通过 Spring 进行 RESTful 身份验证

java spring rest spring-mvc spring-security

问题：我们有一个基于 Spring MVC 的 RESTful API，其中包含敏感信息。 API 应该是安全的，但是在每个请求中都发送用户的凭据（用户/密码组合）是不可取的。根据 REST 准则（和内部业务要求），服务器必须保持无状态。该 API 将由另一台服务器以 mashup 风格的方式使用。

要求：

客户端使用凭据向 .../authenticate（不受保护的 URL）发出请求；服务器返回一个安全令牌，其中包含足够的信息供服务器验证未来的请求并保持无状态。这可能包含与 Spring Security 的 Remember-Me Token 相同的信息。

客户端向各种（受保护的）URL 发出后续请求，将先前获得的令牌附加为查询参数（或者，不太理想的是，附加一个 HTTP 请求标头）。

不能期望客户端存储 cookie。

由于我们已经使用 Spring，所以解决方案应该使用 Spring Security。

我们一直在努力解决这个问题，所以希望有人已经解决了这个问题。

鉴于上述情况，您将如何解决这一特殊需求？

嗨，克里斯，我不确定在查询参数中传递该标记是最好的主意。这将显示在日志中，无论是 HTTPS 还是 HTTP。标头可能更安全。仅供参考。很好的问题。 +1

你对无国籍的理解是什么？您的令牌要求与我对无状态的理解相冲突。在我看来，Http 身份验证答案是唯一的无状态实现。

@MarkusMalkusch 无状态是指服务器了解与给定客户端的先前通信。 HTTP 根据定义是无状态的，会话 cookie 使其有状态。令牌的生命周期（和来源，就此而言）是无关紧要的；服务器只关心它是否有效并且可以绑定回用户（不是会话）。因此，传递识别令牌不会干扰状态性。

@ChrisCashwell您如何确保令牌没有被客户端欺骗/生成？您是否在服务器端使用私钥加密令牌，将其提供给客户端，然后在以后的请求中使用相同的密钥对其进行解密？显然 Base64 或其他一些混淆是不够的。您能否详细说明这些令牌的“验证”技术？

虽然这已经过时了，而且我已经超过 2 年没有触及或更新代码，但我已经创建了一个 Gist 来进一步扩展这些概念。 gist.github.com/ccashwell/dfc05dd8bd1a75d189d1

Nimantha

我们设法让这个工作完全按照 OP 中的描述工作，希望其他人可以使用该解决方案。这是我们所做的：

像这样设置安全上下文：

<security:http realm="Protected API" use-expressions="true" auto-config="false" create-session="stateless" entry-point-ref="CustomAuthenticationEntryPoint">
    <security:custom-filter ref="authenticationTokenProcessingFilter" position="FORM_LOGIN_FILTER" />
    <security:intercept-url pattern="/authenticate" access="permitAll"/>
    <security:intercept-url pattern="/**" access="isAuthenticated()" />
</security:http>

<bean id="CustomAuthenticationEntryPoint"
    class="com.demo.api.support.spring.CustomAuthenticationEntryPoint" />

<bean id="authenticationTokenProcessingFilter"
    class="com.demo.api.support.spring.AuthenticationTokenProcessingFilter" >
    <constructor-arg ref="authenticationManager" />
</bean>

如您所见，我们创建了一个自定义 AuthenticationEntryPoint，如果我们的 AuthenticationTokenProcessingFilter 在过滤器链中未对请求进行身份验证，它基本上只返回一个 401 Unauthorized。

自定义身份验证入口点：

public class CustomAuthenticationEntryPoint implements AuthenticationEntryPoint {
    @Override
    public void commence(HttpServletRequest request, HttpServletResponse response,
            AuthenticationException authException) throws IOException, ServletException {
        response.sendError( HttpServletResponse.SC_UNAUTHORIZED, "Unauthorized: Authentication token was either missing or invalid." );
    }
}

AuthenticationTokenProcessingFilter：

public class AuthenticationTokenProcessingFilter extends GenericFilterBean {

    @Autowired UserService userService;
    @Autowired TokenUtils tokenUtils;
    AuthenticationManager authManager;
    
    public AuthenticationTokenProcessingFilter(AuthenticationManager authManager) {
        this.authManager = authManager;
    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response,
            FilterChain chain) throws IOException, ServletException {
        @SuppressWarnings("unchecked")
        Map<String, String[]> parms = request.getParameterMap();

        if(parms.containsKey("token")) {
            String token = parms.get("token")[0]; // grab the first "token" parameter
            
            // validate the token
            if (tokenUtils.validate(token)) {
                // determine the user based on the (already validated) token
                UserDetails userDetails = tokenUtils.getUserFromToken(token);
                // build an Authentication object with the user's info
                UsernamePasswordAuthenticationToken authentication = 
                        new UsernamePasswordAuthenticationToken(userDetails.getUsername(), userDetails.getPassword());
                authentication.setDetails(new WebAuthenticationDetailsSource().buildDetails((HttpServletRequest) request));
                // set the authentication into the SecurityContext
                SecurityContextHolder.getContext().setAuthentication(authManager.authenticate(authentication));         
            }
        }
        // continue thru the filter chain
        chain.doFilter(request, response);
    }
}

显然，TokenUtils 包含一些私密（并且非常特定于案例）代码，不能轻易共享。这是它的界面：

public interface TokenUtils {
    String getToken(UserDetails userDetails);
    String getToken(UserDetails userDetails, Long expiration);
    boolean validate(String token);
    UserDetails getUserFromToken(String token);
}

这应该让你有一个好的开始。

令牌与请求一起发送时是否需要对令牌进行身份验证。如何直接获取用户名信息并在当前上下文/请求中设置？

@Spring我不将它们存储在任何地方......令牌的整个想法是它需要与每个请求一起传递，并且可以（部分地）解构以确定其有效性（因此 validate(...) 方法）。这很重要，因为我希望服务器保持无状态。我想你可以使用这种方法而不需要使用 Spring。

如果客户端是浏览器，token怎么存储？还是您必须为每个请求重做身份验证？

很棒的提示。 @ChrisCashwell - 我找不到的部分是您在哪里验证用户凭据并发回令牌？我猜它应该在 /authenticate 端点的 impl 中的某个地方。我对吗？如果不是 /authenticate 的目标是什么？

AuthenticationManager 里面有什么？

Community

您可以考虑 Digest Access Authentication。基本上协议如下：

请求来自客户端服务器以唯一的 nonce 字符串响应客户端提供用户名和密码（以及一些其他值） md5 与 nonce 散列；这个哈希被称为 HA1 服务器然后能够验证客户端的身份并提供请求的材料与随机数的通信可以继续，直到服务器提供新的随机数（计数器用于消除重放攻击）

所有这些通信都是通过标头进行的，正如 jmort253 指出的那样，通常比在 url 参数中传达敏感材料更安全。

Spring Security 支持摘要式访问身份验证。请注意，尽管文档说您必须有权访问客户的纯文本密码，但您可以为您的客户successfully authenticate if you have the HA1 hash。

虽然这是一种可能的方法，但为了检索令牌必须进行多次往返，这使得它有点不受欢迎。

如果您的客户端遵循 HTTP 身份验证规范，则这些往返仅在第一次调用和 5. 发生时发生。

Leif John

关于携带信息的令牌，JSON Web 令牌 (http://jwt.io) 是一项出色的技术。主要概念是将信息元素（声明）嵌入到令牌中，然后对整个令牌进行签名，以便验证端可以验证声明确实可信。

我使用这个 Java 实现：https://bitbucket.org/b_c/jose4j/wiki/Home

还有一个 Spring 模块（spring-security-jwt），但我还没有研究它支持什么。

Community

为什么不开始使用带有 JSON WebTokens 的 OAuth

http://projects.spring.io/spring-security-oauth/

OAuth2 是一种标准化的授权协议/框架。根据官方 OAuth2 Specification：

您可以找到更多信息here

Spring Security OAuth 项目已弃用。 Spring Security 提供了最新的 OAuth 2.0 支持。有关详细信息，请参阅 OAuth 2.0 迁移指南。

通过 Spring 进行 RESTful 身份验证

关注公众号

想领先一步获取最新的外包任务吗？

相似问题

平台

支持

友情链接

联系我们