Changes between Version 2 and Version 3 of otherdevelopment

Timestamp:

01/31/26 18:10:07 (25 hours ago)

Author:

231175

Comment:

--

otherdevelopment

@@ -85 +85 @@
 - **Со индекси:** Index Scan на сите JOIN-ови и WHERE (брзо)
 - **Подобрување:** **~30x побрзо** 
+
+
+== Безбедност и заштита ==
+
+=== JWT Token Authorization (Spring Security) ===
+
+JWT (JSON Web Token) e stateless начин на автентикација - server НЕ чува информации за активни сесии во база, туку сите потребни податоци се во самиот token кој корисникот го чува локално/cookie. JWT содржи енкодирана json структура на информации (user_id, email, role, expiry...).
+{{{!nosql
+@Bean
+    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
+        http
+                .csrf(AbstractHttpConfigurer::disable)
+                .cors(Customizer.withDefaults())
+                .sessionManagement(session -> session.sessionCreationPolicy(SessionCreationPolicy.STATELESS))
+                .authorizeHttpRequests(request -> request
+                        .requestMatchers("/api/verification-tokens/**").permitAll()
+                        .requestMatchers("/api/auth/**").permitAll()
+                        .requestMatchers("/api/courses/**").permitAll()
+                        .requestMatchers("/api/test/**").permitAll()
+                        .requestMatchers("/api/auth/oauth2/**").permitAll()
+                        .requestMatchers("/oauth2/**", "/login/oauth2/**").permitAll()
+                        .anyRequest().authenticated()
+                )
+                .exceptionHandling(exception -> exception
+                        .authenticationEntryPoint(authenticationEntryPoint)
+                )
+                .oauth2Login(oauth2 -> oauth2
+                        // Use the custom handler instead of defaultSuccessUrl()
+                        .successHandler(oauth2SuccessHandler)
+                        .failureUrl("http://localhost:5173/login?error")
+                )
+                .authenticationProvider(authenticationProvider)
+                .addFilterBefore(jwtAuthFilter, UsernamePasswordAuthenticationFilter.class);
+
+        return http.build();
+    }
+}}}
+
+=== Хеширање на пасворди (BCrypt) ===
+
+Пасвордите на корисниците и експертите се чуваат во база во хеширана форма преку BCrypt, а не како plain text. Ова овозможува сигурно чување на пасвордите.
+
+=== SQL Injection Prevention (Spring JPA/JPQL)
+
+Преку JPA/JPQL се спречува SQL Injection напад каде корисникот внесува злонамерен код за да манипулира со базата на податоци. Нападите се избегнуваат преку третирање на параметарот како plain data, а не команда.
+
+Безбедно:
+{{{!nosql
+    @Query("select u.email from User u where u.id = :userId")
+    String getUserEmailById(@Param("userId") Long userId);
+}}}
+
+Небезбедно:
+{{{!nosql
+    String query = "SELECT * FROM users WHERE email = '" + email + "'";
+}}}
+
+
+=== CORS Configuration ===
+
+CORS е безбеден механизам за заштита од requests од различни домени. Со тоа се заштитуваме од можни злонамерни requests.
+{{{!nosql
+@Bean
+    public CorsConfigurationSource corsConfigurationSource() {
+        CorsConfiguration config = new CorsConfiguration();
+        config.addAllowedOriginPattern("http://localhost:*");
+        config.addAllowedHeader("*");
+        config.addAllowedMethod("*");
+        config.setAllowCredentials(true);
+        config.addExposedHeader(HttpHeaders.CONTENT_DISPOSITION);
+
+        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
+        source.registerCorsConfiguration("/**", config);
+        return source;
+    }
+}}}