带有会话 Cookie 的 Spring Security RememberMe 服务
Posted
技术标签:
【中文标题】带有会话 Cookie 的 Spring Security RememberMe 服务【英文标题】:Spring Security RememberMe Services with Session Cookie 【发布时间】:2011-02-06 04:38:25 【问题描述】:我正在使用 Spring Security 的 RememberMe 服务来保持用户的身份验证。
我想找到一种简单的方法将 RememberMe cookie 设置为会话 cookie,而不是设置一个固定的过期时间。对于我的应用程序,cookie 应该一直存在,直到用户关闭浏览器。
关于如何最好地实现这一点有什么建议吗?是否担心这是一个潜在的安全问题?
这样做的主要原因是,使用基于 cookie 的令牌,我们负载均衡器后面的任何服务器都可以为受保护的请求提供服务,而无需依赖存储在 HttpSession 中的用户身份验证。事实上,我已经明确告诉 Spring Security 永远不要使用命名空间创建会话。此外,我们使用的是 Amazon 的 Elastic Load Balancing,因此不支持粘性会话。
注意:虽然我知道截至 4 月 8 日,亚马逊现在支持粘性会话,但由于其他一些原因,我仍然不想使用它们。也就是说,一台服务器的过早关闭仍然会导致与其关联的所有用户的会话丢失。 http://aws.amazon.com/about-aws/whats-new/2010/04/08/support-for-session-stickiness-in-elastic-load-balancing/
【问题讨论】:
你为什么不简单地实现你自己的 RememberMe 实现呢?这很容易。 重复? ***.com/questions/2594960/… @lexicore 实施自己的会话的人可能会给您的 Web 应用程序带来真正的破坏。不要重新发明小麦。阅读我关于“重复?”的帖子上面的问题。 @The Rook:我不认为它是重复的。 Jarrod 只是需要一个不同的 cookie 过期时间,仅此而已。 @lexicore 这基本上是我对另一篇文章的建议。 【参考方案1】:Spring Security 3 不提供 cookie 生成方式的配置。您必须覆盖默认行为:
import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import org.springframework.security.web.authentication.rememberme.PersistentTokenBasedRememberMeServices;
/** Cookie expires on session. */
public class PersistentTokenBasedRememberMeServicesCustom extends
PersistentTokenBasedRememberMeServices
/** only needed because super throws exception. */
public PersistentTokenBasedRememberMeServicesCustom() throws Exception
super();
/** Copy of code of inherited class + setting cookieExpiration, */
@Override
protected void setCookie(String[] tokens, int maxAge,
HttpServletRequest request, HttpServletResponse response)
String cookieValue = encodeCookie(tokens);
Cookie cookie = new Cookie(getCookieName(), cookieValue);
//cookie.setMaxAge(maxAge);
cookie.setPath("/");
cookie.setSecure(false); // no getter available in super, so always false
response.addCookie(cookie);
确保你使用这个定制的PersistentTokenBasedRememberMeServices,因为你是rememberMeService,通过将类名添加到它的bean配置中:
<beans:bean id="rememberMeServices"
class="my.custom.spring.PersistentTokenBasedRememberMeServicesCustom"/>
【讨论】:
【参考方案2】:为了让会话在负载平衡下正常工作,我会将您的会话数据存储在 sql 数据库中。
cookie 应该始终是一个过期的随机值。在某些情况下,您可以将状态存储为 cookie 值并且不会造成安全隐患,例如用户首选语言,但应尽可能避免这种情况。开启 HttpOnlyCookies 是个好主意。
阅读 A3:2010 年 OWASP 前 10 名中的“Broken Authentication and Session Management”。本节的一个重点是整个会话必须使用 https。如果会话持续很长时间,那么这一点就更重要了。
还请记住,“记住我”会创建一个大窗口,攻击者可以在其中“骑”会话。这给了攻击者很长的时间(几个月?),他可以在其中进行 CSRF 攻击。即使你有 CSRF 保护,攻击者仍然可以使用 XSS 和 XmlHttpRequest 进行会话(HttpOnlyCookies 将防止完全劫持)。 “记住我”让 xss、csrf、嗅探等其他威胁更加严重。只要这些漏洞得到解决,那么现实世界的黑客就不应该有问题。
实现“记住我”功能的最简单(且安全)的方法是修改会话超时以使其非常大(几个月)。如果未选中“记住我”复选框,则使用新的超时(登录后 1 天)存储会话变量。请记住,即使 cookie 在关闭时被浏览器删除,会话在服务器端仍然处于活动状态。如果会话 id 被盗,那么它仍然可以使用。
【讨论】:
自定义 RememberMe 过滤器比在每个请求上创建一个新令牌怎么样。新令牌的生命周期可能很短,例如20分钟。如果用户什么都不做,令牌就会过期。如果用户在 20 分钟窗口内提出另一个请求,则会创建一个新的 20 分钟窗口。如果用户的会话以某种方式被盗,更改用户的密码仍然会使任何有效的令牌失效......想法? 我记得我以前在哪里听说过这个想法......它需要将令牌持久化到数据库,但不需要 HttpSession:jaspan.com/improved_persistent_login_cookie_best_practice 也许我会考虑在 Spring Security 中对 PersistentTokenBasedRememberMeService 进行子类化。以上是关于带有会话 Cookie 的 Spring Security RememberMe 服务的主要内容,如果未能解决你的问题,请参考以下文章
Spring-security:带有 COOKIE 的会话配置不起作用
没有 cookie 的 Spring Security 会话
带有 CookieManager 的 HttpURLConnection 是不是应该自动处理会话 cookie?
为啥不使用长寿命会话 ID 来代替带有令牌的持久 cookie?