spring期刊状态_无状态Spring安全性第2部分:无状态认证

最新推荐文章于 2024-03-11 14:44:15 发布
最新推荐文章于 2024-03-11 14:44:15 发布
阅读量395 收藏
点赞数
文章标签: java python 数据库 jwt spring
原文链接:https://www.javacodegeeks.com/2014/10/stateless-spring-security-part-2-stateless-authentication.html
版权

spring期刊状态

Spring Stateless Security系列的第二部分是关于以无状态方式探索身份验证的方法。 如果您错过了有关CSRF的第一部分,可以在这里找到。

因此,在谈论身份验证时,其全部内容就是让客户端以可验证的方式向服务器标识自己。 通常,这始于服务器向客户端提供挑战,例如要求填写用户名/密码的请求。 今天,我想集中讨论通过这种初始(手动)挑战后会发生什么,以及如何处理其他HTTP请求的自动重新身份验证。

常用方法

基于会话Cookie

我们可能最了解的最常见方法是使用服务器生成的JSESSIONID cookie形式的秘密令牌(会话密钥)。 这些天的初始设置几乎没有用,也许会让您忘记,您有一个选择要首先在这里进行。 即使不再使用此“会话密钥”来存储“会话中”的任何其他状态,该密钥本身实际上也是状态 。 即,如果没有这些密钥的共享和持久性存储,则成功的身份验证将无法在服务器重新启动或请求负载平衡到另一台服务器后继续存在。

OAuth2 / API密钥

每当谈论REST API和安全性时; 提到了OAuth2和其他类型的API密钥。 基本上,它们涉及在HTTP授权标头中发送自定义令牌/密钥。 如果使用得当,两种方法都可以避免客户端使用标头来处理Cookie。 这解决了CSRF漏洞和其他Cookie相关问题。 但是,他们没有解决的一件事是服务器需要检查显示的身份验证密钥,这几乎需要一些持久且可维护的共享存储来将密钥链接到用户/授权。

无状态方法

1. HTTP基础认证

处理认证的最古老,最粗糙的方式。 只需让用户在每次请求时发送其用户名/密码即可。 这听起来似乎很可怕,但是考虑到上述任何方法也都通过网​​络发送秘密密钥,这实际上并不是那么安全。 主要是用户体验和灵活性,这使得其他方法成为更好的选择。

2.服务器签名的令牌

以无状态方式处理请求中的状态的一个巧妙小技巧是让服务器对其“签名”。 然后可以在每个请求之间在客户端/服务器之间来回传输,并确保它不会被调和。 这样,任何用户标识数据都可以以纯文本形式共享,并为其添加特殊的签名哈希。 考虑到已签名,服务器可以简单地验证签名哈希是否仍与接收到的内容匹配,而无需保持任何服务器端状态。

可以用于此目的的通用标准是JSON Web令牌 (JWT),该标准仍在起草中。 对于本博客文章,我想摆脱困境,跳过完全的合规性以及使用它附带的库的尖叫声。 从中挑选我们真正需要的东西。 (省略了标头/变量哈希算法和url-safe base64编码)

实作

如前所述,我们将使用Spring Security和Spring Boot将自己的实现整合在一起。 没有任何库或精美的API会混淆令牌级别上真正发生的事情。 令牌在伪代码中看起来像这样: 

content = toJSON(user_details)
token = BASE64(content) + "." + BASE64(HMAC(content))

令牌中的用作分隔符,因此每个部分都可以分别标识和解码,因为点字符不是任何base64编码字符串的一部分。 HMAC代表基于哈希的消息身份验证代码,它基本上是使用预定义密钥从任何数据中生成的哈希。

在实际的Java中,令牌的生成看起来很像伪代码:

创建令牌 

public String createTokenForUser(User user) {
	byte[] userBytes = toJSON(user);
	byte[] hash = createHmac(userBytes);
	final StringBuilder sb = new StringBuilder(170);
	sb.append(toBase64(userBytes));
	sb.append(SEPARATOR);
	sb.append(toBase64(hash));
	return sb.toString();
}

JSON中使用的相关User属性是id,username,expires和role ,但可以是您真正想要的任何东西。 我标记了杰克逊JSON序列化期间将忽略的User对象的“ password”属性,因此它不会成为令牌的一部分:

忽略密码 

@JsonIgnore
public String getPassword() {
	return password;
}

对于现实世界的场景,您可能只想为此使用专用对象。

使用一些输入验证来防止/捕获由于对令牌进行调整而导致的解析错误,令牌的解码会稍微复杂一些:

解码令牌 

public User parseUserFromToken(String token) {
	final String[] parts = token.split(SEPARATOR_SPLITTER);
	if (parts.length == 2 && parts[0].length() > 0 && parts[1].length() > 0) {
		try {
			final byte[] userBytes = fromBase64(parts[0]);
			final byte[] hash = fromBase64(parts[1]);

			boolean validHash = Arrays.equals(createHmac(userBytes), hash);
			if (validHash) {
				final User user = fromJSON(userBytes);
				if (new Date().getTime() < user.getExpires()) {
					return user;
				}
			}
		} catch (IllegalArgumentException e) {
			//log tampering attempt here
		}
	}
	return null;
}

它本质上验证提供的哈希值是否与内容的新计算哈希值相同。 因为createHmac方法在内部使用未公开的秘密密钥来计算哈希,所以没有客户端能够调整内容并提供与服务器生成的哈希相同的哈希。 仅在通过此测试后,提供的数据才会被解释为表示User对象的JSON。

放大Hmac部分,让我们看一下所涉及的Java。 首先,必须使用一个私钥对其进行初始化,这是TokenHandler的构造函数的一部分:

HMAC初始化 

...
private static final String HMAC_ALGO = "HmacSHA256";

private final Mac hmac;

public TokenHandler(byte[] secretKey) {
	try {
		hmac = Mac.getInstance(HMAC_ALGO);
		hmac.init(new SecretKeySpec(secretKey, HMAC_ALGO));
	} catch (NoSuchAlgorithmException | InvalidKeyException e) {
		throw new IllegalStateException(
			"failed to initialize HMAC: " + e.getMessage(), e);
	}
}
...

初始化后,可以使用一个方法调用(重新)使用它! (doFinal的JavaDoc读取“处理给定的字节数组并完成MAC操作。对该方法的调用会将这个Mac对象重置为先前通过调用init(Key)或init(Key,AlgorithmParameterSpec进行初始化)时所处的状态。 …”)

createHmac 

// synchronized to guard internal hmac object
private synchronized byte[] createHmac(byte[] content) {
	return hmac.doFinal(content);
}

我在这里使用了一些粗略的同步,以防止在Spring Singleton Service中使用时发生冲突。 实际的方法非常快(〜0.01ms),因此除非您每台服务器每秒要发送10k +请求,否则它不会造成任何问题。

说到服务,让我们一路攀升到完全可运行的基于令牌的身份验证服务:

令牌认证服务 

@Service
public class TokenAuthenticationService {

	private static final String AUTH_HEADER_NAME = "X-AUTH-TOKEN";
	private static final long TEN_DAYS = 1000 * 60 * 60 * 24 * 10;

	private final TokenHandler tokenHandler;

	@Autowired
	public TokenAuthenticationService(@Value("${token.secret}") String secret) {
		tokenHandler = new TokenHandler(DatatypeConverter.parseBase64Binary(secret));
	}

	public void addAuthentication(HttpServletResponse response, UserAuthentication authentication) {
		final User user = authentication.getDetails();
		user.setExpires(System.currentTimeMillis() + TEN_DAYS);
		response.addHeader(AUTH_HEADER_NAME, tokenHandler.createTokenForUser(user));
	}

	public Authentication getAuthentication(HttpServletRequest request) {
		final String token = request.getHeader(AUTH_HEADER_NAME);
		if (token != null) {
			final User user = tokenHandler.parseUserFromToken(token);
			if (user != null) {
				return new UserAuthentication(user);
			}
		}
		return null;
	}
}

很简单,初始化一个私有TokenHandler来完成繁重的工作。 它提供了添加和读取自定义HTTP令牌标头的方法。 如您所见,它不使用任何(数据库驱动的)UserDetailsS​​ervice查找用户详细信息。 通过令牌提供了让Spring Security处理进一步的授权检查所需的所有详细信息。
最后,我们现在可以将所有这些插件插入到Spring Security中,在Security配置中添加两个自定义过滤器:

StatelessAuthenticationSecurityConfig内部的安全性配置 

...
@Override
protected void configure(HttpSecurity http) throws Exception {
	http
	
	...
	
	// custom JSON based authentication by POST of 
	// {"username":"<name>","password":"<password>"} 
	// which sets the token header upon authentication
	.addFilterBefore(new StatelessLoginFilter("/api/login", ...), 
			UsernamePasswordAuthenticationFilter.class)

	// custom Token based authentication based on 
	// the header previously given to the client
	.addFilterBefore(new StatelessAuthenticationFilter(...), 
			UsernamePasswordAuthenticationFilter.class);
}
...

StatelessLoginFilter在成功认证后添加令牌:

StatelessLoginFilter 

...
@Override
protected void successfulAuthentication(HttpServletRequest request, HttpServletResponse response,
		FilterChain chain, Authentication authentication) throws IOException, ServletException {

	// Lookup the complete User object from the database and create an Authentication for it
	final User authenticatedUser = userDetailsService.loadUserByUsername(authentication.getName());
	final UserAuthentication userAuthentication = new UserAuthentication(authenticatedUser);

	// Add the custom token as HTTP header to the response
	tokenAuthenticationService.addAuthentication(response, userAuthentication);

	// Add the authentication to the Security context
	SecurityContextHolder.getContext().setAuthentication(userAuthentication);
}
...

StatelessAuthenticationFilter仅根据标头设置身份验证:

StatelessAuthenticationFilter 

...
@Override
public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) 
		throws IOException,	ServletException {

	SecurityContextHolder.getContext().setAuthentication(
			tokenAuthenticationService.getAuthentication((HttpServletRequest) req));
	chain.doFilter(req, res); // always continue
}
...

请注意,与大多数与Spring Security相关的过滤器不同,无论身份验证是否成功,我都选择继续沿过滤器链向下移动。 我想支持触发Spring的AnonymousAuthenticationFilter以支持匿名身份验证。 这里最大的区别是过滤器未配置为映射到任何专门用于身份验证的URL,因此不提供标头并不是真正的问题。

客户端实施

客户端实现同样非常简单。 再次,我将其保持为简约,以防止在AngularJS详细信息中丢失身份验证位。 如果您正在寻找一个更完整地与路由集成的AngularJS JWT示例,则应在此处查看 。 我从中借用了一些拦截器逻辑。
登录只需存储令牌(在localStorage中 ):

登录 

$scope.login = function () {
	var credentials = { username: $scope.username, password: $scope.password };
	$http.post('/api/login', credentials).success(function (result, status, headers) {
		$scope.authenticated = true;
		TokenStorage.store(headers('X-AUTH-TOKEN'));
	});  
};

注销甚至更简单(无需调用服务器):

登出 

$scope.logout = function () {
	// Just clear the local storage
	TokenStorage.clear();	
	$scope.authenticated = false;
};

要检查用户是否“已经登录”,ng-init =“ init()”可以很好地工作:

在里面 

$scope.init = function () {
	$http.get('/api/users/current').success(function (user) {
		if(user.username !== 'anonymousUser'){
			$scope.authenticated = true;
			$scope.username = user.username;
		}
	});
};

我选择使用匿名可访问的端点来防止触发401/403。 您还可以解码令牌本身并检查到期时间,并相信本地客户端时间足够准确。

最后,为了使添加标头的过程自动化,就像上一个博客条目中那样,一个简单的拦截器做得很好:

令牌验证拦截器 

factory('TokenAuthInterceptor', function($q, TokenStorage) {
	return {
		request: function(config) {
			var authToken = TokenStorage.retrieve();
			if (authToken) {
				config.headers['X-AUTH-TOKEN'] = authToken;
			}
			return config;
		},
		responseError: function(error) {
			if (error.status === 401 || error.status === 403) {
				TokenStorage.clear();
			}
			return $q.reject(error);
		}
	};
}).config(function($httpProvider) {
	$httpProvider.interceptors.push('TokenAuthInterceptor');
});

如果客户端不会允许对需要更高特权的区域进行调用,它还将负责在收到HTTP 401或403之后自动清除令牌。

令牌存储

TokenStorage只是对localStorage的包装服务,我不会打扰您。 将令牌放到localStorage中可以防止脚本像保存cookie一样在保存脚本的脚本源之外读取脚本。 但是,由于令牌不是实际的Cookie,因此无法指示任何浏览器将其自动添加到请求中。 这是至关重要的,因为它可以完全防止任何形式的CSRF攻击。 因此,您不必实施我以前的博客中提到的任何(无状态)CSRF保护。

  • 您可以在github上找到一个完整的工作示例,其中包含一些不错的功能。

确保已安装gradle 2.0,并使用“ gradle build”和“ gradle run”简单地运行它。 如果要像Eclipse一样在IDE中使用它,请使用“ gradle eclipse”,然后从IDE内导入并运行它(不需要服务器)。

翻译自: https://www.javacodegeeks.com/2014/10/stateless-spring-security-part-2-stateless-authentication.html

spring期刊状态

dnc8371
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
StatelessAuthentication
06-09
状态认证状态身份验证意味着服务器不会像会话那样维护状态来保存私钥。 使用这种技术的原因是客户端可以被重定向到任何服务器而不会断,因为客户端有一个完全自包含的令牌。 另一个优点是密码只需通过网络发送一次。 这是一个真正的无状态身份验证协议的示例实现。 此实现使用以下技术: RavenDB ( ) .NET 的 NoSQL 实现 ServiceStack ( ) 基于消息的 Web 服务框架 Json Web Token ( ) 一种简单、干净、安全的信息传输方式 SCrypt ( ) 一种基于密码的密钥派生函数,速度慢且需要资源 过程 让客户端以安全方式登录并获取令牌的过程如下: 客户端将用户名发送到服务器以获取与帐户关联的盐(盐不是秘密,盐只是为了防止彩虹攻击,盐本身不是密码,因此不应被处理作为一个 ) 客户端使用盐来散列用户提供的密码。 客户端将用户名和散列密码
security-stateless-samples:Spring 安全无状态宁静示例
05-30
安全无状态样本Spring 安全无状态宁静示例有什么特点? 基于spring-security的无状态宁静架构要求jdk1.8 弹簧 4.1+ 弹簧安全 3.2+ spring-data-mongodb 1.6+ 缓存 2.9+ Hibernate 4.3+ 时髦 2.3+如何首先,运行测试...
整合SpringSecurity随机加密的无状态认证授权
weixin_44240370的博客
11-11 434
平时会使用MD5来做授权认证,不管是Session还是JWT,但是如果被别人知道了salt是很危险的,因此这里来介绍一个强哈希方法来进行加密,代表的框架就是SpringSecurity提供的BCryptPasswordEncoder类。 此外本篇文章还会主要介绍一下JWT的加密认证授权方式,是因为无状态的登录相对于有状态的登录对于服务器的压力会更小,并且Redis本身不用去存储这个Session。...
整合SpringSecurity随机加密的无状态认证授权设计的详细讲解
0117
11-01 273
1. BCrypt密码加密 我们平时会使用Md5来做授权认证,不管是session还是jwt,但是如果被别人知道了salt还是很危险的,所以这次就来介绍一个强哈希方法来进行加密,其代表的框架也就是SpringSecurity提供的BCryptPasswordEncoder类。 另外这里将会主要介绍jwt的加密认证授权方式,因为无状态的登录相对于有状态的登录对于服务器的压力更小,并且redis本身不...
基于Spring Boot,Security和JWB的REST接口的无状态认证
西涛offbye-移动全栈技术博客
08-11 6501
Stateless Spring Security Part 2: Stateless Authentication Posted on October 6, 2014 by Robbert van Waveren This second part of the Stateless Spring Security series is about exploring me
Security+jwt 实现无状态认证,前后端分离(附带网页案例及完整源码)
dingdingdandan
06-14 2316
本章主要实现Spring Security自定义用户认证功能,jwt 实现token无状态认证。 - 使用JWT来传输数据,实际上传输的是一个字符串,这个字符串就是所谓的json web token字符串。 - jwt认证和传统的session和cookie模式相比,由于token认证实现了无状态,不再依赖session和cookie,所以无需要考虑伪造cookie等跨域攻击。............
spring_grpc_http:如何使用Spring构建GRpc和Http API(无代理)
05-13
SpringGrpc Http 该项目是一个有关如何使用Spring(无代理)构建GRpc和Http API的简单示例。 有关此项目的更多详细信息,请先决条件Java 8 Docker 18.09或更高版本Maven的3入门开始使用Docker # take a long time ...
Spring boot自定义http反馈状态码详解
08-30
主要给大家介绍了Spring boot自定义http反馈状态码的相关资料,文介绍的非常详细,对大家具有一定的参考学习价值,需要的朋友们下面跟着小编一起来学习学习吧。
sm-demo:Spring Boot状态机演示
03-08
Spring State Machine演示-讨价还价 基于简单演示应用程序 详细说明 截屏 安装 您需要预先安装Java11。 然后,您可以将其作为常规的Spring Boot Web应用程序运行。 $ ./mvnw spring-boot:run 徽章 执照
基于springboot+sureness的面向REST API资源无状态认证权限管理系统
06-14
基于springboot+sureness的面向REST API资源无状态认证权限管理系统 项目经过严格测试,确保可以运行! 基于springboot+sureness的面向REST API资源无状态认证权限管理系统 项目经过严格测试,确保可以运行! ...
Springer】IF 8+,双1区顶刊,OA无需版面费!基金申请不二之选!
最新发布
zkyf2022的博客
03-11 767
本期小编给大家推荐的期刊是一本经济学领域的优质刊。
Spring cloud+Zuul+JWT实现无状态统一身份认证和分布式限流
leonhongliang806的博客
11-04 2183
本文主旨搭建一个无状态统一身份认证的系统,基于Spring cloud微服务架构,Eureka 实现服务的注册与发现,Zuul网关实现服务路由,请求过滤和限流功能,使用JWT规范实现客户登陆信息的服务端无状态话,相关文章参考《Spring cloud架构解析和框架搭建》,《Web用户认证和授权机制的演进》 架构 搭建eureka服务注册心,将业务服务和认证授权心服务注册进去,zuul网关路由...
为一个REST服务使用Spring Security的基本和摘要认证
weixin_33800593的博客
01-16 134
为什么80%的码农都做不了架构师?>>> ...
(附源码)spring boot投稿和稿件处理系统 毕业设计201458
Weixin_CXSJ881的博客
01-18 1075
投稿和稿件处理系统的主要使用者分为管理员、用户与专家,实现功能包括:首页、用户管理、投稿心、稿件管理、稿件分类等功能。由于本网站的功能模块设计比较全面,所以使得整个投稿和稿件处理系统的过程得以实现。本系统的使用可以实现本springboot投稿和稿件处理系统的信息化,可以方便管理员进行更加方便快捷的管理,可以提高投稿和稿件处理系统的管理效率。
期刊系统的13种投稿状态
热门推荐
zhanhong39的专栏
12-27 2万+
http://blog.sciencenet.cn/blog-769813-854029.html 大部分期刊都有在线投稿系统,让作者能够快速简单完成投稿,一旦论文递交出去后,作者可以通过系统查看投稿状态,了解期刊处理论文的进度。作者在投稿出去后都会感到很焦虑,一直刷新系统状态,有时候出现了不知道是什么意思的状态,就会更加忧虑,有时候同一个状态维持了好长一段时间,作者也会觉得很困惑或是
英文投稿的状态
YANG_Gang2017的博客
10-22 2031
转自:https://www.zybang.com/question/6031813de3867fa1b434915b121a8cef.html 英文投稿的状态 以下是英文投稿过程的十种状态,楼主已经走到第4步了. 1. Submitted to Journal 当上传结束后,显示的状态是Submitted to Journal,这个状态是自然形成的无需处理. 2. With edit
状态Spring安全性第2部分:无状态身份验证
最佳 Java 编程
05-24 173
Spring Stateless Security系列的第二部分是关于以无状态方式探索身份验证的方法。 如果您错过了CSRF的第一部分,可以在这里找到。 因此,在谈论身份验证时,其全部内容就是让客户端以可验证的方式向服务器标识自己。 通常,这始于服务器向客户端提供挑战,例如要求填写用户名/密码的请求。 今天,我想着重介绍在通过此类初始(手动)挑战后会发生什么情况,以及如何处理其他HTTP...
SpringBoot2.3集成Spring Security(二) JWT认证
我是你妹她哥的博客
06-21 1752
思路:登录认证获取token提供一个controller,将controller的地址加到spring Security 的config不做权限控制,访问该controller,将用户名和密码的判断交给spring Security 的userDetailService处理,根据处理的返回结果决定是否生成对应的token值。。具体是怎么找到这个入口的,详情可以看步骤三。接口认证token值加入JWT生成的工具类Spring Security 提供多种认证方式,但我们需要熟悉的是。
投稿Springer旗下某科院1区TOP期刊时间记载
qq_37203079的博客
06-20 2001
论文投稿时间线记载
spring security_认证_授权_java
09-07
Spring Security 是一个开源的 Java 安全框架,提供了全面的身份验证(认证)和授权功能,帮助开发人员构建安全性高的应用程序。 在 Spring Security 认证是指验证用户的身份。它支持多种认证方式,包括基于表单的认证、基于 HTTP 基本认证、基于记住我(Remember Me)的认证等。开发人员可以根据自己的需求选择适合的认证方式,并通过配置文件或编程的方式进行设置。 授权是指确定用户是否具有执行特定操作或访问特定资源的权限。Spring Security 可以通过角色和权限进行授权管理,可以为用户分配不同的角色,每个角色拥有不同的权限。在进行授权时,开发人员可以根据用户的角色和权限来进行判断,从而决定是否允许用户执行某个操作或访问某个资源。 使用 Spring Security 进行认证和授权,首先需要引入相关的依赖项,并配置相应的过滤器链。可以通过编写自定义的身份验证和授权逻辑来满足自己的需求,并且可以与其他框架(如 Spring MVC)进行集成,提供更加完善的安全性解决方案。 总之,Spring Security 是一个功能强大的 Java 安全框架,可以帮助开发人员实现身份验证和授权功能,提高应用程序的安全性。通过灵活的配置和自定义逻辑,开发人员可以根据自己的需求来进行安全性管理,确保应用程序的安全性

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值