Spring Security:自动登录(降低安全风险)

最新推荐文章于 2023-09-20 14:50:32 发布
最新推荐文章于 2023-09-20 14:50:32 发布
阅读量502 收藏 1
点赞数
分类专栏: # SpringSecurity 文章标签: SpringSecurity
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45730091/article/details/106381713
版权

文章目录


上篇文章中,我们提到了 Spring Boot 自动登录存在的一些安全风险,在实际应用中,我们肯定要把这些安全风险降到最低,下面就来和大家聊一聊如何降低安全风险的问题。

降低安全风险,我主要从两个方面来给大家介绍:

  1. 持久化令牌方案
  2. 二次校验

持久化令牌

原理

要理解持久化令牌,一定要先搞明白自动登录的基本玩法,参考(Spring Security:自动登录)。

持久化令牌就是在基本的自动登录功能基础上,又增加了新的校验参数,来提高系统的安全性,这一些都是由开发者在后台完成的,对于用户来说,登录体验和普通的自动登录体验是一样的。

在持久化令牌中,新增了两个经过 MD5 散列函数计算的校验参数,一个是 series,另一个是 token。其中,series 只有当用户在使用用户名/密码登录时,才会生成或者更新,而 token 只要有新的会话,就会重新生成,这样就可以避免一个用户同时在多端登录,就像手机 QQ ,一个手机上登录了,就会踢掉另外一个手机的登录,这样用户就会很容易发现账户是否泄漏。

持久化令牌的具体处理类在 PersistentTokenBasedRememberMeServices 中,上篇文章我们讲到的自动化登录具体的处理类是在 TokenBasedRememberMeServices 中,它们有一个共同的父类:
在这里插入图片描述
而用来保存令牌的处理类则是 PersistentRememberMeToken,该类的定义也很简洁命令:

public class PersistentRememberMeToken {
 private final String username;
 private final String series;
 private final String tokenValue;
 private final Date date;
    //省略 getter
}

这里的 Date 表示上一次使用自动登录的时间。

代码演示

接下来,我通过代码来给大家演示一下持久化令牌的具体用法。

首先我们需要一张表来记录令牌信息,这张表我们可以完全自定义,也可以使用系统默认提供的 JDBC 来操作,如果使用默认的 JDBC,即 JdbcTokenRepositoryImpl,我们可以来分析一下该类的定义:

public class JdbcTokenRepositoryImpl extends JdbcDaoSupport implements
  PersistentTokenRepository {
 public static final String CREATE_TABLE_SQL = "create table persistent_logins (username varchar(64) not null, series varchar(64) primary key, "
   + "token varchar(64) not null, last_used timestamp not null)";
 public static final String DEF_TOKEN_BY_SERIES_SQL = "select username,series,token,last_used from persistent_logins where series = ?";
 public static final String DEF_INSERT_TOKEN_SQL = "insert into persistent_logins (username, series, token, last_used) values(?,?,?,?)";
 public static final String DEF_UPDATE_TOKEN_SQL = "update persistent_logins set token = ?, last_used = ? where series = ?";
 public static final String DEF_REMOVE_USER_TOKENS_SQL = "delete from persistent_logins where username = ?";
}

根据这段 SQL 定义,我们就可以分析出来表的结构,这里给出一段 SQL 脚本:

CREATE TABLE `persistent_logins` (
  `username` varchar(64) COLLATE utf8mb4_unicode_ci NOT NULL,
  `series` varchar(64) COLLATE utf8mb4_unicode_ci NOT NULL,
  `token` varchar(64) COLLATE utf8mb4_unicode_ci NOT NULL,
  `last_used` timestamp NOT NULL DEFAULT CURRENT_TIMESTAMP ON UPDATE CURRENT_TIMESTAMP,
  PRIMARY KEY (`series`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_unicode_ci;

首先我们在数据库中准备好这张表。

既然要连接数据库,我们还需要准备 jdbc 和 mysql 依赖,如下:

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-jdbc</artifactId>
</dependency>
<dependency>
    <groupId>mysql</groupId>
    <artifactId>mysql-connector-java</artifactId>
</dependency>

然后修改 application.properties ,配置数据库连接信息:

spring.datasource.username=root
spring.datasource.password=123456
spring.datasource.url=jdbc:mysql://localhost:3306/javakf_test1?useUnicode=true&characterEncoding=UTF-8&serverTimezone=Asia/Shanghai

接下来,我们修改 SecurityConfig,如下:

@Autowired
DataSource dataSource;
@Bean
JdbcTokenRepositoryImpl jdbcTokenRepository() {
    JdbcTokenRepositoryImpl jdbcTokenRepository = new JdbcTokenRepositoryImpl();
    jdbcTokenRepository.setDataSource(dataSource);
    return jdbcTokenRepository;
}
@Override
protected void configure(HttpSecurity http) throws Exception {
    http.authorizeRequests()
            .anyRequest().authenticated()
            .and()
            .formLogin()
            .and()
            .rememberMe()
            .key("javakf")
            .tokenRepository(jdbcTokenRepository())
            .and()
            .csrf().disable();
}

提供一个 JdbcTokenRepositoryImpl 实例,并给其配置 DataSource 数据源,最后通过 tokenRepository 将 JdbcTokenRepositoryImpl 实例纳入配置中。

OK,做完这一切,我们就可以测试了。

测试

我们还是先去访问 /hello 接口,此时会自动跳转到登录页面,然后我们执行登录操作,记得勾选上“记住我”这个选项,登录成功后,我们可以重启服务器、然后关闭浏览器再打开,再去访问 /hello 接口,发现依然能够访问到,说明我们的持久化令牌配置已经生效。

查看 remember-me 的令牌,如下:
在这里插入图片描述
这个令牌经过解析之后,格式如下:

gAnM2kjaP5tNZh3rHPR2OA%3D%3D:qVhKovcIayxvGNefBvKiHw%3D%3D

这其中,%3D 表示 =,所以上面的字符实际上可以翻译成下面这样:

gAnM2kjaP5tNZh3rHPR2OA==:qVhKovcIayxvGNefBvKiHw==

此时,查看数据库,我们发现之前的表中生成了一条记录:
在这里插入图片描述
数据库中的记录和我们看到的 remember-me 令牌解析后是一致的。

源码分析

这里的源码分析和上篇文章的流程基本一致,只不过实现类变了,也就是生成令牌/解析令牌的实现变了,所以这里我主要和大家展示不一样的地方,流程问题,大家可以参考上篇文章。

这次的实现类主要是:PersistentTokenBasedRememberMeServices,我们先来看里边几个和令牌生成相关的方法:

protected void onLoginSuccess(HttpServletRequest request,
  HttpServletResponse response, Authentication successfulAuthentication) {
 String username = successfulAuthentication.getName();
 PersistentRememberMeToken persistentToken = new PersistentRememberMeToken(
   username, generateSeriesData(), generateTokenData(), new Date());
 tokenRepository.createNewToken(persistentToken);
 addCookie(persistentToken, request, response);
}
protected String generateSeriesData() {
 byte[] newSeries = new byte[seriesLength];
 random.nextBytes(newSeries);
 return new String(Base64.getEncoder().encode(newSeries));
}
protected String generateTokenData() {
 byte[] newToken = new byte[tokenLength];
 random.nextBytes(newToken);
 return new String(Base64.getEncoder().encode(newToken));
}
private void addCookie(PersistentRememberMeToken token, HttpServletRequest request,
  HttpServletResponse response) {
 setCookie(new String[] { token.getSeries(), token.getTokenValue() },
   getTokenValiditySeconds(), request, response);
}

可以看到:

  1. 在登录成功后,首先还是获取到用户名,即 username。
  2. 接下来构造一个 PersistentRememberMeToken 实例,generateSeriesData 和generateTokenData 方法分别用来获取 series 和 token,具体的生成过程实际上就是调用SecureRandom 生成随机数再进行 Base64 编码,不同于我们以前用的 Math.random 或者java.util.Random 这种伪随机数,SecureRandom则采用的是类似于密码学的随机数生成规则,其输出结果较难预测,适合在登录这样的场景下使用。
  3. 调用 tokenRepository 实例中的 createNewToken 方法,tokenRepository实际上就是我们一开始配置的 JdbcTokenRepositoryImpl,所以这行代码实际上就是将PersistentRememberMeToken 存入数据库中。
  4. 最后 addCookie,大家可以看到,就是添加了 series 和 token。

这是令牌生成的过程,还有令牌校验的过程,也在该类中,方法是:processAutoLoginCookie:

protected UserDetails processAutoLoginCookie(String[] cookieTokens,
  HttpServletRequest request, HttpServletResponse response) {
 final String presentedSeries = cookieTokens[0];
 final String presentedToken = cookieTokens[1];
 PersistentRememberMeToken token = tokenRepository
   .getTokenForSeries(presentedSeries);
 if (!presentedToken.equals(token.getTokenValue())) {
  tokenRepository.removeUserTokens(token.getUsername());
  throw new CookieTheftException(
    messages.getMessage(
      "PersistentTokenBasedRememberMeServices.cookieStolen",
      "Invalid remember-me token (Series/token) mismatch. Implies previous cookie theft attack."));
 }
 if (token.getDate().getTime() + getTokenValiditySeconds() * 1000L < System
   .currentTimeMillis()) {
  throw new RememberMeAuthenticationException("Remember-me login has expired");
 }
 PersistentRememberMeToken newToken = new PersistentRememberMeToken(
   token.getUsername(), token.getSeries(), generateTokenData(), new Date());
 tokenRepository.updateToken(newToken.getSeries(), newToken.getTokenValue(),
    newToken.getDate());
 addCookie(newToken, request, response);
 return getUserDetailsService().loadUserByUsername(token.getUsername());
}

这段逻辑也比较简单:

  1. 首先从前端传来的 cookie 中解析出 series 和 token。
  2. 根据 series 从数据库中查询出一个 PersistentRememberMeToken 实例。
  3. 如果查出来的 token 和前端传来的 token 不相同,说明账号可能被人盗用(别人用你的令牌登录之后,token会变)。此时根据用户名移除相关的 token,相当于必须要重新输入用户名密码登录才能获取新的自动登录权限。
  4. 接下来校验 token 是否过期。
  5. 构造新的 PersistentRememberMeToken 对象,并且更新数据库中的token(这就是我们文章开头说的,新的会话都会对应一个新的 token)。
  6. 将新的令牌重新添加到 cookie 中返回。
  7. 根据用户名查询用户信息,再走一波登录流程。

OK,这里和小伙伴们简单理了一下令牌生成和校验的过程,具体的流程,大家可以参考上篇文章。

二次校验

相比于上篇文章,持久化令牌的方式其实已经安全很多了,但是依然存在用户身份被盗用的问题,这个问题实际上很难完美解决,我们能做的,只能是当发生用户身份被盗用这样的事情时,将损失降低到最小。

因此,我们来看下另一种方案,就是二次校验。

二次校验这块,实现起来要稍微复杂一点,我先来和大家说说思路。

为了让用户使用方便,我们开通了自动登录功能,但是自动登录功能又带来了安全风险,一个规避的办法就是如果用户使用了自动登录功能,我们可以只让他做一些常规的不敏感操作,例如数据浏览、查看,但是不允许他做任何修改、删除操作,如果用户点击了修改、删除按钮,我们可以跳转回登录页面,让用户重新输入密码确认身份,然后再允许他执行敏感操作。

这个功能在 Shiro 中有一个比较方便的过滤器可以配置,Spring Security 当然也一样,例如我现在提供三个访问接口:

@RestController
public class HelloController {

	@GetMapping("/hello")
	public String hello() {
		return "hello";
	}

	@GetMapping("/admin")
	public String admin() {
		return "admin";
	}

	@GetMapping("/rememberme")
	public String rememberme() {
		return "rememberme";
	}

}
  1. 第一个 /hello 接口,只要认证后就可以访问,无论是通过用户名密码认证还是通过自动登录认证,只要认证了,就可以访问。
  2. 第二个 /admin 接口,必须要用户名密码认证之后才能访问,如果用户是通过自动登录认证的,则必须重新输入用户名密码才能访问该接口。
  3. 第三个 /rememberme 接口,必须是通过自动登录认证后才能访问,如果用户是通过用户名/密码认证的,则无法访问该接口。

好了,我们来看下接口的访问要怎么配置:

@Override
protected void configure(HttpSecurity http) throws Exception {
	http.authorizeRequests()
			.antMatchers("/rememberme").rememberMe()
			.antMatchers("/admin").fullyAuthenticated()
			.anyRequest().authenticated()
			.and()
			.formLogin()
			.and()
			.rememberMe()
			.key("javakf")
			.tokenRepository(jdbcTokenRepository())
			.and()
			.csrf().disable();
}

可以看到:

  1. /rememberme 接口是需要 rememberMe 才能访问。
  2. /admin 是需要 fullyAuthenticated,fullyAuthenticated 不同于authenticated,fullyAuthenticated 不包含自动登录的形式,而 authenticated包含自动登录的形式。
  3. 最后剩余的接口(/hello)都是 authenticated 就能访问。

OK,配置完成后,重启测试,测试过程我就不再赘述了。

代码托管:springsecurity_example_8

​​
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring security 3.0x remember-me 免登陆
08-03
Spring Security 是一个强大的Java安全框架,它为Web应用程序提供了全面的安全解决方案。在3.0.x版本中,"remember-me"功能是Spring Security提供的一种便捷方式,允许用户在关闭浏览器后仍能在一段时间内保持登录...
Springboot实现登录注册页面间的跳转
weixin_57765483的博客
07-29 4079
Springboot实现登录注册页面间的跳转=>>说明这里使用的是idea旗舰版(社区版需要下载插件,但还是有那么点问题未解决,如需使用,参考=>这里)、jdk1.8,以下是其相关下载配置链接、供参考,以及项目的登录注册创建实现及其资源。...
Springboot之actuator配置不当的漏洞利用
热门推荐
独行侠的守望の博客
04-17 1万+
转载地址:https://www.freebuf.com/news/193509.html,学习留存,有疑问请联系本人删除。 Springboot之actuator配置不当的漏洞利用 T-T2019-01-14共651761人围观 ,发现12个不明物体WEB安全资讯 *本文原创作者:T-T,本文属FreeBuf原创奖励计划,未经许可禁止转载 前言 Actuator 是 sprin...
SpringBoot项目启动之后莫名跳转Please sign in界面
zhansan的博客
08-13 1004
SpringBoot项目启动之后莫名跳转Please sign in界面
Spring-boot oauth2使用RestTemplate进行后台自动登录
Guoye的专栏
07-31 8186
Spring-boot 使用RestTemplate进行后台自动登录登录流程主要代码 内容不限于登录业务,主要简单介绍RestTemplate的用法,包括 使用RestTemplate进行post请求 postForObject 使用RestTemplate带body/form-data进行post请求 MultiValueMap 使用RestTemplate带josn进行post请求JSONO...
springboot登录跳转
weixin_67283973的博客
01-07 725
springboot实现简单登录跳转
springwebsecurity
03-29
Spring Web Security 是一个强大的安全框架,用于保护基于Spring的Web应用程序。它提供了全面的安全解决方案,包括身份验证、...通过理解和熟练掌握Spring Web Security,可以提升应用的安全性,降低潜在的安全风险
security-core:安全核心-主动创意技术
05-17
在Java开发领域,"security-core:安全核心-主动创意技术" 涉及的是一个用于构建应用程序安全性的重要组件。安全核心通常是指一个框架或者库,它提供了基础的安全管理功能,如认证、授权、加密和会话管理等。在这个...
Spring Boot+Spring Security+MyBatis+Vue+Mysql前后端分离成本核算管理系统源码
06-28
2. **Spring Security**:作为Spring生态的一部分,Spring Security提供了全面的安全服务,包括身份验证、授权和访问控制。在这个项目中,Spring Security负责处理用户的身份验证和权限管理,确保只有经过验证的用户...
医疗器械软件网络安全风险分析报告.pdf
10-20
本报告旨在对医疗器械软件进行网络安全风险分析,以降低软件产品的网络安全风险,确保软件产品符合《医疗器械网络安全注册技术审查指导原则》的相关规定。 1. 风险管理分析目的: 本报告的目的是为了在软件开发的...
实现多后台跳转自动登录
Escaper的博客
09-01 1039
场景 有几十个后台,每次都需要找地址,再输入账号登录且所有的后台账号密码相同,仅仅是地址不同。且后台都是在不同的服务器上,需要的仅仅是一个跳板机管理而已 实现思路 将地址分类,利用select下拉框决定地址,添加输入框接收账号密码 ,提交的时候向选定地址跳转并实现自动登录到管理页面 具体实现 地址选定很简单就不赘述了,主要在如何发送请求并跳转,java是不能直接像浏览器直接请求然后跳转,而且会有各种问题,跨域,session过期等等,如果有人知道怎么用java实现麻烦教我一下。先看关键代码 js,利用js伪
SpringBoot项目启动后访问任意接口都会跳转到一个莫名其妙的login登录页面
记录和分享属于我的“IT”时光
02-19 3744
SpringBoot项目启动后访问任意接口都会跳转到一个莫名其妙的login登录页面
记一次SpringBoot的信息泄漏
weixin_51721627的博客
06-12 4218
质量欠佳,大佬轻喷
springboot2.x实现oauth2授权码登陆
V539413949的博客
04-23 3085
一 进行授权页 浏览器输入http://localhost:8081/oauth/authorize?response_type=code&redirect_uri=http://localhost:8081/callback&client_id=android1&scop=all 二 使用资源站用户登陆 自动跨到资源登陆页,先登陆 三 授权资源类型 登陆成功后,去授权你的资源,这些资源是在AuthorizationServerConfig.configure方法里配置的 clie
SpringBoot项目配置明文密码泄露问题的处理方式
Sunshinejourney的博客
12-02 461
SpringBoot项目配置明文密码泄露问题的处理方式
asp登录页面跳转到注册页面_SpringBoot项目访问任意接口都跳转到login登录页面
weixin_39753791的博客
11-26 573
在创建SpringBoot项目时,勾选Spring Security依赖,会在Maven中导入Spring Security。 org.springframework.boot spring-boot-starter-security这个依赖中有一个登陆拦截器,SpringBoot项目访问任意接口(页面)都跳转到login登录页面这是Spring为我们做的安全认证机制,访问项目时会跳转到登录页...
Spring Security/logout请求默认跳转到/login?logout解决方案
weixin_55658418的博客
03-03 2596
spring security logout请求 重定向
Spring Security登录后一直跳转登录页面原因分析
oPeiJie1的博客
04-11 4200
,主要是分析由于存在多个RequestCache对象,当资源服务器接管路径的配置不正确时,无法获取正确的RequestCache对象,导致无法得到授权码。获取授权码的时候,因为此时没有登陆,所以会将我们重定向到登录页面/login,在重定向之前还有一个动作就是缓存本次请求。既然我们是因为无法从缓存中拿到之前的请求而导致再次被重定向到登录界面的,那我们就看一下,获取缓存请求是怎么执行的?至此,我们晓得了,为什么我们得不到缓存请求,被一直重定向到登录页面,那如何解决呢?输入正确的用户名和密码,点击登录
修改和完成SpringSecurity登录功能
最新发布
qq_634380940的博客
09-20 599
拓展登录失败与登录成功的Handler的事件处理,添加handler。添加loginPage、loginProcessingUrl方法。测试:SecurityUserService中打印用户名。
使用 Spring Session 与 Spring security 完成网站登录改造.docx
06-26
本文档探讨了如何使用Spring Session和Spring Security对一个网站进行登录功能的改造,以便实现后端集中式Session存储,并提高系统的安全性。首先,作者指出在不依赖框架的情况下,手动实现后端Session集中存储需要...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值