Ответ 1
Вы просмотрели Spring Session: HttpSession & RestfulAPI, который использует заголовки HTTP вместо файлов cookie. См. Примеры проектов REST в образце REST.
Весенние сеансы безопасности без файлов cookie
Я пытаюсь управлять сессиями в Spring Security без использования файлов cookie. Обоснование - наше приложение отображается в iframe из другого домена, нам нужно управлять сеансами в нашем приложении, а Safari ограничивает создание файлов cookie между доменами. (context: domainA.com отображает domainB.com в iframe. domainB.com устанавливает cookie JSESSIONID для использования на домене.com, но поскольку браузер пользователя показывает domainA.com - Safari ограничивает domainB.com от создания файла cookie),
Единственный способ, которым я могу это достичь (против рекомендаций OWASP по безопасности), - включить JSESSIONID в URL как параметр GET. Я НЕ ХОЧУ сделать это, но я не могу придумать альтернативы.
Таким образом, этот вопрос касается:
- Есть ли лучшие альтернативы для решения этой проблемы?
- Если нет - как я могу добиться этого с помощью Spring Security
Рассмотрение Spring Documentation вокруг этого, используя enableSessionUrlRewriting, должно
Поэтому я сделал это:
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.sessionManagement()
.sessionCreationPolicy(SessionCreationPolicy.ALWAYS)
.enableSessionUrlRewriting(true)
Это не добавило JSESSIONID в URL-адрес, но теперь это должно быть разрешено. Затем я использовал код, найденный в этом вопросе, чтобы установить "режим отслеживания" на URL
@SpringBootApplication
public class MyApplication extends SpringBootServletInitializer {
@Override
public void onStartup(ServletContext servletContext) throws ServletException {
super.onStartup(servletContext);
servletContext
.setSessionTrackingModes(
Collections.singleton(SessionTrackingMode.URL)
);
Даже после этого приложение все еще добавляет JSESSIONID в качестве файла cookie, а не в URL.
Может ли кто-нибудь помочь мне указать мне в правильном направлении?
Ответы
Ответ 2
Вы можете иметь токенную связь между сервером сайта DomainB.com и браузером клиента. Маркер может быть отправлен с сервера DomainB.com в заголовке ответа после проверки подлинности. Затем клиентский браузер может сохранить токен в хранилище localstorage/session (также имеет время истечения срока действия). Затем клиент может отправить токен в каждый заголовок запроса. Надеюсь это поможет.
Ответ 3
Регистрация на основе форм - это, в основном, сеансы с состоянием. В вашем сценарии использование сеансов без гражданства было бы лучше.
JWT обеспечивает реализацию для этого. Его в основном ключ, который вам нужно передать как заголовок в каждом HTTP-запросе. Так что пока у вас есть ключ. API доступен.
Мы можем интегрировать JWT с Spring.
В основном вам нужно написать эту логику.
- Создать ключевую логику
- Использовать JWT в Spring Security
- Подтвердить ключ при каждом вызове
Я могу дать вам начало
pom.xml
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt</artifactId>
<version>0.9.0</version>
</dependency>
TokenHelper.java
Содержит полезные функции для проверки, проверки и разбора маркера.
import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import java.util.Date;
import java.util.HashMap;
import java.util.Map;
import javax.servlet.http.HttpServletRequest;
import org.apache.commons.logging.Log;
import org.apache.commons.logging.LogFactory;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.stereotype.Component;
import com.test.dfx.common.TimeProvider;
import com.test.dfx.model.LicenseDetail;
import com.test.dfx.model.User;
@Component
public class TokenHelper {
protected final Log LOGGER = LogFactory.getLog(getClass());
@Value("${app.name}")
private String APP_NAME;
@Value("${jwt.secret}")
public String SECRET; // Secret key used to generate Key. Am getting it from propertyfile
@Value("${jwt.expires_in}")
private int EXPIRES_IN; // can specify time for token to expire.
@Value("${jwt.header}")
private String AUTH_HEADER;
@Autowired
TimeProvider timeProvider;
private SignatureAlgorithm SIGNATURE_ALGORITHM = SignatureAlgorithm.HS512; // JWT Algorithm for encryption
public Date getIssuedAtDateFromToken(String token) {
Date issueAt;
try {
final Claims claims = this.getAllClaimsFromToken(token);
issueAt = claims.getIssuedAt();
} catch (Exception e) {
LOGGER.error("Could not get IssuedDate from passed token");
issueAt = null;
}
return issueAt;
}
public String getAudienceFromToken(String token) {
String audience;
try {
final Claims claims = this.getAllClaimsFromToken(token);
audience = claims.getAudience();
} catch (Exception e) {
LOGGER.error("Could not get Audience from passed token");
audience = null;
}
return audience;
}
public String refreshToken(String token) {
String refreshedToken;
Date a = timeProvider.now();
try {
final Claims claims = this.getAllClaimsFromToken(token);
claims.setIssuedAt(a);
refreshedToken = Jwts.builder()
.setClaims(claims)
.setExpiration(generateExpirationDate())
.signWith( SIGNATURE_ALGORITHM, SECRET )
.compact();
} catch (Exception e) {
LOGGER.error("Could not generate Refresh Token from passed token");
refreshedToken = null;
}
return refreshedToken;
}
public String generateToken(String username) {
String audience = generateAudience();
return Jwts.builder()
.setIssuer( APP_NAME )
.setSubject(username)
.setAudience(audience)
.setIssuedAt(timeProvider.now())
.setExpiration(generateExpirationDate())
.signWith( SIGNATURE_ALGORITHM, SECRET )
.compact();
}
private Claims getAllClaimsFromToken(String token) {
Claims claims;
try {
claims = Jwts.parser()
.setSigningKey(SECRET)
.parseClaimsJws(token)
.getBody();
} catch (Exception e) {
LOGGER.error("Could not get all claims Token from passed token");
claims = null;
}
return claims;
}
private Date generateExpirationDate() {
long expiresIn = EXPIRES_IN;
return new Date(timeProvider.now().getTime() + expiresIn * 1000);
}
public int getExpiredIn() {
return EXPIRES_IN;
}
public Boolean validateToken(String token, UserDetails userDetails) {
User user = (User) userDetails;
final String username = getUsernameFromToken(token);
final Date created = getIssuedAtDateFromToken(token);
return (
username != null &&
username.equals(userDetails.getUsername()) &&
!isCreatedBeforeLastPasswordReset(created, user.getLastPasswordResetDate())
);
}
private Boolean isCreatedBeforeLastPasswordReset(Date created, Date lastPasswordReset) {
return (lastPasswordReset != null && created.before(lastPasswordReset));
}
public String getToken( HttpServletRequest request ) {
/**
* Getting the token from Authentication header
* e.g Bearer your_token
*/
String authHeader = getAuthHeaderFromHeader( request );
if ( authHeader != null && authHeader.startsWith("Bearer ")) {
return authHeader.substring(7);
}
return null;
}
public String getAuthHeaderFromHeader( HttpServletRequest request ) {
return request.getHeader(AUTH_HEADER);
}
}
WebSecurity
Логика SpringSecurity для добавления проверки JWT
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.sessionManagement().sessionCreationPolicy( SessionCreationPolicy.STATELESS ).and()
.exceptionHandling().authenticationEntryPoint( restAuthenticationEntryPoint ).and()
.authorizeRequests()
.antMatchers("/auth/**").permitAll()
.antMatchers("/login").permitAll()
.antMatchers("/home").permitAll()
.antMatchers("/actuator/**").permitAll()
.anyRequest().authenticated().and()
.addFilterBefore(new TokenAuthenticationFilter(tokenHelper, jwtUserDetailsService), BasicAuthenticationFilter.class);
http.csrf().disable();
}
TokenAuthenticationFilter.java
Проверьте каждый вызов Rest для действительного токена
package com.test.dfx.security;
import java.io.IOException;
import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import org.apache.commons.logging.Log;
import org.apache.commons.logging.LogFactory;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.web.filter.OncePerRequestFilter;
public class TokenAuthenticationFilter extends OncePerRequestFilter {
protected final Log logger = LogFactory.getLog(getClass());
private TokenHelper tokenHelper;
private UserDetailsService userDetailsService;
public TokenAuthenticationFilter(TokenHelper tokenHelper, UserDetailsService userDetailsService) {
this.tokenHelper = tokenHelper;
this.userDetailsService = userDetailsService;
}
@Override
public void doFilterInternal(
HttpServletRequest request,
HttpServletResponse response,
FilterChain chain
) throws IOException, ServletException {
String username;
String authToken = tokenHelper.getToken(request);
logger.info("AuthToken: "+authToken);
if (authToken != null) {
// get username from token
username = tokenHelper.getUsernameFromToken(authToken);
logger.info("UserName: "+username);
if (username != null) {
// get user
UserDetails userDetails = userDetailsService.loadUserByUsername(username);
if (tokenHelper.validateToken(authToken, userDetails)) {
// create authentication
TokenBasedAuthentication authentication = new TokenBasedAuthentication(userDetails);
authentication.setToken(authToken);
SecurityContextHolder.getContext().setAuthentication(authentication);
}
}else{
logger.error("Something is wrong with Token.");
}
}
chain.doFilter(request, response);
}
}
Ответ 4
Я ценю все ответы выше - я решил выбрать более легкое решение без каких-либо изменений на уровне приложений, так как владелец domainA.com был готов работать с нами. Проводя его здесь для других, поскольку я даже не думал об этом изначально...
В принципе:
- Владелец domainA.com создал DNS-запись для домена.B.domainA.com → domainB.com
- Владелец domainB.com(me) запросил общедоступный SSL-сертификат для domainB.domainA.com через "проверку электронной почты" (я сделал это через AWS, но я уверен, что есть другие механизмы через поставщиков)
- Вышеуказанный запрос был отправлен веб-мастерам domainA.com → они одобрили и опубликовали публичный сертификат
- После выдачи - мне удалось настроить мое приложение (или балансировщик нагрузки) на использование этого нового сертификата, и они настроили свое приложение на "domainB.domainA.com" (который впоследствии был перенаправлен на доменB.com в DNS)
- Теперь браузеры выдает файлы cookie для domainB.domainA.com и, поскольку они являются одним и тем же основным доменом, файлы cookie создаются без каких-либо необходимых действий.
Еще раз спасибо за ответы, извинения за то, что вы не выбрали ответ здесь - занятая неделя.