SpringSecurity支持WebAuthn认证

最新推荐文章于 2024-06-06 09:31:51 发布
最新推荐文章于 2024-06-06 09:31:51 发布
阅读量812 收藏 1
点赞数
分类专栏: SpringSecurity 文章标签: 前端 angular.js javascript Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xsgnzb/article/details/129379762
版权

WebAuthn是无密码身份验证技术,解决了密码泄露的风险,主流的浏览器都支持。有很多开源的类库实现了WebAuthn规范,Java下流行的类库有:

Spring Security官方暂时未支持WebAuthn,可以用webauthn4jwebauthn4j-spring-security项目,它将webauthn4j和Spring Security打通,项目还处于开发阶段,设计上可能还会调整。但我们可以通过项目里的demo,很好的学习怎么实现WebAuthn。简单介绍一下webauthn4j-spring-security中例子的打开方式。

demo启动流程

  1. 克隆项目

git clone git@github.com:webauthn4j/webauthn4j-spring-security.git

  1. 打包前端资源

cd webauthn4j-spring-security/samples/lib/spa-angular-client
npm install

PS: 这里可能会碰到打包异常,是@angular/cdk包版本和其他模块版本冲突了,将@angular/cdk改成“13.3.9”就能正常打包

npm ERR! code ERESOLVE
npm ERR! ERESOLVE unable to resolve dependency tree
npm ERR! 
npm ERR! While resolving: sample-angular-client@0.0.0
npm ERR! Found: @angular/common@13.3.12
npm ERR! node_modules/@angular/common
npm ERR!   @angular/common@"^13.3.11" from the root project
npm ERR! 
npm ERR! Could not resolve dependency:
npm ERR! peer @angular/common@"^15.0.0 || ^16.0.0" from @angular/cdk@15.2.1
npm ERR! node_modules/@angular/cdk
npm ERR!   @angular/cdk@"^15.1.2" from the root project
npm ERR! 
npm ERR! Fix the upstream dependency conflict, or retry
npm ERR! this command with --force, or --legacy-peer-deps
npm ERR! to accept an incorrect (and potentially broken) dependency resolution.

  1. 启动项目

cd webauthn4j-spring-security
./gradlew build
./gradlew samples:spa:bootRun

  1. 查看登录页

  1. 访问:http://localhost:8080/,就会自动跳转到[http://localhost:8080/angular/login](http://localhost:8080/angular/login)

HttpSecurity核心配置

@Bean
public SecurityFilterChain filterChain(HttpSecurity http, AuthenticationManager authenticationManager) throws Exception {
    // WebAuthn Login
    http.apply(WebAuthnLoginConfigurer.webAuthnLogin())
            .usernameParameter("username")
            .passwordParameter("password")
            .credentialIdParameter("credentialId")
            .clientDataJSONParameter("clientDataJSON")
            .authenticatorDataParameter("authenticatorData")
            .signatureParameter("signature")
            .clientExtensionsJSONParameter("clientExtensionsJSON")
            .loginProcessingUrl("/login")
            .attestationOptionsEndpoint()
            .rp()
            .name("WebAuthn4J Spring Security Sample")
            .and()
            .pubKeyCredParams(
                    new PublicKeyCredentialParameters(PublicKeyCredentialType.PUBLIC_KEY, COSEAlgorithmIdentifier.RS256), // Windows Hello
                    new PublicKeyCredentialParameters(PublicKeyCredentialType.PUBLIC_KEY, COSEAlgorithmIdentifier.ES256) // FIDO U2F Key, etc
            )
            .extensions()
            .credProps(true)
            .and()
            .assertionOptionsEndpoint()
            .and()
            .successHandler(authenticationSuccessHandler)
            .failureHandler(authenticationFailureHandler)
            .and()
            .authenticationManager(authenticationManager);

    http.headers(headers -> {
        // 'publickey-credentials-get *' allows getting WebAuthn credentials to all nested browsing contexts (iframes) regardless of their origin.
        headers.permissionsPolicy(config -> config.policy("publickey-credentials-get *"));
        // Disable "X-Frame-Options" to allow cross-origin iframe access
        headers.frameOptions().disable();
    });

    // Logout
    http.logout()
            .logoutUrl("/logout")
            .logoutSuccessHandler(logoutSuccessHandler);

    // Authorization
    http.authorizeRequests()
            .mvcMatchers("/").permitAll()
            .mvcMatchers("/static/**").permitAll()
            .mvcMatchers("/angular/**").permitAll()
            .mvcMatchers("/webjars/**").permitAll()
            .mvcMatchers("/favicon.ico").permitAll()
            .mvcMatchers("/api/auth/status").permitAll()
            .mvcMatchers(HttpMethod.GET, "/login").permitAll()
            .mvcMatchers(HttpMethod.POST, "/api/profile").permitAll()
            .mvcMatchers("/health/**").permitAll()
            .mvcMatchers("/info/**").permitAll()
            .mvcMatchers("/h2-console/**").denyAll()
            .mvcMatchers("/api/admin/**").access("hasRole('ADMIN_ROLE') and isAuthenticated()")
            .anyRequest().access("@webAuthnSecurityExpression.isWebAuthnAuthenticated(authentication) || hasAuthority('SINGLE_FACTOR_AUTHN_ALLOWED')");

    http.sessionManagement()
            .sessionAuthenticationFailureHandler(authenticationFailureHandler);

    http.exceptionHandling()
            .authenticationEntryPoint(authenticationEntryPoint)
            .accessDeniedHandler(accessDeniedHandler);

    // As WebAuthn has its own CSRF protection mechanism (challenge), CSRF token is disabled here
    http.csrf().csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse());
    http.csrf().ignoringAntMatchers("/webauthn/**");

    return http.build();
}

这个方法将SpringSecurity需要的配置基本都说清楚了,除了#1、#2跟WebAuthn直接相关,其他几点都是SpringSecurity常规配置。

  1. 添加了自定义的WebAuthnLoginConfigurer描述登录页面的URL、字段名等信息

  1. 通过pubKeyCredParams描述服务器可接受的公钥类型的对象数组。

  1. 设置自定义的authenticationManager、successHandler、failureHandler等

  1. 设置http的header

  1. 设置authorizeRequests控制权限

  1. 设置session和exceptionHandling

  1. 设置Csrf配置

引用

体验WebAuthn登录: https://webauthn.io/
李昂的数字之旅
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
webauthn4j:用于WebAuthn和Apple App Attest服务器端验证的可移植Java
04-01
WebAuthn4J 用于WebAuthn和Apple App Attest服务器端验证的可移植Java库 符合标准 的所有强制性测试用例和可选的Android Key证明测试用例。 支持的证明声明格式 支持所有证明声明格式。 包装证明 FIDO U2F认证 Android Key证明 Android SafetyNet认证 TPM证明 苹果匿名证明 无证明 Apple App Attest证明 Kotlin友好 尽管WebAuthn4J是用Java编写的,但公共成员仍通过NonNull或Nullable批注进行标记,以明确声明可空性。 使用WebAuthn4J的项目 文献资料 您可以从找到更多详细信息。 从Maven Central出发 如果您使用的是Maven,只需将webauthn4j添加为依赖项: < properties> ... <!-- Use the lat
webauthn4j-spring-security:WebAuthn4J扩展,用于Spring Security
04-01
WebAuthn4JSpring安全 WebAuthn4J Spring Security通过使用为您的Spring应用程序提供支持。 用户可以使用符合WebAuthn的身份验证器登录。 项目状态 该项目正在积极开发中。 API签名可能会更改。 文献资料 您可以从找到更多详细信息。 从Maven Central出发 如果您使用的是Maven,只需添加webauthn4j-spring-security作为依赖项: < properties> ... <!-- Use the latest version whenever possible. --> < webauthn4j>0.7.0.RELEASE</ webauthn4j> ... </ properties>
推荐一款安全认证神器:WebAuthn4J Spring Security
最新发布
gitblog_00051的博客
06-06 326
推荐一款安全认证神器:WebAuthn4J Spring Security 项目地址:https://gitcode.com/webauthn4j/webauthn4j-spring-security 项目介绍 WebAuthn4J Spring Security 是一个专为Spring应用设计的开源项目,它提供了对Web Authentication(WebAuthn)规范的支持。借助这个库,您...
火狐和chrome_Firefox,Chrome和Edge都将支持WebAuthn的硬件两因素身份验证
cum43546的博客
09-18 292
火狐和chromeLogging into Gmail or Facebook could soon mean plugging in a USB device, potentially making phishing a thing of the past. 登录Gmail或Facebook可能很快就意味着要插入USB设备,这可能使网络钓鱼成为过去。 That’s thanks to WebAu...
spring-security
小黑的博客
09-17 152
地址:https://gitee.com/education-note/spring-security.git
Web开发教程14-Spring Security
lchxcl的博客
12-03 85
  转自:   http://www.bluedash.net/spaces/Web%E5%BC%80%E5%8F%91%E6%95%99%E7%A8%8B14%EF%BC%8DSpring%20Security  
webauthndemo:WebAuthn规范的Java依赖方实现示例
02-06
WebAuthnDemo Java依赖方实现示例。 安装 该演示是在Google App Engine之上编写的。 跑 $ mvn appengine:devserver 用于本地开发服务器实例。
webauthn-demo:示例项目,显示如何使用WebAuthn对privacyIDEA进行身份验证
05-04
webauthn-demo 示例项目,显示了如何使用WebAuthn对privacyIDEA进行身份验证。 重要提示:这是一个演示。 许多事情都得到了简化。 在根据您自己构建实施方案之前,请仔细查看标有FIXME的注释。 请勿在生产环境中使用此代码! 获取代码 要获取此存储库,只需运行以下命令: $ git clone --recursive https://github.com/privacyidea/privacyidea.git 重要提示:请注意上面使用的--recursive标志。 需要获取驻留在子模块中的webauthn-client 。 没有此选项,代码将无法工作! 如果您不久前检出了此存储库,并且想从上游获取最新更改,则可以运行: $ git pull --recurse-submodules 配置 您必须通过在环境中传递选项,或将其放置在名为.env的文件中,并使
解析SpringSecurity+JWT认证流程实现
08-18
SpringSecurity+JWT认证流程实现 作为一名IT行业大师,我将对SpringSecurity+JWT认证流程实现进行详细的解释,并生成相关知识点。 一、SpringSecurity的工作流程 SpringSecurity的工作流程是基于标准servlet过滤...
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权
02-24
在压缩包文件`spring_gateway_security_webflux`中,可能包含了示例代码或配置文件,用于演示如何在Spring Cloud Gateway中集成Spring Security,实现统一登录认证鉴权。这些资源可以帮助开发者更快地理解和实践上述...
springboot+ spring security实现登录认证
05-04
SpringBoot结合Spring Security实现登录认证是企业级应用开发中常见的安全框架组合,它们为Web应用程序提供了强大的安全性。本文将深入探讨这两个技术的核心概念、配置以及如何整合以实现用户登录认证功能。 ...
webauthn_fido_java_react:使用React.jsSpring Boot的Webauthn演示
04-16
Java React WebAuthn演示 介绍 简单的Webauthn演示,具有: 服务器端组件使用java Spring引导。 使用React.js的客户端组件。 该演示应支持: TouchId 打包式自我吸引 包装的全通气 设置 当前,仅支持本地主机 服务器 cd server mvn spring-boot:run 客户 cd client npm install npm run-script dev 图片 身份验证者注册 有用和有趣的链接
Spring Security Oauth2.0认证授权专题
06-19
Spring boot+Spring Security Oauth2.0,Sprint cloud+Spring Security Oauth2集成。四种认证方式。附带有代码,和案例,案例,还有视频链接。我保证看完就回,如果视频链接失效,评论回复我,我单独再给你一份。
webauthn
qq_31650157的博客
02-08 1473
webauthn
webauthn——官方开发文档
月来better
06-25 381
webauthn——官方开发文档
Spring Security 中,通过配置 Filter 链来实现安全控制
qq_60458298的博客
03-23 945
userDetailsService():表示指定自定义的 UserDetailsService 实现类。accessDeniedPage():表示指定访问被拒绝页面的 URL。logoutSuccessUrl():表示退出登录后跳转的 URL。successHandler():表示指定登录成功的处理器。failureHandler():表示指定登录失败的处理器。passwordEncoder():表示指定密码的加密方式。loginPage():表示指定登录页面的 URL。
Spring Security 5.7.1安全过滤器链配置方法
DDDInJava
05-31 4050
@RequiredArgsConstructor(onConstructor_ = @Autowired) @EnableWebSecurity @EnableGlobalMethodSecurity(prePostEnabled = true) public class WebSecurityConfiguration { @NonNull private AuthenticationSuccessHandler authenticationSuccessHandler; @NonNull p.
webauthn实现PIN码和硬件的双重身份验证
xiubinxu的博客
11-25 414
如果你需要使用将下面的代码放到你自己新建的JS文件中,引入即可使用。1,使用webauthn注册和账号的绑定以及验证。(2),登录验证,步骤和注册一样,代码也是差不多。2,下面是实际代码的实现。
Spring Security 支持哪些认证方式?
05-13
Spring Security 支持以下几种认证方式: 1. 基于表单的认证方式:用户在表单中输入用户名和密码进行认证,常用于 Web 应用程序的身份验证。 2. 基于 HTTP 基本认证方式:客户端向服务器发送 HTTP 请求,包含用户名和密码,服务器进行身份验证,常用于 RESTful API 等场景。 3. 基于 OAuth2 认证方式:OAuth2 是一种授权框架,可以让用户授权第三方应用程序访问他们的资源,常用于第三方登录、单点登录等场景。 4. 基于 OpenID Connect 认证方式:OpenID Connect 是一种基于 OAuth2 的身份认证协议,可以实现用户身份认证、授权等功能,常用于单点登录、多租户应用程序等场景。 5. 基于 Remember-Me 认证方式:记住我(Remember-Me)是一种支持在用户下次访问时自动登录的机制。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

李昂的数字之旅

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值