JAX-RS和泽西基于REST令牌身份验证的最佳实践
JAX-RS和泽西基于REST令牌身份验证的最佳实践
@PreAuthorize("hasRole('ROLE')")
守着星空守着你浏览 545回答 2
2回答
-
神不在的星期二
基于令牌的身份验证是如何工作的?在基于令牌的身份验证中,客户端交换硬证书(例如用户名和密码)令牌..对于每个请求,客户端将向服务器发送令牌,以执行身份验证和授权,而不是发送硬凭据。简而言之,基于令牌的身份验证方案遵循以下步骤:客户端向服务器发送他们的凭据(用户名和密码)。服务器对凭据进行身份验证,如果它们有效,则为用户生成令牌。服务器将先前生成的令牌与用户标识符和过期日期一起存储在某些存储中。服务器将生成的令牌发送给客户端。客户端在每个请求中向服务器发送令牌。在每个请求中,服务器从传入请求中提取令牌。使用令牌,服务器查找用户详细信息以执行身份验证。如果令牌有效,服务器将接受请求。如果令牌无效,服务器将拒绝请求。一旦执行了身份验证,服务器就会执行授权。服务器可以提供一个端点来刷新令牌。注:如果服务器已发出签名令牌(如JWT),则不需要步骤3。无国籍认证)。你能用JAX-RS2.0做些什么(泽西,RESTEasy和ApacheCXF)此解决方案只使用JAX-RS 2.0 API,避免任何特定于供应商的解决方案..因此,它应该与JAX-RS2.0实现一起工作,例如泽西, 恢复性和ApacheCXF.值得一提的是,如果使用基于令牌的身份验证,则不依赖servlet容器提供的标准JavaEEweb应用程序安全机制,并通过应用程序的可配置机制进行配置。web.xml描述符。这是一种自定义身份验证。使用用户名和密码对用户进行身份验证并发出令牌创建JAX-RS资源方法,该方法接收和验证凭据(用户名和密码),并为用户发出令牌:@Path("/authentication")public class AuthenticationEndpoint { @POST @Produces(MediaType.APPLICATION_JSON) @Consumes(MediaType.APPLICATION_FORM_URLENCODED) public Response authenticateUser(@FormParam("username") String username, @FormParam("password") String password) { try { // Authenticate the user using the credentials provided authenticate(username, password); // Issue a token for the user String token = issueToken(username); // Return the token on the response return Response.ok(token).build(); } catch (Exception e) { return Response.status(Response.Status.FORBIDDEN).build(); } } private void authenticate(String username, String password) throws Exception { // Authenticate against a database, LDAP, file or whatever // Throw an Exception if the credentials are invalid } private String issueToken(String username) { // Issue a token (can be a random String persisted to a database or a JWT token) // The issued token must be associated to a user // Return the issued token }}如果在验证凭据时引发任何异常,则为状态的响应。403(禁止)将被退回。如果凭据已成功验证,则响应具有状态。200(OK)将被返回,发出的令牌将被发送到响应负载中的客户端。客户端必须在每个请求中向服务器发送令牌。消费时application/x-www-form-urlencoded,客户端必须以下格式以请求有效负载的形式发送凭据:username=admin&password=123456可以将用户名和密码包装到类中,而不是表单params:public class Credentials implements Serializable { private String username; private String password; // Getters and setters omitted}然后将其作为JSON使用:@POST@Produces(MediaType.APPLICATION_JSON)@Consumes(MediaType.APPLICATION_JSON)public Response authenticateUser(Credentials credentials) { String username = credentials.getUsername(); String password = credentials.getPassword(); // Authenticate the user, issue a token and return a response}使用这种方法,客户端必须以请求的有效负载以下列格式发送凭据:{ "username": "admin", "password": "123456"}从请求中提取令牌并验证它客户端应该在标准HTTP中发送令牌Authorization请求的标题。例如:Authorization: Bearer <token-goes-here>标准HTTP报头的名称是不幸的,因为它带有认证信息,而不是授权..但是,它是向服务器发送凭据的标准HTTP头。Jax-RS提供@NameBinding,一种元注释,用于创建其他注释,将过滤器和拦截器绑定到资源类和方法。定义@Secured注释如下:@NameBinding@Retention(RUNTIME)@Target({TYPE, METHOD})public @interface Secured { }上面定义的名称绑定注释将用于修饰过滤器类,该类实现ContainerRequestFilter,允许您在请求被资源方法处理之前拦截它。这个ContainerRequestContext可以用于访问HTTP请求头,然后提取令牌:@Secured@Provider@Priority(Priorities.AUTHENTICATION)public class AuthenticationFilter implements ContainerRequestFilter { private static final String REALM = "example"; private static final String AUTHENTICATION_SCHEME = "Bearer"; @Override public void filter(ContainerRequestContext requestContext) throws IOException { // Get the Authorization header from the request String authorizationHeader = requestContext.getHeaderString(HttpHeaders.AUTHORIZATION); // Validate the Authorization header if (!isTokenBasedAuthentication(authorizationHeader)) { abortWithUnauthorized(requestContext); return; } // Extract the token from the Authorization header String token = authorizationHeader .substring(AUTHENTICATION_SCHEME.length()).trim(); try { // Validate the token validateToken(token); } catch (Exception e) { abortWithUnauthorized(requestContext); } } private boolean isTokenBasedAuthentication(String authorizationHeader) { // Check if the Authorization header is valid // It must not be null and must be prefixed with "Bearer" plus a whitespace // The authentication scheme comparison must be case-insensitive return authorizationHeader != null && authorizationHeader.toLowerCase() .startsWith(AUTHENTICATION_SCHEME.toLowerCase() + " "); } private void abortWithUnauthorized(ContainerRequestContext requestContext) { // Abort the filter chain with a 401 status code response // The WWW-Authenticate header is sent along with the response requestContext.abortWith( Response.status(Response.Status.UNAUTHORIZED) .header(HttpHeaders.WWW_AUTHENTICATE, AUTHENTICATION_SCHEME + " realm=\"" + REALM + "\"") .build()); } private void validateToken(String token) throws Exception { // Check if the token was issued by the server and if it's not expired // Throw an Exception if the token is invalid }}如果在令牌验证期间发生任何问题,则使用状态的响应。401(未经授权)将被退回。否则,请求将转到资源方法。保护您的休息端点若要将身份验证筛选器绑定到资源方法或资源类,请使用@Secured上面创建的注释。对于注释的方法和/或类,将执行筛选器。这意味着这样的端点只如果使用有效的令牌执行请求,则会到达。如果某些方法或类不需要身份验证,只需不对它们进行注释:@Path("/example")public class ExampleResource { @GET @Path("{id}") @Produces(MediaType.APPLICATION_JSON) public Response myUnsecuredMethod(@PathParam("id") Long id) { // This method is not annotated with @Secured // The authentication filter won't be executed before invoking this method ... } @DELETE @Secured @Path("{id}") @Produces(MediaType.APPLICATION_JSON) public Response mySecuredMethod(@PathParam("id") Long id) { // This method is annotated with @Secured // The authentication filter will be executed before invoking this method // The HTTP request must be performed with a valid token ... }}在上面所示的示例中,将执行筛选器。只为mySecuredMethod(Long)方法,因为它是用@Secured.标识当前用户您很可能需要知道再次执行RESTAPI请求的用户。为实现这一目标,可采用以下方法:重写当前请求的安全上下文在你的ContainerRequestFilter.filter(ContainerRequestContext)方法,一个新的SecurityContext实例可以为当前请求设置。然后重写SecurityContext.getUserPrincipal(),返回Principal例如:final SecurityContext currentSecurityContext = requestContext.getSecurityContext();requestContext.setSecurityContext(new SecurityContext() { @Override public Principal getUserPrincipal() { return () -> username; } @Override public boolean isUserInRole(String role) { return true; } @Override public boolean isSecure() { return currentSecurityContext.isSecure(); } @Override public String getAuthenticationScheme() { return AUTHENTICATION_SCHEME; }});使用令牌查找用户标识符(用户名),这将是Principal名字。注入SecurityContext在任何JAX-RS资源类中:@ContextSecurityContext securityContext;在JAX-RS资源方法中也可以这样做:@GET@Secured@Path("{id}")@Produces(MediaType.APPLICATION_JSON)public Response myMethod(@PathParam("id") Long id, @Context SecurityContext securityContext) { ...}然后得到Principal:Principal principal = securityContext.getUserPrincipal();String username = principal.getName();使用CDI(上下文和依赖项注入)如果出于某种原因,您不想覆盖SecurityContext,您可以使用CDI(上下文和依赖项注入),它提供了一些有用的特性,比如事件和生产者。创建CDI限定符:@Qualifier@Retention(RUNTIME)@Target({ METHOD, FIELD, PARAMETER })public @interface AuthenticatedUser { }在你的AuthenticationFilter在上面创建,注入一个Event带注释@AuthenticatedUser:@Inject@AuthenticatedUserEvent<String> userAuthenticatedEvent;如果身份验证成功,则触发将用户名作为参数传递的事件(请记住,令牌是为用户发出的,令牌将用于查找用户标识符):userAuthenticatedEvent.fire(username);很可能有一个类代表应用程序中的用户。让我们把这门课叫做User.创建一个CDIbean来处理身份验证事件,找到一个User实例,并将其分配给authenticatedUser制片场:@RequestScopedpublic class AuthenticatedUserProducer { @Produces @RequestScoped @AuthenticatedUser private User authenticatedUser; public void handleAuthenticationEvent(@Observes @AuthenticatedUser String username) { this.authenticatedUser = findUser(username); } private User findUser(String username) { // Hit the the database or a service to find a user by its username and return it // Return the User instance }}这个authenticatedUser字段生成一个User可以注入到容器管理bean中的实例,例如JAX-RS服务、CDIbean、servlet和EJB。使用下面的代码注入User实例(实际上,它是一个CDI代理):@Inject@AuthenticatedUserUser authenticatedUser;注意CDI@Produces注释是异类从JAX-RS@Produces注释:土发委会:javax.enterprise.inject.Produces贾克斯-斯普斯卡共和国:javax.ws.rs.Produces一定要使用CDI@Produces注释AuthenticatedUserProducer豆子。这里的关键是带注释的bean@RequestScoped允许您在过滤器和bean之间共享数据。如果不使用事件,可以修改筛选器,将经过身份验证的用户存储在请求作用域bean中,然后从JAX-RS资源类中读取它。与重写SecurityContext,CDI方法允许您从JAX-RS资源和提供者以外的bean中获取经过身份验证的用户。支持基于角色的授权请参考我的另一个回答有关如何支持基于角色的授权的详细信息.发行券令牌可以是:不透明的:显示除值本身以外的其他任何细节(如随机字符串)。自成一体:包含有关令牌本身的详细信息(如JWT)。详情见下文:随机字符串作为标记令牌可以通过生成随机字符串并将其与用户标识符和过期日期一起保存到数据库来发出。可以看到如何在Java中生成随机字符串的一个很好的例子这里..你也可以使用:Random random = new SecureRandom();String token = new BigInteger(130, random).toString(32);JWT(JSONWeb令牌)JWT(JSONWeb令牌)是一种标准方法,用于在双方之间安全地表示索赔,并由RFC 7519.它是一个自包含的令牌,它使您能够将详细信息存储在索赔..这些声明存储在令牌有效负载中,令牌负载是一个JSON,编码为基准64..以下是在RFC 7519以及它们的含义(详细情况请参阅全文):iss发行令牌的本金。sub这是JWT的主题。exp*令牌的到期日期。nbf开始接受令牌进行处理的时间。iat发行令牌的时间。jti令牌的唯一标识符。请注意,您不能将敏感数据(如密码)存储在令牌中。客户端可以读取有效负载,通过在服务器上验证令牌的签名,可以轻松地检查令牌的完整性。签名是防止令牌被篡改的原因。如果不需要跟踪JWT令牌,则不需要持久化JWT令牌。尽管如此,通过持久化令牌,您将有可能使其无效并撤销对它们的访问。为了跟踪JWT令牌,而不是将整个令牌持久化在服务器上,您可以持久化令牌标识符(jti声明)以及其他一些细节,如您签发的令牌、到期日期等。持久化令牌时,请始终考虑删除旧令牌,以防止数据库无限期地增长。使用JWT有一些Java库可以发出和验证JWT令牌,例如:jjwtJavaJWTjose4j要找到使用JWT的其他优秀资源,请参阅http://jwt.io.用JWT处理令牌刷新接受只用于茶点的有效(和未过期)令牌。中所示的到期日期之前刷新令牌是客户端的响应性。exp索赔。您应该防止令牌无限期地刷新。请参阅下面的一些您可以考虑的方法。您可以通过向令牌添加两个声明(索赔名由您决定)来跟踪令牌刷新:refreshLimit:指示可以刷新令牌多少次。refreshCount:指示刷新令牌的次数。因此,只有在下列条件为真时才刷新令牌:令牌未过期(exp >= now).刷新令牌的次数少于可以刷新令牌的次数(refreshCount < refreshLimit).当刷新令牌时:更新到期日期(exp = now + some-amount-of-time).增加刷新令牌的次数(refreshCount++).或者,为了使跟踪茶点的数量,您可以拥有一个指示绝对到期日(它的工作原理非常类似于refreshLimit(上文所述索赔)。在绝对到期日,任何数目的茶点都是可以接受的。另一种方法是发出单独的长寿命刷新令牌,用于发出短暂的JWT令牌。最佳方法取决于您的需求。用JWT处理令牌撤销如果要撤销令牌,则必须跟踪它们。您不需要将整个令牌存储在服务器端,只需要存储令牌标识符(必须是唯一的)和一些元数据(如果需要的话)。对于您可以使用的令牌标识符UUID.这个jti声明应该用于将令牌标识符存储在令牌上。验证令牌时,请检查jti针对服务器端的令牌标识符进行索赔。出于安全考虑,当用户更改密码时,撤销其所有令牌。补充资料您决定使用哪种类型的身份验证并不重要。总在HTTPS连接顶部执行此操作,以防止中间人攻击.看一看这个问题有关令牌的更多信息,请参见信息安全。在本文中您将发现一些有关基于令牌的身份验证的有用信息。
随时随地看视频慕课网APP
相关分类
Java