Question

Я пытаюсь управлять сеансами в Spring Security без использования файлов cookie.Причина в том, что наше приложение отображается в пределах iframe из другого домена, нам нужно управлять сессиями в нашем приложении, и Safari ограничивает создание междоменного cookie .(context: domainA.com отображает domainB.com в iframe. domainB.com устанавливает JSESSIONID cookie для использования на domainB.com, но поскольку браузер пользователя показывает domainA.com - Safari ограничивает domainB.com от создания cookie),

Единственный способ добиться этого (вопреки рекомендациям по безопасности OWASP) - это включить JSESSIONID в URL в качестве параметра GET.Я не хочу этого делать, но я не могу придумать альтернативы.

Итак, этот вопрос касается:

Есть ли более эффективные альтернативы решению этой проблемы?
Если нет - как я могу добиться этого с помощью Spring Security

Просмотр документации Spring по этому вопросу с использованием enableSessionUrlRewriting должен разрешить это

Итак, я сделал это:

@Override
protected void configure(HttpSecurity http) throws Exception {
    http
        .sessionManagement()
            .sessionCreationPolicy(SessionCreationPolicy.ALWAYS)
            .enableSessionUrlRewriting(true)

This didn 't добавить JSESSIONID в URL, но это должно быть разрешено сейчас.Затем я использовал некоторый код, найденный в этом вопросе , чтобы установить для «режима отслеживания» URL-адрес

@SpringBootApplication
public class MyApplication extends SpringBootServletInitializer {

   @Override
   public void onStartup(ServletContext servletContext) throws ServletException {
      super.onStartup(servletContext);

      servletContext
        .setSessionTrackingModes(
            Collections.singleton(SessionTrackingMode.URL)
      );

Даже после этого - приложение по-прежнему добавляет JSESSIONID в качестве файла cookie, а не вURL.

Может ли кто-нибудь помочь мне указать правильное направление?

Phas1c · Answer 1 · 19 июня 2018

Я ценю все ответы выше - в итоге я выбрал более простое решение, не внося никаких изменений на уровне приложения, потому что владелец domainA.com был готов работать с нами.Размещать его здесь для других, поскольку я даже не думал об этом изначально ...

В основном:

Владелец domainA.com создал запись DNS для domainB.domainA.com -> domainB.com
Владелец domainB.com (я) запросил публичный SSL-сертификат для domainB.domainA.com через «проверку электронной почты» (я сделал это через AWS, но я уверен, что тамдругие механизмы через других провайдеров)
Вышеупомянутый запрос был отправлен веб-мастерам domainA.com -> они одобрили и выпустили общедоступный сертификат
После выдачи - я смог настроить свое приложение(или балансировщик нагрузки) для использования этого нового сертификата, и они настроили свое приложение так, чтобы оно указывало на "domainB.domainA.com" (который впоследствии перенаправлялся на domainB.com в DNS)
Теперь браузеры выдают файлы cookie дляdomainB.domainA.com и поскольку они являются одним и тем же основным доменом, файлы cookie создаются без каких-либо обходных путей.

Еще раз спасибо за ответы, извинения за то, что невыбирая ответ здесь - занятая неделя.

Jean Marois · Answer 2 · 13 июня 2018

Вы смотрели на Spring Session: HttpSession & RestfulAPI , который использует HTTP-заголовки вместо файлов cookie.См. Примеры проектов REST в Образец REST .

MyTwoCents · Answer 3 · 14 июня 2018

Вход в систему на основе форм - это в основном сеансы с сохранением состояния.В вашем сценарии лучше использовать сеансы без сохранения состояния.

JWT обеспечивает реализацию для этого.В основном это ключ, который вам нужно передать в качестве заголовка в каждом HTTP-запросе.Так что пока у вас есть ключ.API доступен.

Мы можем интегрировать JWT с Spring.

В основном вам нужно написать эту логику.

Генерация логики ключей
ИспользованиеJWT в Spring Security
Проверка ключа при каждом вызове

Я могу дать вам быстрый старт

pom.xml

<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.0</version>
</dependency>

TokenHelper.java

Содержит полезные функции для проверки, проверки и анализа токена.

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;

import java.util.Date;
import java.util.HashMap;
import java.util.Map;

import javax.servlet.http.HttpServletRequest;

import org.apache.commons.logging.Log;
import org.apache.commons.logging.LogFactory;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.stereotype.Component;

import com.test.dfx.common.TimeProvider;
import com.test.dfx.model.LicenseDetail;
import com.test.dfx.model.User;


@Component
public class TokenHelper {

    protected final Log LOGGER = LogFactory.getLog(getClass());

    @Value("${app.name}")
    private String APP_NAME;

    @Value("${jwt.secret}")
    public String SECRET;    //  Secret key used to generate Key. Am getting it from propertyfile

    @Value("${jwt.expires_in}")
    private int EXPIRES_IN;  //  can specify time for token to expire. 

    @Value("${jwt.header}")
    private String AUTH_HEADER;


    @Autowired
    TimeProvider timeProvider;

    private SignatureAlgorithm SIGNATURE_ALGORITHM = SignatureAlgorithm.HS512;  // JWT Algorithm for encryption


    public Date getIssuedAtDateFromToken(String token) {
        Date issueAt;
        try {
            final Claims claims = this.getAllClaimsFromToken(token);
            issueAt = claims.getIssuedAt();
        } catch (Exception e) {
            LOGGER.error("Could not get IssuedDate from passed token");
            issueAt = null;
        }
        return issueAt;
    }

    public String getAudienceFromToken(String token) {
        String audience;
        try {
            final Claims claims = this.getAllClaimsFromToken(token);
            audience = claims.getAudience();
        } catch (Exception e) {
            LOGGER.error("Could not get Audience from passed token");
            audience = null;
        }
        return audience;
    }

    public String refreshToken(String token) {
        String refreshedToken;
        Date a = timeProvider.now();
        try {
            final Claims claims = this.getAllClaimsFromToken(token);
            claims.setIssuedAt(a);
            refreshedToken = Jwts.builder()
                .setClaims(claims)
                .setExpiration(generateExpirationDate())
                .signWith( SIGNATURE_ALGORITHM, SECRET )
                .compact();
        } catch (Exception e) {
            LOGGER.error("Could not generate Refresh Token from passed token");
            refreshedToken = null;
        }
        return refreshedToken;
    }

    public String generateToken(String username) {
        String audience = generateAudience();
        return Jwts.builder()
                .setIssuer( APP_NAME )
                .setSubject(username)
                .setAudience(audience)
                .setIssuedAt(timeProvider.now())
                .setExpiration(generateExpirationDate())
                .signWith( SIGNATURE_ALGORITHM, SECRET )
                .compact();
    }



    private Claims getAllClaimsFromToken(String token) {
        Claims claims;
        try {
            claims = Jwts.parser()
                    .setSigningKey(SECRET)
                    .parseClaimsJws(token)
                    .getBody();
        } catch (Exception e) {
            LOGGER.error("Could not get all claims Token from passed token");
            claims = null;
        }
        return claims;
    }

    private Date generateExpirationDate() {
        long expiresIn = EXPIRES_IN;
        return new Date(timeProvider.now().getTime() + expiresIn * 1000);
    }

    public int getExpiredIn() {
        return EXPIRES_IN;
    }

    public Boolean validateToken(String token, UserDetails userDetails) {
        User user = (User) userDetails;
        final String username = getUsernameFromToken(token);
        final Date created = getIssuedAtDateFromToken(token);
        return (
                username != null &&
                username.equals(userDetails.getUsername()) &&
                        !isCreatedBeforeLastPasswordReset(created, user.getLastPasswordResetDate())
        );
    }

    private Boolean isCreatedBeforeLastPasswordReset(Date created, Date lastPasswordReset) {
        return (lastPasswordReset != null && created.before(lastPasswordReset));
    }

    public String getToken( HttpServletRequest request ) {
        /**
         *  Getting the token from Authentication header
         *  e.g Bearer your_token
         */
        String authHeader = getAuthHeaderFromHeader( request );
        if ( authHeader != null && authHeader.startsWith("Bearer ")) {
            return authHeader.substring(7);
        }

        return null;
    }

    public String getAuthHeaderFromHeader( HttpServletRequest request ) {
        return request.getHeader(AUTH_HEADER);
    }


}

WebSecurity

SpringSecurity Logic для добавления проверки JWT

@Override
    protected void configure(HttpSecurity http) throws Exception {
        http
        .sessionManagement().sessionCreationPolicy( SessionCreationPolicy.STATELESS ).and()
        .exceptionHandling().authenticationEntryPoint( restAuthenticationEntryPoint ).and()
        .authorizeRequests()
        .antMatchers("/auth/**").permitAll()
        .antMatchers("/login").permitAll()
        .antMatchers("/home").permitAll()
        .antMatchers("/actuator/**").permitAll()
        .anyRequest().authenticated().and()
        .addFilterBefore(new TokenAuthenticationFilter(tokenHelper, jwtUserDetailsService), BasicAuthenticationFilter.class);

        http.csrf().disable();
    }

TokenAuthenticationFilter.java

Проверкакаждый Отдых Звоните для действительного токена

package com.test.dfx.security;

import java.io.IOException;

import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.apache.commons.logging.Log;
import org.apache.commons.logging.LogFactory;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.web.filter.OncePerRequestFilter;

public class TokenAuthenticationFilter extends OncePerRequestFilter {

    protected final Log logger = LogFactory.getLog(getClass());

    private TokenHelper tokenHelper;

    private UserDetailsService userDetailsService;

    public TokenAuthenticationFilter(TokenHelper tokenHelper, UserDetailsService userDetailsService) {
        this.tokenHelper = tokenHelper;
        this.userDetailsService = userDetailsService;
    }


    @Override
    public void doFilterInternal(
            HttpServletRequest request,
            HttpServletResponse response,
            FilterChain chain
    ) throws IOException, ServletException {

        String username;
        String authToken = tokenHelper.getToken(request);

        logger.info("AuthToken: "+authToken);

        if (authToken != null) {
            // get username from token
            username = tokenHelper.getUsernameFromToken(authToken);
            logger.info("UserName: "+username);
            if (username != null) {
                // get user
                UserDetails userDetails = userDetailsService.loadUserByUsername(username);
                if (tokenHelper.validateToken(authToken, userDetails)) {
                    // create authentication
                    TokenBasedAuthentication authentication = new TokenBasedAuthentication(userDetails);
                    authentication.setToken(authToken);
                    SecurityContextHolder.getContext().setAuthentication(authentication);
                }
            }else{
                logger.error("Something is wrong with Token.");
            }
        }
        chain.doFilter(request, response);
    }


}

Amit Parashar · Answer 4 · 11 июня 2018

Вы можете установить токен-связь между сервером сайта DomainB.com и клиентским браузером.Токен может быть отправлен с сервера DomainB.com в заголовке ответа после аутентификации.После этого клиентский браузер может сохранить токен в хранилище локального хранилища / сеанса (также имеет срок действия).Затем клиент может отправить токен в заголовке каждого запроса.Надеюсь, это поможет.

Весенние сеансы безопасности без файлов cookie

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 4 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Весенние сеансы безопасности без файлов cookie

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 4 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы