การรับรองความถูกต้อง RESTful ผ่าน Spring

ปัญหา:
เรามี RESTful API แบบสปริง MVC ซึ่งมีข้อมูลที่ละเอียดอ่อน API ควรมีความปลอดภัย แต่การส่งข้อมูลรับรองของผู้ใช้ (คำสั่งผสมของผู้ใช้ / รหัสผ่าน) พร้อมกับคำขอแต่ละรายการไม่เป็นที่ต้องการ ตามแนวทาง REST (และข้อกำหนดทางธุรกิจภายใน) เซิร์ฟเวอร์จะต้องอยู่ในสถานะไร้สัญชาติ API จะใช้งานโดยเซิร์ฟเวอร์อื่นในรูปแบบการตอบโต้กับผู้ใช้ได้

ที่ต้องการ:

• ไคลเอนต์ทำการร้องขอ.../authenticate(URL ที่ไม่มีการป้องกัน) ด้วยหนังสือรับรอง เซิร์ฟเวอร์ส่งคืนโทเค็นที่ปลอดภัยซึ่งมีข้อมูลเพียงพอสำหรับเซิร์ฟเวอร์เพื่อตรวจสอบคำขอในอนาคตและยังคงไร้สัญชาติ นี้อาจจะประกอบด้วยข้อมูลเช่นเดียวกับการรักษาความปลอดภัยของฤดูใบไม้ผลิจำ-Me Token

• ไคลเอนต์ทำการร้องขอที่ตามมาไปยัง URL ต่างๆ (ที่มีการป้องกัน) ซึ่งจะเพิ่มโทเค็นที่ได้รับก่อนหน้านี้เป็นพารามิเตอร์การสืบค้น (หรือน้อยกว่านั้นคือส่วนหัวคำขอ HTTP)

• ไม่สามารถคาดว่าลูกค้าจะจัดเก็บคุกกี้ได้

• เนื่องจากเราใช้ Spring อยู่แล้วโซลูชันควรใช้ประโยชน์จาก Spring Security

เราต่อสู้กับกำแพงที่พยายามทำให้งานนี้สำเร็จดังนั้นหวังว่าจะมีใครบางคนแก้ไขปัญหานี้ได้แล้ว

จากสถานการณ์ข้างต้นคุณจะแก้ไขความต้องการนี้ได้อย่างไร

เราจัดการเพื่อให้การทำงานตรงตามที่อธิบายไว้ใน OP และหวังว่าคนอื่นจะสามารถใช้ประโยชน์จากโซลูชันได้ นี่คือสิ่งที่เราทำ:

ตั้งค่าบริบทความปลอดภัยดังนี้:

<security:http realm="Protected API" use-expressions="true" auto-config="false" create-session="stateless" entry-point-ref="CustomAuthenticationEntryPoint">
    <security:custom-filter ref="authenticationTokenProcessingFilter" position="FORM_LOGIN_FILTER" />
    <security:intercept-url pattern="/authenticate" access="permitAll"/>
    <security:intercept-url pattern="/**" access="isAuthenticated()" />
</security:http>

<bean id="CustomAuthenticationEntryPoint"
    class="com.demo.api.support.spring.CustomAuthenticationEntryPoint" />

<bean id="authenticationTokenProcessingFilter"
    class="com.demo.api.support.spring.AuthenticationTokenProcessingFilter" >
    <constructor-arg ref="authenticationManager" />
</bean>

ในขณะที่คุณสามารถดูเราได้สร้างที่กำหนดเองAuthenticationEntryPointซึ่งโดยทั่วไปเพียงแค่ส่งกลับถ้าขอไม่ได้รับรองความถูกต้องในห่วงโซ่กรองตามเรา401 UnauthorizedAuthenticationTokenProcessingFilter

CustomAuthenticationEntryPoint :

public class CustomAuthenticationEntryPoint implements AuthenticationEntryPoint {
    @Override
    public void commence(HttpServletRequest request, HttpServletResponse response,
            AuthenticationException authException) throws IOException, ServletException {
        response.sendError( HttpServletResponse.SC_UNAUTHORIZED, "Unauthorized: Authentication token was either missing or invalid." );
    }
}

AuthenticationTokenProcessingFilter :

public class AuthenticationTokenProcessingFilter extends GenericFilterBean {

    @Autowired UserService userService;
    @Autowired TokenUtils tokenUtils;
    AuthenticationManager authManager;

    public AuthenticationTokenProcessingFilter(AuthenticationManager authManager) {
        this.authManager = authManager;
    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response,
            FilterChain chain) throws IOException, ServletException {
        @SuppressWarnings("unchecked")
        Map<String, String[]> parms = request.getParameterMap();

        if(parms.containsKey("token")) {
            String token = parms.get("token")[0]; // grab the first "token" parameter

            // validate the token
            if (tokenUtils.validate(token)) {
                // determine the user based on the (already validated) token
                UserDetails userDetails = tokenUtils.getUserFromToken(token);
                // build an Authentication object with the user's info
                UsernamePasswordAuthenticationToken authentication = 
                        new UsernamePasswordAuthenticationToken(userDetails.getUsername(), userDetails.getPassword());
                authentication.setDetails(new WebAuthenticationDetailsSource().buildDetails((HttpServletRequest) request));
                // set the authentication into the SecurityContext
                SecurityContextHolder.getContext().setAuthentication(authManager.authenticate(authentication));         
            }
        }
        // continue thru the filter chain
        chain.doFilter(request, response);
    }
}

เห็นได้ชัดว่าTokenUtilsมีรหัสองคมนตรี (และเฉพาะกรณี) และไม่สามารถแบ่งปันได้อย่างง่ายดาย นี่คืออินเตอร์เฟส:

public interface TokenUtils {
    String getToken(UserDetails userDetails);
    String getToken(UserDetails userDetails, Long expiration);
    boolean validate(String token);
    UserDetails getUserFromToken(String token);
}

นั่นควรจะพาคุณไปสู่จุดเริ่มต้นที่ดี การเข้ารหัสที่มีความสุข :)

คุณอาจพิจารณาDigest การเข้าถึงการตรวจสอบสิทธิ์ โดยพื้นฐานแล้วโปรโตคอลมีดังนี้:

1. ทำคำขอจากลูกค้า
2. เซิร์ฟเวอร์ตอบกลับด้วยสตริง nonce ที่ไม่ซ้ำกัน
3. ไคลเอ็นต์ระบุชื่อผู้ใช้และรหัสผ่าน (และค่าอื่น ๆ ) md5 แฮชด้วย nonce; แฮชนี้เรียกว่า HA1
4. เซิร์ฟเวอร์นั้นสามารถตรวจสอบตัวตนของลูกค้าและให้บริการวัสดุที่ร้องขอ
5. การสื่อสารกับ nonce สามารถดำเนินต่อไปได้จนกว่าเซิร์ฟเวอร์จะจัดหา nonce ใหม่ (ตัวนับใช้เพื่อกำจัดการโจมตีซ้ำ)

การสื่อสารทั้งหมดนี้ทำผ่านส่วนหัวซึ่งตามที่ jmort253 ชี้ให้เห็นโดยทั่วไปแล้วจะมีความปลอดภัยมากกว่าการสื่อสารวัสดุที่มีความละเอียดอ่อนในพารามิเตอร์ url

Digest เข้าถึงรับรองความถูกต้องได้รับการสนับสนุนโดยฤดูใบไม้ผลิการรักษาความปลอดภัย โปรดสังเกตว่าแม้ว่าเอกสารจะบอกว่าคุณต้องมีสิทธิ์เข้าถึงรหัสผ่านข้อความธรรมดาของลูกค้าคุณก็สามารถทำได้ตรวจสอบสิทธิ์ได้สำเร็จหากคุณมีแฮช HA1สำหรับลูกค้าของคุณ

เกี่ยวกับโทเค็นที่ถือข้อมูล JSON Web Tokens http://jwt.io ) เป็นเทคโนโลยีที่ยอดเยี่ยม แนวคิดหลักคือการฝังองค์ประกอบข้อมูล (การอ้างสิทธิ์) ลงในโทเค็นแล้วเซ็นโทเค็นทั้งหมดเพื่อให้การตรวจสอบปลายสามารถตรวจสอบว่าการเรียกร้องนั้นน่าเชื่อถืออย่างแท้จริง

ฉันใช้การติดตั้ง Java นี้: https://bitbucket.org/b_c/jose4j/wiki/Home

นอกจากนี้ยังมีโมดูล Spring (spring-security-jwt) แต่ฉันไม่ได้ตรวจสอบสิ่งที่สนับสนุน

ทำไมคุณไม่เริ่มใช้ OAuth กับ JSON WebTokens

http://projects.spring.io/spring-security-oauth/

OAuth2 เป็นโปรโตคอล / กรอบการอนุญาตที่เป็นมาตรฐาน ตามข้อกำหนด OAuth2 อย่างเป็นทางการ :

คุณสามารถหาข้อมูลเพิ่มเติมได้ที่นี่