Basic身份验证和Digest身份验证是Web应用程序中流行的可选的身份验证机制。Basic身份验证通常用于无状态客户端,这些客户端每次请求时上传递其凭证。在应用程序通过基于浏览器的用户界面和作为Web服务使用的情况下,将其与基于表单的身份验证结合使用是非常常见的。但是,Basic身份验证以纯文本形式传输密码,因此它应该只在加密传输层(如https)上使用。
10.4.1 BasicAuthenticationFilter
basicauthenticationfilter负责处理HTTP头中显示的基本身份验证凭据。这可以用于验证由Spring远程处理协议(如Hessian和Burlap)以及普通浏览器用户代理(如Firefox和Internet Explorer)发出的调用。HTTP基本身份验证的标准由RFC1945第11节定义,basicauthenticationfilter符合此RFC。基本身份验证是一种很有吸引力的身份验证方法,因为它在用户代理中被广泛部署,而且实现非常简单(它只是用户名:password的base64编码,在HTTP头中指定)。
配置
要实现HTTP Basic 身份验证,需要向过滤器链中添加一个 BasicAuthenticationFilter 。应用程序上下文应包含BasicAuthenticationFilter 及其所需的合作者:
<bean id="basicAuthenticationFilter"
class="org.springframework.security.web.authentication.www.BasicAuthenticationFilter">
<property name="authenticationManager" ref="authenticationManager"/>
<property name="authenticationEntryPoint" ref="authenticationEntryPoint"/>
</bean>
<bean id="authenticationEntryPoint"
class="org.springframework.security.web.authentication.www.BasicAuthenticationEntryPoint">
<property name="realmName" value="Name Of Your Realm"/>
</bean>
配置的 AuthenticationManager 处理每个认证请求。如果认证失败,将使用配置的 AuthenticationEntryPoint 重试身份验证过程。通常,您将结合 BasicAuthenticationEntryPoint 使用过滤器,它返回带有合适头的401响应,以重试HTTPBasic 认证。如果认证成功,则生成的 Authentication 对象将像往常一样放入SecurityContextholder中。
如果身份验证事件成功,或者由于HTTP头不包含受支持的身份验证请求头而未尝试身份验证,则筛选器链将正常继续。只有当身份验证失败并调用 AuthenticationEntryPoint 时,过滤器链才会中断。
10.4.2 DigestAuthenticationFilter
DigestAuthenticationFilter能够处理HTTP头中显示的摘要式身份验证凭据。摘要式身份验证试图解决基本身份验证的许多弱点,特别是通过确保凭证从未以明文形式跨线发送来解决。许多用户代理支持摘要式身份验证,包括Mozilla Firefox和Internet Explorer。管理HTTP摘要式身份验证的标准由RFC2617定义,它更新了RFC2069规定的摘要式身份验证标准的早期版本。大多数用户代理实现RFC2617。Spring Security的DigestAuthenticationFilter与RFC2617规定的“认证”保护质量(QOP)兼容,后者还提供了与RFC2069的向后兼容性。如果您需要使用未加密的HTTP(即没有TLS/HTTPS),并且希望最大限度地提高身份验证过程的安全性,那么摘要式身份验证是一个更具吸引力的选项。事实上,摘要式身份验证是WebDAV协议的强制性要求,如RFC2518第17.1节所述。
您不应该在现代应用程序中使用Digest,因为它被认为是不安全的。最明显的问题是,必须以明文、加密或MD5格式存储密码。所有这些存储格式都被认为是不安全的。相反,您应该使用单向自适应密码散列(即bcrypt、pbkdf2、scrypt等)。
摘要式身份验证的核心是“nonce”。这是服务器生成的值。Spring Security的nonce采用以下格式:
base64(expirationTime + ":" + md5Hex(expirationTime + ":" + key))
expirationTime: The date and time when the nonce expires, expressed in milliseconds
key: A private key to prevent modification of the nonce token
DigestAuthenticationEntryPoint具有一个属性,通过指定key值用于生成nonce令牌的,以及一个用于确定到期时间的nonEvaliditySeconds属性(默认值300,等于5分钟)。当nonce有效时,通过连接各种字符串(包括用户名、密码、nonce、请求的uri、客户端生成的nonce(仅用户代理生成每个请求的随机值)、领域名称等)计算摘要,然后执行MD5哈希。服务器和用户代理都执行这个摘要计算,如果它们对包含的值(如密码)不一致,则会产生不同的哈希代码。在Spring安全性实现中,如果服务器生成的nonce仅仅过期(但摘要在其他方面有效),DigestAuthenticationEntryPoint将发送一个“stale=true”头。这告诉用户代理不需要干扰用户(因为密码和用户名等是正确的),只需使用新的nonce再试一次。
DigestAuthenticationEntryPoint的nonEvaluitySeconds参数的适当值取决于您的应用程序。非常安全的应用程序应该注意,在达到nonce中包含的过期时间之前,可以使用截获的身份验证头来模拟主体。这是选择适当设置时的关键原则,但对于非常安全的应用程序来说,在第一个实例中不通过TLS/HTTPS运行是不常见的。
由于摘要式身份验证的实现更加复杂,因此经常会出现用户代理问题。例如,Internet Explorer无法在同一会话中的后续请求上显示“opaque ”令牌。因此,Spring安全过滤器将所有状态信息封装到“nonce”令牌中。在我们的测试中,Spring Security的实现与Mozilla Firefox和Internet Explorer可靠地工作,正确地处理非紧急超时等。
配置
现在我们回顾了这个理论,让我们看看如何使用它。要实现HTTP摘要身份验证,需要在过滤器链中定义DigestAuthenticationFilter。应用程序上下文需要定义DigestAuthenticationFilter及其所需的合作者:
<bean id="digestFilter" class=
"org.springframework.security.web.authentication.www.DigestAuthenticationFilter">
<property name="userDetailsService" ref="jdbcDaoImpl"/>
<property name="authenticationEntryPoint" ref="digestEntryPoint"/>
<property name="userCache" ref="userCache"/>
</bean>
<bean id="digestEntryPoint" class=
"org.springframework.security.web.authentication.www.DigestAuthenticationEntryPoint">
<property name="realmName" value="Contacts Realm via Digest Authentication"/>
<property name="key" value="acegi"/>
<property name="nonceValiditySeconds" value="10"/>
</bean>
由于 DigestAuthenticationFilter 必须直接访问用户的明文密码,因此需要配置的UserDetailsService。如果在DAO中使用编码密码,摘要式身份验证将不起作用。DAO合作者和用户缓存通常直接与DAO身份验证提供程序共享。authenticationEntryPoint 属性必须是 DigestAuthenticationEntryPoint,以便 digestauthenticationFilter 可以为digest计算获取正确的 realmName 和 key。
与 BasicAuthenticationFilter 类似,如果验证成功,则将向 SecurityContextHolder 中放置认证请求令牌。如果身份验证事件成功,或者由于HTTP头不包含摘要式身份验证请求而未尝试身份验证,则筛选器链将正常继续。如前一段所述,只有当身份验证失败并调用authenticationEntryPoint时,过滤器链才会中断。
摘要式身份验证的RFC提供了一系列附加功能,以进一步提高安全性。例如,可以根据每个请求更改nonce。尽管如此,Spring Security 实现的目的是最小化实现的复杂性(以及可能出现的毫无疑问的用户代理不兼容性),并避免需要存储服务器端状态。如果您希望更详细地探讨这些特性,请您查看RFC2617。据我们所知,Spring Security的实现确实符合这个RFC的最低标准。
网友评论