《Spring Security3》第四章第四部分翻譯（Remember me後臺存儲和SSL）附前四章doc文件

到此，前四章翻譯完成，歡迎朋友提些意見！

 

 

將Remember me功能遷移至數據庫

         現在你可能會意識到我們remember me功能的實現，能夠在應用重啓前很好的使用，但在應用重啓時用戶的session會被丟失。這對用戶來說會不太便利，他們不應該關心JBCP Pets的維護信息。

         幸運的是，Spring Security提供了將rememberme token持久化到任何存儲的接口o.s.s.web.authentication.rememberme.PersistentTokenRepository，並提供了這個接口的JDBC實現。

配置基於數據庫的remember me tokens

         在這裏，修改remember me的配置以持久化到數據庫是非常簡單的。Spring Security配置的解析器能夠識別出<remember-me>聲明的data-source-ref新屬性併爲RememberMeServices切換實現類。讓我們瞭解完成這個功能所需要的步驟。

添加SQL以創建remember me schema

         我們需要將包含期望schema定義的SQL文件放在classpath下（WEB-INF/classes中），它會與我們在前面使用的其它啓動SQL腳本放在一起。我們將這個SQL腳本命名爲remember-me-schema.sql：

 

Sql代碼  

1. create table persistent_logins (  
2.   username varchar_ignorecase(50) not null,   
3.   series varchar(64) primary key,  
4.   token varchar(64) not null,   
5.   last_used timestamp not null);  

 

 

爲嵌入式數據庫聲明添加新的SQL腳本

         接下來，在dogstore-security.xml文件的<embedded-database>聲明中添加對新SQL腳本的引用：

 

Sql代碼  

1. <jdbc:embedded-database id="dataSource" type="HSQL">  
2.   <jdbc:script location="classpath:security-schema.sql"/>  
3.   <jdbc:script location="classpath:remember-me-schema.sql"/>   
4.   <jdbc:script location="classpath:test-users-groups-data.sql"/>  
5. </jdbc:embedded-database>  

 

 

配置remember me服務持久化到數據庫

         最後我們需要對<remember-me>聲明做一些簡單的配置修改使其指向我們使用的data source：

 

Xml代碼  

1. <http auto-config="true" use-expressions="true"   
2.       access-decision-manager-ref="affirmativeBased">  
3.   <intercept-url pattern="/login.do" access="permitAll"/>  
4.   <intercept-url pattern="/account/*.do"    
5.              access="hasRole('ROLE_USER') and fullyAuthenticated"/>  
6.   <intercept-url pattern="/*" access="hasRole('ROLE_USER')"/>  
7.   <form-login login-page="/login.do" />  
8.   <remember-me key="jbcpPetStore" token-validity-seconds="3600"   
9.                data-source-ref="dataSource"/>  
10.   <logout invalidate-session="true" logout-success-url=""   
11.           logout-url="/logout"/>  
12. </http>  

 這就是我們所有要做的。現在，如果你重啓應用，將不會丟失之前合法用戶設置的remember me cookie。

 

基於數據庫後臺的持久化tokens是不是更安全？

         你可能會回憶起我們在第三章實現的TokenBasedRememberMeServices，它用MD5哈希算法將一系列與用戶相關的數據編碼成安全的cookie，這種方式很難（但並非不可能）篡改。o.s.s.web.authentication.rememberme.PersistentTokenBasedRememberMeServices類實現了持久化tokens以及對token安全處理，它通過一個校驗方法以稍微不同的方式處理潛在的篡改。

         PersistentTokenBasedRememberMeServices爲每個用戶創建一個唯一的序列號，用戶在繼續交互和認證時要使用序列號中唯一的tokens。序列號和token被存儲在cookie中，在認證時要用來與存儲的token進行對比。序列號和token都是基於配置的長度隨機生成的，這使得惡意用戶成功暴力破解的可能性很小了。

         與TokenBasedRememberMeServices類似，持久化的token也可能被cookie竊取或其它的man-in-the-middle技術。在使用持久化token時，依舊建議用自定義的子類將IP地址合併到持久化token中，以及對站點的敏感區域強制使用用戶名和密碼認證。

用SSL保護你的站點

         在日常使用在線站點時，你很可能已經聽說或使用過SSL。安全套接字層（SSL）協議，以及其後續的傳輸層安全（TLS），被用來爲網絡上的HTTP事務提供傳輸層的安全——它們被稱爲安全的HTTP事務（HTTPS）。

         簡而言之，SSL和TLS以一種對用戶透明的方式保護原始的HTTP傳輸數據，這些數據在客戶端瀏覽器和web服務器之間傳輸。但是作爲開發人員，在設計安全站點時，規劃使用SSL是很重要的。Spring Security提供了一系列的配置選項可以靈活的將SSL集成到web應用中。

【儘管SSL和TLS是不同的協議（TLS是更成熟的協議），單數大多數人更熟悉SSL這個術語，所以在本書的剩餘部分，我們使用這個術語來代指SSL和TLS兩個協議。】

詳細介紹SSL協議的機制已經超出了本書的範圍，有一些很好的書籍和技術論文很詳細地介紹了其規範和協議（你可以從RFC：5246：傳輸安全協議（TLS）Version1.2開始，在以下地址http://tools.ietf.org/html/rfc5246）

配置Apache Tomcat以支持SSL

         首先且最重要的是，如果你計劃執行如下SSL相關的例子，需要配置應用服務器以支持SSL連接。對於Apache Tomcat，這相對很容易。如果你在使用其它的應用服務器，請查看文檔的相關部分。

生成server key store

         我們需要使用Java的keytool命令來生成一個key store。打開一個命令提示窗口，並輸入以下的命令：

 

Java代碼  

1. keytool -genkeypair -alias jbcpserver -keyalg RSA -validity 365   
2.   -keystore tomcat.keystore -storetype JKS  

 

 按照提示進行如下的輸入。輸入密碼password作爲key store和個人密鑰的密碼。

 

Java代碼  

1. What is your first and last name?  
2.   [Unknown]:  JBCP Pets Admin  
3. What is the name of your organizational unit?  
4.   [Unknown]:  JBCP Pets  
5. What is the name of your organization?  
6.   [Unknown]:  JBCP Pets  
7. What is the name of your City or Locality?  
8.   [Unknown]:  Anywhere  
9. What is the name of your State or Province?  
10.   [Unknown]:  NH  
11. What is the two-letter country code for this unit?  
12.   [Unknown]:  US  
13. Is CN=JBCP Pets Admin, OU=JBCP Pets, O=JBCP Pets, L=Anywhere, ST=NH, C=US   
14. correct?  
15.   [no]:  yes  

 這將會在當前目錄下，生成一個名爲tomcat.keystore的文件。這就是啓用Tomcat SSL所使用的key store。

 

【注意的是要執行的是genkeypair命令（在早於java 6的釋放版本中要使用keytool的genkey命令）】

         爲了下一步的操作，需要記住這個文件的地址。

配置Tomcat的SSL Connector

         在Apache Tomcat的conf目錄下，用XML編輯器（Eclipse或類似的都可以）打開server.xml，並取消註釋或添加SSL Connector聲明。應該如下所示：

 

Xml代碼  

1. <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"  
2.   maxThreads="150" scheme="https" secure="true"  
3.   sslProtocol="TLS"   
4.   keystoreFile="conf/tomcat.keystore"  
5.   keystorePass="password"/>  

 確保在上一步中生成的tomcat.keystore文件被copy到了Tomcat安裝路徑的conf目錄下。在配置後，Tomcat服務器可以重啓，JBCP  Pets應用能夠在一個安全的端口https://localhost:8443/JBCPPets/上進行訪問。

 

         取決於不同的瀏覽器，可能需要包含https而不是http。這樣的問題可能會比較難發現，你可能會比較奇怪爲什麼不能看到JBCP  Pets的主頁。

對站點進行自動的安全保護

         我們假設你在對客戶的數據進行SSL保護時遇到了麻煩，你想把應用的特定部分置於SSL的保護之下。幸運的是，Spring Security讓這一切變得很簡單，只需要在<intercept-url>聲明上添加一個配置屬性。

         requires-channel屬性能夠添加到任何<intercept-url>聲明中，以要求所有匹配的URL要以特定的協議（HTTP，HTTPS或都可以）進行傳遞。如果按照這種形式來增強JBCP Pets站點，配置可能如下所示：

 

Xml代碼  

1. <http auto-config="true" use-expressions="true">  
2.   <intercept-url pattern="/login.do" access="permitAll"   
3.                  requires-channel="https"/>  
4.   <intercept-url pattern="/account/*.do"   
5.                  access="hasRole('ROLE_USER') and fullyAuthenticated"   
6.                  requires-channel="https"/>  
7.   <intercept-url pattern="/*" access="permitAll"   
8.                  requires-channel="any"/>  
9.   <!-- ... -->  
10. </http>    

 如果此時重啓應用，你將會發現：

 

l  現在訪問登錄頁和賬號頁需要HTTPS，瀏覽器將會爲用戶自動從不安全的（HTTP）URL重定向到安全的URL。例如，嘗試訪問http://localhost:8080/JBCPPets/login.do將會被定向到https://localhost:8443/JBCPPets/login.do；

l  如果用戶被切換到了安全的HTTPS URL，如果他訪問一個不必要使用HTTPS的URL，他能繼續保留在HTTPS狀態。

 

我們可以想象這種配置對於安全的好處——大多數的現代應用服務器使用一個secure標識session的cookie，所以強制要求登錄頁是安全的（如果這是應用的session被首次分配的地方）能夠保證session的cookie能夠被安全的傳輸，所以出現session劫持的可能性也更小。另外，直接將SSL加密配置在安全聲明上的做法，能夠很容易的保證應用中所有敏感的頁面被適當和完整的保護。

爲用戶自動切換適當協議（HTTP或HTTPS）的功能，通過Spring Security過濾器鏈上的另外一個servlet過濾器來實現的（它的位置很靠前，在SecurityContextPersistenceFilter後面）。如果任何URL用requires-channel屬性聲明使用特定類型的協議，o.s.s.web.access.channel.ChannelProcessingFilter將會自動添加到過濾器鏈上

         ChannelProcessingFilter在請求時的交互過程如下圖所示：

 如果你的應用需要超出內置功能的複雜邏輯，ChannelProcessingFilter的設計可以進行擴展和增強。注意我們儘管只在圖中說明了SecureChannelProcessor和RetryWithHttpsEntryPoint的實現，但是有類似的類去校驗和處理聲明爲要求HTTP的URL。

         注意，ChannelEntryPoint使用了HTTP 302的URL重寫，這就不能使用這種技術去重定向POST的URL（儘管典型的POST請求不應該在安全協議和不安全協議間傳遞，因爲大多數的應用都會對這種行爲提出警告）。

安全的端口映射

         在一些特定的環境中，可能不會使用標準的HTTP和HTTPS端口，其默認爲80/443或8080/8443。在這種情況下，你必須配置你的應用包含明確的端口映射，這樣ChannelEntryPoint的實現能夠確定當重定向用戶到安全或不安全的URL時，使用什麼端口。

         這僅需要增加額外的配置元素<port-mappings>，它能夠指明除了默認的端口以外，額外的HTTP 的HTTPS端口：

 

Xml代碼  

1. <port-mappings>  
2.   <port-mapping http="9080" https="9443"/>  
3. </port-mappings>  

 如果你的應用服務器在反向代理後的話，端口映射將會更加的重要。

 

小結

         在本章中，我們：

l  介紹了把安全數據存儲在支持JDBC的數據庫中是如何配置的；

l  配置JBCP Pets使用數據庫來進行用戶認證以及高安全性的密碼存儲，這裏我們使用了密碼加密和salting技術；

l  管理JDBC持久化到數據中的用戶；

l  配置用戶到安全組中。組被授予角色，而不是直接對用戶進行角色的指定。這提高了站點和用戶功能的可管理性；

l  介紹了Spring Security使用遺留的（非默認的）數據庫schema；

l  講解了HTTPS技術的配置及應用，它能夠提高數據在訪問應用敏感內容時的安全性。

         在接下來的章節中，我們將會介紹Spring Security一些高級的授權功能，並引入Spring Security的JSP標籤以實現良好的授權。