Changes between Initial Version and Version 1 of otherdevelopment

Timestamp:

05/07/26 15:17:48 (3 days ago)

Author:

233062

Comment:

--

otherdevelopment

@@ +1 @@
+= Други Развојни Активности =
+
+== Анализа на перформанси ==
+
+== Безбедност и заштита ==
+
+=== JWT Token Authorization (Spring Security) ===
+
+JWT (JSON Web Token) e stateless начин на автентикација - server НЕ чува информации за активни сесии во база, туку сите потребни податоци се во самиот token кој корисникот го чува локално/cookie. JWT содржи енкодирана json структура на информации (user_id, email, role, expiry...).
+
+Java код во Spring Boot:
+{{{
+@Configuration
+@Getter @Setter
+@ConfigurationProperties(prefix = "auth")
+public class AuthProperties {
+    private String secret;
+    private int accessTokenMaxAge;
+    private int refreshTokenMaxAge;
+}
+
+
+@Configuration
+@EnableWebSecurity
+public class SecurityConfig {
+
+    private final JwtAuthenticationFilter jwtAuthenticationFilter;
+
+    public SecurityConfig(JwtAuthenticationFilter jwtAuthenticationFilter) {
+        this.jwtAuthenticationFilter = jwtAuthenticationFilter;
+    }
+
+    @Bean
+    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
+        http
+                .csrf(AbstractHttpConfigurer::disable)
+                .cors(Customizer.withDefaults())
+                .sessionManagement(sm -> sm.sessionCreationPolicy(SessionCreationPolicy.STATELESS))
+                .httpBasic(AbstractHttpConfigurer::disable)
+                .formLogin(AbstractHttpConfigurer::disable)
+                .authorizeHttpRequests(auth -> auth
+                        .requestMatchers("/api/auth/**").permitAll()
+                        .anyRequest().authenticated());
+
+        http.addFilterBefore(jwtAuthenticationFilter, UsernamePasswordAuthenticationFilter.class);
+        return http.build();
+    }
+}}}
+            
+
+=== Хеширање на пасворди (BCrypt) ===
+
+Пасвордите на корисниците се чуваат во база во хеширана форма преку BCrypt, а не како plain text. Ова овозможува сигурно чување на пасвордите.
+
+{{{
+public class LegacyPasswordEncoder implements PasswordEncoder {
+
+    private final BCryptPasswordEncoder bcrypt = new BCryptPasswordEncoder();
+
+    @Override
+    public String encode(CharSequence rawPassword) {
+        return bcrypt.encode(rawPassword);
+    }
+
+    @Override
+    public boolean matches(CharSequence rawPassword, String encodedPassword) {
+        if (encodedPassword == null || encodedPassword.isEmpty()) {
+            return false;
+        }
+        if (encodedPassword.startsWith("$2a$") || encodedPassword.startsWith("$2b$")) {
+            return bcrypt.matches(rawPassword, encodedPassword);
+        }
+        return rawPassword.toString().equals(encodedPassword);
+    }
+}
+}}}
+
+=== SQL Injection Prevention (Spring JPA/JPQL)
+
+Целиот backend користи Spring Data JPA која автоматски генерира параметризирани пропити што спречуваат SQL injection.
+
+==== Безбедно: Derived Query Methods ====
+
+{{{
+// UserRepository.java
+public interface UserRepository extends JpaRepository<User, Long> {
+    Optional<User> findByEmail(String email);
+    Optional<User> findByUsername(String username);
+}
+
+
+// SELECT * FROM users WHERE email = ?
+// параметарот се праќа одвоено од SQL командата
+}}}
+
+==== Безбедно: @Query со @Param ====
+
+{{{
+// TaskRepository.java
+@Modifying
+@Query("update Task t set t.finished = false where t.disciplineUser.userId = :userId")
+int resetFinishedForUser(@Param("userId") Long userId);
+
+// Параметарот :userId се врзува безбедно преку JDBC, не преку string concatenation
+}}}
+
+==== Безбедно: Collection параметри ====
+
+{{{
+// TrainingSessionRepository.java
+@java.util.List<TrainingSession> findByTrainingUser_UserIdAndDateIn(
+    Long userId,
+    Collection<LocalDate> dates
+);
+
+
+=== CORS Configuration ===
+
+CORS е безбеден механизам за заштита од requests од различни домени. Со тоа се заштитуваме од можни злонамерни requests.
+
+Java код во Spring Boot:
+{{{
+  @Bean
+    public CorsConfigurationSource corsConfigurationSource() {
+        CorsConfiguration config = new CorsConfiguration();
+        config.setAllowedOrigins(List.of(
+                "http://localhost:5173",
+                "http://127.0.0.1:5173"));
+        config.setAllowedMethods(List.of("GET", "POST", "PUT", "PATCH", "DELETE", "OPTIONS"));
+        config.setAllowedHeaders(List.of("Authorization", "Content-Type", "Accept", "Origin", "X-Requested-With"));
+        config.setAllowCredentials(true);
+
+        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
+        source.registerCorsConfiguration("/**", config);
+        return source;
+    }
+}}}