到此,前四章翻譯完成,歡迎朋友提些意見!
將Remember me功能遷移至數據庫
現在你可能會意識到我們remember me功能的實現,能夠在應用重啓前很好的使用,但在應用重啓時用戶的session會被丟失。這對用戶來說會不太便利,他們不應該關心JBCP Pets的維護信息。
幸運的是,Spring Security提供了將rememberme token持久化到任何存儲的接口o.s.s.web.authentication.rememberme.PersistentTokenRepository,並提供了這個接口的JDBC實現。
配置基於數據庫的remember me tokens
在這裏,修改remember me的配置以持久化到數據庫是非常簡單的。Spring Security配置的解析器能夠識別出<remember-me>聲明的data-source-ref新屬性併爲RememberMeServices切換實現類。讓我們瞭解完成這個功能所需要的步驟。
添加SQL以創建remember me schema
我們需要將包含期望schema定義的SQL文件放在classpath下(WEB-INF/classes中),它會與我們在前面使用的其它啓動SQL腳本放在一起。我們將這個SQL腳本命名爲remember-me-schema.sql:
- create table persistent_logins (
- username varchar_ignorecase(50) not null,
- series varchar(64) primary key,
- token varchar(64) not null,
- last_used timestamp not null);
爲嵌入式數據庫聲明添加新的SQL腳本
接下來,在dogstore-security.xml文件的<embedded-database>聲明中添加對新SQL腳本的引用:
- <jdbc:embedded-database id="dataSource" type="HSQL">
- <jdbc:script location="classpath:security-schema.sql"/>
- <jdbc:script location="classpath:remember-me-schema.sql"/>
- <jdbc:script location="classpath:test-users-groups-data.sql"/>
- </jdbc:embedded-database>
配置remember me服務持久化到數據庫
最後我們需要對<remember-me>聲明做一些簡單的配置修改使其指向我們使用的data source:
- <http auto-config="true" use-expressions="true"
- access-decision-manager-ref="affirmativeBased">
- <intercept-url pattern="/login.do" access="permitAll"/>
- <intercept-url pattern="/account/*.do"
- access="hasRole('ROLE_USER') and fullyAuthenticated"/>
- <intercept-url pattern="/*" access="hasRole('ROLE_USER')"/>
- <form-login login-page="/login.do" />
- <remember-me key="jbcpPetStore" token-validity-seconds="3600"
- data-source-ref="dataSource"/>
- <logout invalidate-session="true" logout-success-url=""
- logout-url="/logout"/>
- </http>
基於數據庫後臺的持久化tokens是不是更安全?
你可能會回憶起我們在第三章實現的TokenBasedRememberMeServices,它用MD5哈希算法將一系列與用戶相關的數據編碼成安全的cookie,這種方式很難(但並非不可能)篡改。o.s.s.web.authentication.rememberme.PersistentTokenBasedRememberMeServices類實現了持久化tokens以及對token安全處理,它通過一個校驗方法以稍微不同的方式處理潛在的篡改。
PersistentTokenBasedRememberMeServices爲每個用戶創建一個唯一的序列號,用戶在繼續交互和認證時要使用序列號中唯一的tokens。序列號和token被存儲在cookie中,在認證時要用來與存儲的token進行對比。序列號和token都是基於配置的長度隨機生成的,這使得惡意用戶成功暴力破解的可能性很小了。
與TokenBasedRememberMeServices類似,持久化的token也可能被cookie竊取或其它的man-in-the-middle技術。在使用持久化token時,依舊建議用自定義的子類將IP地址合併到持久化token中,以及對站點的敏感區域強制使用用戶名和密碼認證。
用SSL保護你的站點
在日常使用在線站點時,你很可能已經聽說或使用過SSL。安全套接字層(SSL)協議,以及其後續的傳輸層安全(TLS),被用來爲網絡上的HTTP事務提供傳輸層的安全——它們被稱爲安全的HTTP事務(HTTPS)。
簡而言之,SSL和TLS以一種對用戶透明的方式保護原始的HTTP傳輸數據,這些數據在客戶端瀏覽器和web服務器之間傳輸。但是作爲開發人員,在設計安全站點時,規劃使用SSL是很重要的。Spring Security提供了一系列的配置選項可以靈活的將SSL集成到web應用中。
【儘管SSL和TLS是不同的協議(TLS是更成熟的協議),單數大多數人更熟悉SSL這個術語,所以在本書的剩餘部分,我們使用這個術語來代指SSL和TLS兩個協議。】
詳細介紹SSL協議的機制已經超出了本書的範圍,有一些很好的書籍和技術論文很詳細地介紹了其規範和協議(你可以從RFC:5246:傳輸安全協議(TLS)Version1.2開始,在以下地址http://tools.ietf.org/html/rfc5246)
配置Apache Tomcat以支持SSL
首先且最重要的是,如果你計劃執行如下SSL相關的例子,需要配置應用服務器以支持SSL連接。對於Apache Tomcat,這相對很容易。如果你在使用其它的應用服務器,請查看文檔的相關部分。
生成server key store
我們需要使用Java的keytool命令來生成一個key store。打開一個命令提示窗口,並輸入以下的命令:
- keytool -genkeypair -alias jbcpserver -keyalg RSA -validity 365
- -keystore tomcat.keystore -storetype JKS
按照提示進行如下的輸入。輸入密碼password作爲key store和個人密鑰的密碼。
- What is your first and last name?
- [Unknown]: JBCP Pets Admin
- What is the name of your organizational unit?
- [Unknown]: JBCP Pets
- What is the name of your organization?
- [Unknown]: JBCP Pets
- What is the name of your City or Locality?
- [Unknown]: Anywhere
- What is the name of your State or Province?
- [Unknown]: NH
- What is the two-letter country code for this unit?
- [Unknown]: US
- Is CN=JBCP Pets Admin, OU=JBCP Pets, O=JBCP Pets, L=Anywhere, ST=NH, C=US
- correct?
- [no]: yes
【注意的是要執行的是genkeypair命令(在早於java 6的釋放版本中要使用keytool的genkey命令)】
爲了下一步的操作,需要記住這個文件的地址。
配置Tomcat的SSL Connector
在Apache Tomcat的conf目錄下,用XML編輯器(Eclipse或類似的都可以)打開server.xml,並取消註釋或添加SSL Connector聲明。應該如下所示:
- <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
- maxThreads="150" scheme="https" secure="true"
- sslProtocol="TLS"
- keystoreFile="conf/tomcat.keystore"
- keystorePass="password"/>
取決於不同的瀏覽器,可能需要包含https而不是http。這樣的問題可能會比較難發現,你可能會比較奇怪爲什麼不能看到JBCP Pets的主頁。
對站點進行自動的安全保護
我們假設你在對客戶的數據進行SSL保護時遇到了麻煩,你想把應用的特定部分置於SSL的保護之下。幸運的是,Spring Security讓這一切變得很簡單,只需要在<intercept-url>聲明上添加一個配置屬性。
requires-channel屬性能夠添加到任何<intercept-url>聲明中,以要求所有匹配的URL要以特定的協議(HTTP,HTTPS或都可以)進行傳遞。如果按照這種形式來增強JBCP Pets站點,配置可能如下所示:
- <http auto-config="true" use-expressions="true">
- <intercept-url pattern="/login.do" access="permitAll"
- requires-channel="https"/>
- <intercept-url pattern="/account/*.do"
- access="hasRole('ROLE_USER') and fullyAuthenticated"
- requires-channel="https"/>
- <intercept-url pattern="/*" access="permitAll"
- requires-channel="any"/>
- <!-- ... -->
- </http>
l 現在訪問登錄頁和賬號頁需要HTTPS,瀏覽器將會爲用戶自動從不安全的(HTTP)URL重定向到安全的URL。例如,嘗試訪問http://localhost:8080/JBCPPets/login.do將會被定向到https://localhost:8443/JBCPPets/login.do;
l 如果用戶被切換到了安全的HTTPS URL,如果他訪問一個不必要使用HTTPS的URL,他能繼續保留在HTTPS狀態。
我們可以想象這種配置對於安全的好處——大多數的現代應用服務器使用一個secure標識session的cookie,所以強制要求登錄頁是安全的(如果這是應用的session被首次分配的地方)能夠保證session的cookie能夠被安全的傳輸,所以出現session劫持的可能性也更小。另外,直接將SSL加密配置在安全聲明上的做法,能夠很容易的保證應用中所有敏感的頁面被適當和完整的保護。
爲用戶自動切換適當協議(HTTP或HTTPS)的功能,通過Spring Security過濾器鏈上的另外一個servlet過濾器來實現的(它的位置很靠前,在SecurityContextPersistenceFilter後面)。如果任何URL用requires-channel屬性聲明使用特定類型的協議,o.s.s.web.access.channel.ChannelProcessingFilter將會自動添加到過濾器鏈上
ChannelProcessingFilter在請求時的交互過程如下圖所示:
如果你的應用需要超出內置功能的複雜邏輯,ChannelProcessingFilter的設計可以進行擴展和增強。注意我們儘管只在圖中說明了SecureChannelProcessor和RetryWithHttpsEntryPoint的實現,但是有類似的類去校驗和處理聲明爲要求HTTP的URL。
注意,ChannelEntryPoint使用了HTTP 302的URL重寫,這就不能使用這種技術去重定向POST的URL(儘管典型的POST請求不應該在安全協議和不安全協議間傳遞,因爲大多數的應用都會對這種行爲提出警告)。
安全的端口映射
在一些特定的環境中,可能不會使用標準的HTTP和HTTPS端口,其默認爲80/443或8080/8443。在這種情況下,你必須配置你的應用包含明確的端口映射,這樣ChannelEntryPoint的實現能夠確定當重定向用戶到安全或不安全的URL時,使用什麼端口。
這僅需要增加額外的配置元素<port-mappings>,它能夠指明除了默認的端口以外,額外的HTTP 的HTTPS端口:
如果你的應用服務器在反向代理後的話,端口映射將會更加的重要。
小結
在本章中,我們:
l 介紹了把安全數據存儲在支持JDBC的數據庫中是如何配置的;
l 配置JBCP Pets使用數據庫來進行用戶認證以及高安全性的密碼存儲,這裏我們使用了密碼加密和salting技術;
l 管理JDBC持久化到數據中的用戶;
l 配置用戶到安全組中。組被授予角色,而不是直接對用戶進行角色的指定。這提高了站點和用戶功能的可管理性;
l 介紹了Spring Security使用遺留的(非默認的)數據庫schema;
l 講解了HTTPS技術的配置及應用,它能夠提高數據在訪問應用敏感內容時的安全性。
在接下來的章節中,我們將會介紹Spring Security一些高級的授權功能,並引入Spring Security的JSP標籤以實現良好的授權。