an?

    In einem früheren Blogpost haben wir bereits erklärt, wie wichtig Awareness im Bereich IT-Security im agilen Projekt ist. Ein Kernthema war das Threat Modeling. Doch wie genau funktioniert das? Wie bewerte ich, welche Bereiche meiner Applikation unter...

    • Agilität
    • IT-Security
    • Softwareentwicklung

    27.2.2023 | 14 Minuten Lesezeit

    Kevin Peters

    Schneller handeln bei Software-Schwachstellen

    Sicherheitslücken in Software und Bibliotheken werden immer auftreten, unabhängig davon, wie viel Energie aufgebracht wird, um sie zu vermeiden. An die als Log4Shell bekannte Schwachstelle vor gut einem Jahr werden sich Viele noch schmerzhaft erinnern...

    • IT-Security

    8.2.2023 | 3 Minuten Lesezeit

    Matthias Niehoff

    Meine Keycloak-Lernreise

    Keycloak ist ein Open-Source-Identitätsanbieter. Du kannst mit minimalem Aufwand Authentifizierung zu Anwendungen und sicheren Diensten hinzufügen. Dabei musst du dich nicht mit der Speicherung oder der Authentifizierung von Benutzern befassen. Keycloak...

    • Keycloak
    • IT-Security

    22.11.2022 | 8 Minuten Lesezeit

    Florian Wiech

    Open Policy Agent – Maschinen, die auf Regeln starren

    Der Open Policy Agent (OPA) ist eine universell einsetzbare, quelloffene Policy Engine, also eine Sammlung von Komponenten, die eine einheitliche und effiziente Umsetzung von Regeln aller Art erlaubt. Dieser Artikel zeigt ein kleines Praxisbeispiel. ...

    • CI/CD
    • Softwarearchitektur
    • IT-Security

    19.10.2022 | 5 Minuten Lesezeit

    Marco Paga

    Microstream – das Ende der O/R-Mapper?

    Über eine Suche nach Alternativen zu O/R-Mappern und Persistenz-Frameworks für NoSQL-Datenbanken bin ich auf Microstream aufmerksam geworden und war ziemlich schnell interessiert. Zum einen, weil Microstream wie ich aus der Oberpfalz kommt, aber haupts...

    • Java
    • Datenbank
    • Softwarearchitektur

    29.9.2022 | 13 Minuten Lesezeit

    Felix Rieß

    Streaming Wikipedia mit Apache Kafka

    Apache Kafka ist in aller Munde und entwickelt sich im Kontext von verteilten Systemen zum De-facto-Standard als Plattform für Event Streaming. Im Rahmen unserer OffProject Time (Weiterbildungszeit) haben wir uns die Plattform auch näher angeschaut und...

    • Kotlin
    • Data
    • Java
    • Messaging
    • Spring

    15.8.2022 | 10 Minuten Lesezeit

    Christoph Metzger

    Felix Rieß

    Shift left security – Sicherheit ist Daily-Business

    IT-Security ist ein Thema, das nicht ausschließlich InfoSec-Expertinnen angeht. Auch als Entwicklerin muss man diese Thematik auf dem Schirm haben. Security gehört zum grundlegenden Prozess der Softwareentwicklung und von Beginn an zum Daily-Business...

    • Agilität
    • IT-Security

    19.7.2022 | 15 Minuten Lesezeit

    Kevin Peters

    Die Zukunft der IDEs – aus Sicht eines „Java-EE-Entwicklers“

    Bei unseren Kunden und auch bei codecentric dreht sich alles um den besten und schnellsten Weg, die richtige Software zu entwickeln – und das natürlich in hoher Qualität. Von daher bin ich auch ein fleißiger Leser des „State of DevOps“-Report (hier zum...

    • Cloud
    • Java
    • Remote Work

    16.5.2022 | 11 Minuten Lesezeit

    Rainer Vehns

    //

    Gemeinsam bessere Projekte umsetzen.

    Wir helfen deinem Unternehmen.

    Du stehst vor einer großen IT-Herausforderung? Wir sorgen für eine maßgeschneiderte Unterstützung. Informiere dich jetzt.

    Hilf uns, noch besser zu werden.

    Wir sind immer auf der Suche nach neuen Talenten. Auch für dich ist die passende Stelle dabei.