java拦截器sha_使用Spring拦截器实现SPNEGO服务端

最新推荐文章于 2023-02-16 10:50:01 发布
最新推荐文章于 2023-02-16 10:50:01 发布
阅读量475 收藏 3
点赞数
文章标签: java拦截器sha
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_35920379/article/details/114567552
版权
本文介绍了如何基于Spring拦截器实现SPNEGO服务端认证,涉及Kerberos登录、SASL/GSSAPI流程,并通过代码示例展示了如何处理HTTP请求中的票据验证,以便理解SPNEGO协议和Kerberos认证流程。
摘要由CSDN通过智能技术生成

在理清SASL/GSSAPI/Kerberos文中,我们了解到,在java中可以通过Krb5LoginModule模块实现Kerberos登录,以及通过GSSAPI完成校验的基本流程;同时也明白java还定义了一个高层次接口SASL,抽象校验流程。校验流程并没有定义客户端和服务端之间传递“票据”的通信方式,用户可以自己开发合适的通信方案,而SPNEGO协议就是基于http传递票据和校验的标准方案,由微软提出,SPNEGO广泛用于希望集成kerberos认证的http的服务中。本文基于spring interceptor尝试实现一个简易的SPNEGO服务。

准备工作

我们需要准备一些需要的环境和物料。首先我们先回顾一下基于kerberos认证访问服务的整个过程:

ce7c6289293a8b3b2feb58b0b7598d13.png

1-2: 客户端首先从KDC中验证得到票据,基于客户端持有的用户名(Principal)和密码(keytab)

3-4: 客户端从KDC上获取要访问的服务(SerivcePrincipal)的票据

5-6: 客户端访问服务(SerivcePrincipal)的时候携带票据,服务端校验票据的合法性

从这个流程可以看到,这是一个保护服务端的流程。也就是说不是谁都能随便访问某服务的,必须是持有合法用户名(Principal)和密码(keytab)的客户端。当然,客户端和服务端的通信还可以再多进一步,即客户端验证服务端的合法性,但这个流程一般是省略的。

从这个流程看,我们需要如下环境和物料:KDC服务器,以及这个服务器的地址信息配置(krb5.conf),用于Krb5LoginModule从KDC处获取票据

一个合法的客户端用户名(Principal)和密码(keytab)

一个合法的服务端SerivcePrincipal,服务端在构建的时候也需要登录SerivcePrincipal,所以SerivcePrincipal对应的keytab也需要

SPNEGO

SPNEGO协议只是在kerberos流程的基础上,将上述的5-6步,通过http的方式定义了。我们可以通过curl来访问基于kerberos认证的http服务,例如:curl -u : -i -k  --negotiate 'https://192.168.21.134:24148/

其中--negotiate告诉curl支持SPNEGO协议。我们来分析一下curl的流程:发送普通http请求

服务端返回401和WWW-Authentication: Negotiation头

curl会初始化gss_context,开始kerberos认证流程:以当前kinit登录的用户为客户端用户,从kdc处获取票据

以HTTP/host@DOMAIN为SerivcePrincipal,从kdc处获得该服务的访问票据。这里的host是被访问的服务器地址或主机名,DOMAIN为kdc的默认域名。这个规则是curl固定的。所以这就意味两点:1. SerivcePrincipal必须是存在的。2. 服务端也需要在以SerivcePrincipal登录的上下文中验证客户端的票据。

再次发送http请求,生成Authentication: Negotiation xxxxxxx,其中xxxxx为加工以后的base64编码字符串服务端验证Authentication: Negotiation xxxxxxx

代码实现

了解了基本原理后,着手开发,spring-security-kerberos这个项目基于spring security框架实现了kerberos认证的服务。受这个项目启发,我们用interceptor实现:@Override

public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler)

throws Exception {

if (request.getRequestURI().contains("/api/v1/xxl-job")) {

return true;

}

if (!initialized) {

try {

// TODO refreshable

LoginConfig loginConfig = new LoginConfig(

config.getSpnegoAuthConfig().getKeytab(),

config.getSpnegoAuthConfig().getPrincipal(),

Boolean.TRUE.equals(config.getSpnegoAuthConfig().getDebug())

);

Subject sub = new Subject();

loginContext = new LoginContext("", sub, (CallbackHandler)null, loginConfig);

loginContext.login();

} catch (Exception ex) {

logger.error("Failed to initialize GSSAPI context", ex);

loginContext = null;

}

initialized = true;

}

if (loginContext == null) {

// 如果已经初始化过,但是失败了,则放行

return true;

}

String auth = request.getHeader(AUTHORIZATION);

if (auth != null) {

String userName = Subject.doAs(loginContext.getSubject(), new AuthAction(auth.trim()));

if (userName != null) {

logger.debug("Login user by spnego: {}", userName);

return true;

}

}

commence(response);

return false;

}

private void commence(HttpServletResponse response) throws IOException {

response.addHeader("WWW-Authenticate", "Negotiate");

// NOTE: 不能写成sendError,会返回两个WWW-Authenticate: Negotiate。why?

// response.sendError(HttpStatus.UNAUTHORIZED.value(), HttpStatus.UNAUTHORIZED.getReasonPhrase());

response.setStatus(401);

response.flushBuffer();

}

我们知道preHandle会拦截任何一个请求,在这里面我们初始化一次logContext,这里使用的是ServicePrincipal,而且必须是如下形式:HTTP/@

试图获取请求头中的AuthorizationString auth = request.getHeader(AUTHORIZATION);

如果存在,就进入验证逻辑,如果不存在或者验证失败,就返回401和WWW-Authenticate: Negotiate

以上是代码的基本逻辑,重点是看一下验证逻辑:public class AuthAction implements PrivilegedExceptionAction {

private String authString;

public AuthAction(String authString) {

this.authString = authString;

}

@Override

public String run() throws Exception {

GSSContext context = GSSManager.getInstance().createContext((GSSCredential)null);

try {

String token = authString.substring("Negotiate".length()).trim();

byte[] kerberosTicket = java.util.Base64.getDecoder().decode(token);

context.acceptSecContext(kerberosTicket, 0, kerberosTicket.length);

return context.getSrcName().toString();

} catch (Exception ex) {

logger.error("Failed to auth token", ex);

return null;

} finally {

context.dispose();

}

}

}

可以清楚的看到,代码是如何解码base64,以及最终调用理清SASL/GSSAPI/Kerberos文中提到的acceptSecContext的。

还有一个技巧,是我们自己实现了LoginConfig类,而不依赖jaas配置文件,因为jdk自带的基于jaas配置文件登录的机制,需要使用System.setProperty配置,会污染全局环境。自定义Configuration类后,可以决定如何将登录的配置信息传递给LoginModule,而不局限于使用全局配置项。受spring-security-kerberos启发,LoginConfig的实现如下:public class LoginConfig extends Configuration {

private String keyTabLocation;

private String servicePrincipalName;

private boolean debug;

public LoginConfig(String keyTabLocation, String servicePrincipalName, boolean debug) {

this.keyTabLocation = keyTabLocation;

this.servicePrincipalName = servicePrincipalName;

this.debug = debug;

}

public AppConfigurationEntry[] getAppConfigurationEntry(String name) {

HashMap options = new HashMap();

options.put("useKeyTab", "true");

options.put("keyTab", this.keyTabLocation);

options.put("principal", this.servicePrincipalName);

options.put("storeKey", "true");

options.put("doNotPrompt", "true");

if (this.debug) {

options.put("debug", "true");

}

options.put("isInitiator", "false");

return new AppConfigurationEntry[]{

new AppConfigurationEntry(

"com.sun.security.auth.module.Krb5LoginModule",

AppConfigurationEntry.LoginModuleControlFlag.REQUIRED, options)

};

}

}

启动服务

启动调试服务的时候,必须增加-Djava.security.krb5.conf=xxxxx,还可以增加如下配置项辅助问题诊断:

-Dsun.security.krb5.debug=true

-Dsun.security.spnego.debug=true

遇到的问题和解决Failure unspecified at GSS-API level (Mechanism level: Invalid argument (400) - Cannot find key of appropriate type to decrypt AP REP - AES256 CTS mode with HMAC SHA1-96)

keytab指定错误导致Failure unspecified at GSS-API level (Mechanism level: Request is a replay (34))

同步时钟无果

增加-Dsun.security.krb5.rcache=none解决,参考(https://community.cloudera.com/t5/Support-Questions/Solr-quot-Request-is-a-replay-quot-Ambari-Infra-Solr-2-5/td-p/212870)Failure unspecified at GSS-API level (Mechanism level: Checksum failed)

跟krb5.conf中配置的加密算法有关,测试下来下面两个方法选其一即可解决,参考(https://stackoverflow.com/questions/26784376/spnego-with-tomcat-error-gssexception-failure-unspecified-at-gss-api-level-me)[realms]

supported_enctypes = aes256-cts-hmac-sha1-96:special aes128-cts-hmac-sha1-96:special

或者

[libdefaults]

default_tkt_enctypes = arcfour-hmac-md5

总结

本文基于spring的拦截器,实现了一个简化版的SPNEGO协议,可以帮助加深kerberos认证流程和原理的理解,以及加深GSSAPI的原理认识。

雷鸣泽基
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
spnego java_《HttpClient官方文档》4.8 SPNEGO/Kerberos验证
weixin_31068553的博客
02-19 487
原文链接译者:EdenpanSPNEGO(简单并且受保护的GSSAPI协商机制)被设计为当两端都不知道他人可以提供,或使用什么时所提供的验证服务。它可以包装其他的机制,但是目前HttpClient4.2是按照Kerbros单独设计的。4.8.1SPNEGO在HttpClient中的支持SPNEGO验证方案被Sun Java 1.5以上版本兼容。1.6以上的Java版本被强烈推荐,因为它已经完全支...
spnego_通过使用SPNEGO集成Microsoft Windows身份验证
cuxiong8996的博客
07-09 1712
关于本系列 这个由三部分组成的系列文章“使用带有WebSphere Liberty的SAML 2.0进行跨域单点登录”介绍了在混合云环境中使用IBM®Cloud的端到端单点登录(SSO)解决方案。 它说明了如何使用WebSphere®Liberty使云上的Java™EE标准应用程序能够安全地调用私有网络中公开的服务。 在此解决方案中,您将了解如何配置IBM WebSphere Liberty...
spnego java,为Web应用程序单点登录选择Kerberos(SPNEGOJava
weixin_32423063的博客
02-19 266
I'm currently working on implementing enterprise authentication mechanisms in our Java web-application, including single sign-on. Windows networks are what we primary target at, and Kerberos sounds a ...
spnego java,Java SPNEGO身份验证和Kerberos约束委派(KCD)到后端服务
weixin_39552472的博客
02-19 223
I have a Java web application which do SPNEGO authentication of clients in a Windows Active Directory environment.To authenticate the user we use code from the good old SPNEGO SourceForge project.Stri...
Spring Security Kerberos/SPNEGO Extension
BLOG域名:programb.blog.csdn.net
05-16 505
Engineering Mike Wiesner September 28, 2009 We’re pleased to announce that the first milestone of the Spring Security Kerberos Extension is now available for download. The release is also available through the Maven milestone repository at http://maven.spr
sso.rar_IIS ad java_iis_sso_sso IIS_单点登录
09-23
Java应用端,可能需要配置LDAP连接以查询AD用户信息,或者使用JavaSPNEGO库来处理Kerberos票据。 7. **安全性考虑**:SSO虽带来便利,但也会增加攻击面。因此,实现时必须确保通信安全,例如使用HTTPS,以及...
mod_spnego:在 Windows 上运行的 Apache HTTP Server 的 Kerberos 身份验证-开源
07-11
mod_spnego 允许使用 Kerberos 对在 Windows 上的 Apache HTTP 服务器 (httpd) 上运行的网站的用户进行身份验证。 然后,经过身份验证的用户在服务器变量 AUTH_USER 中可用。 sourceforge 上仅托管下载,来源位于 ...
spnego-demo:示例Web应用程序,该应用程序在WildFly和_或JBoss EAP中使用Kerberos身份验证
05-02
如果需要SPNEGO与WildFly 8.x / 9.x一起使用,请尝试对wildfly使用方法或器。 它是如何工作的? 在启用SPNEGO的应用程序中的META-INF/jboss-deployment-structure.xml部署描述符文件中定义了对org.jboss.security....
hive kerberos java_hive + kerberos spring 配置 DruidDataSource 数据库连接池
weixin_39557576的博客
03-04 943
应该是可以通过配置:修改Druid项目中distribution目录下的pom文件,在project.build.plugins.plugin.executions.execution..configuration.arguments 标签加入以下两行代码:[mw_shl_code=bash,true]-cio.druid.extensions:druid-kerberos[/mw_shl_cod...
认证模式之Spnego模式
zhangxiping
01-19 2006
Spnego模式是一种由微软提出的使用GSS-API接口的认证模式。它扩展了Kerberos协议,在了解Spnego协议之前必须先了解Kerberos协议,Kerberos协议主要解决身份认证及通信密钥协商问题。它大致的工作流程例如以下: ①client依据自己username向密钥分发中心KDC的身份认证服务AS请求TGS票证。 ②AS生成一个TGS票证、查询相应用户的password,然后通过用户password将TGS票证加密,响应给client。 ③client通过用户password解密TGS票
SPRING SECURITY KERBEROS/SPNEGO EXTENSION
jackson87的博客
08-27 372
KERBEROS/SPNEGOspring-security项目的扩展,同时也是实现Windows Active Directory认证的一种方式,其流程和配置可参考http://lengyun3566.iteye.com/blog/1404943,这篇文章讲的比较详细。在开发过程中通过ktpass映射用户名这步有2种方式(我只知道2种): 1、ktpass -princ HTTP/项目部署所...
kerberos-spnego
weixin_30347009的博客
06-02 193
https://blogs.sap.com/2019/02/12/upgrading-kerberos-spnego-implementation/ 转载于:https://www.cnblogs.com/WCFGROUP/p/10965011.html
基于 AD + SPNEGO+Springboot 集成 SSO
分享·收获
05-31 248
基于SPNEGO协议的SSO登录
kerberos管理开发总结
Show something
11-21 2982
从10月23日左右,到10月27日搬完代码,到今天11月20日;小一个月已经过去了; kerberos管理所花的时间超出了我的预期。 当然,中间出了很多七七八八的是,干扰了开发。 比如,xjl事件,联通总部数据域项目,以及一些其他的事情。 好在现在基本开发完了,还有一些小瑕疵,可留在后续解决,现在急需对过去一月的工作进行总结整理。 通过这次开发,大量借用ambar
【kerberos】org.apache.hadoop.security.AccessControlException: Client cannot authenticate via:[TOKEN,
最新发布
Mrerlou的博客
02-16 2084
在用SUSE 操作系统安装 CM 大数据平台,在集群开启 kerberos 后,使用 HDFS 命令报错如下: 环境信息 SUSE Linux Enterprise Server 12 Service Pack 1 (SLES 12 SP5) 仔细看,在使用 klist 命令时,有个 他指向的路径是: 而在执行 命令时,有个 他指向的路径是 默认是去 目录下找 缓存。然后 SUSE 操作系统下 并不是放在 目录下,导致 客户端认为你没有进行 认证。所以报错。在中,我们增加了下面的参数以后
基于 ambari 安装 Kerberos 问题总结
dymkkj的专栏
03-26 2476
更多问题解决来源 https://steveloughran.gitbooks.io/kerberos_and_hadoop/content/sections/errors.html(包含大部分Kerberos问题,票据,server) https://www.bbsmax.com/A/rV574Yk9dP/ 1.问题: 2019-03-22 20:53:01 WARN ScriptBa...
Windows下配置浏览器使用Kerberos (SPNEGO)
热门推荐
taisenki的博客
06-22 1万+
Windows下配置浏览器使用Kerberos (SPNEGO) Windows下配置浏览器使用Kerberos (SPNEGO) 适用场景 Windows GSSAPI/KERBEROS环境配置 安装MIT KERBEROS 配置kerberos环境 配置JCE 配置Firefox 后谈 小结 参考链接: 适用场景 本示例适用场景满足以下情况: 1. 访问开启k...
CAS通过Spnego与AD域整合实现Kerberos无感知认证
"这篇文章主要介绍了如何将CAS (Central Authentication Service) 集成到使用Spnego认证方式的Kerberos环境中,与Active Directory (AD) 域进行整合。" 在IT领域,尤其是在企业级应用中,身份验证和授权是至关重要...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值