স্প্রিংয়ের মাধ্যমে RESTful প্রমাণীকরণ

সমস্যা:
আমাদের একটি স্প্রিং এমভিসি-ভিত্তিক RESTful API রয়েছে যাতে সংবেদনশীল তথ্য রয়েছে। এপিআই সুরক্ষিত করা উচিত, তবে প্রতিটি অনুরোধের সাথে ব্যবহারকারীর শংসাপত্রগুলি (ব্যবহারকারী / পাস কম্বো) প্রেরণ করা কাম্য নয়। REST নির্দেশিকা (এবং অভ্যন্তরীণ ব্যবসায়ের প্রয়োজনীয়তা) অনুযায়ী, সার্ভারকে অবশ্যই রাষ্ট্রহীন থাকতে হবে। মেশাপ-শৈলীর পদ্ধতির মধ্যে অন্য সার্ভার দ্বারা এপিআই গ্রাস করা হবে।

প্রয়োজনীয়তা:

• ক্লায়েন্ট .../authenticateশংসাপত্র সহ (অরক্ষিত ইউআরএল) একটি অনুরোধ করে ; সার্ভার একটি সুরক্ষিত টোকেন প্রদান করে যা ভবিষ্যতে অনুরোধগুলি বৈধ করতে এবং রাষ্ট্রবিহীন থাকার জন্য সার্ভারের জন্য পর্যাপ্ত তথ্য রয়েছে। এটি সম্ভবত স্প্রিং সিকিউরিটির রিমাই-মি টোকেনের মতো একই তথ্য ধারণ করে ।

• ক্লায়েন্ট বিভিন্ন (সুরক্ষিত) ইউআরএলগুলিতে পরবর্তী অনুরোধ করে, পূর্বে প্রাপ্ত টোকেনকে ক্যোয়ারী প্যারামিটার হিসাবে যুক্ত করে (বা, খুব কম, কোনও এইচটিটিপি অনুরোধ শিরোনাম)।

• ক্লায়েন্ট কুকি সংরক্ষণ করতে পারে আশা করা যায় না।

• যেহেতু আমরা ইতিমধ্যে বসন্ত ব্যবহার করি, সমাধানটি স্প্রিং সুরক্ষা ব্যবহার করা উচিত।

আমরা এই কাজটি করার চেষ্টা করে প্রাচীরের বিরুদ্ধে মাথা ঠাটিয়ে যাচ্ছি, সুতরাং আশা করি এর বাইরে কেউ ইতিমধ্যে এই সমস্যার সমাধান করেছেন।

উপরের দৃশ্যের পরিপ্রেক্ষিতে আপনি কীভাবে এই বিশেষ প্রয়োজনটিকে সমাধান করতে পারেন?

ওপিতে বর্ণিত ঠিক মতো আমরা এই কাজটি পরিচালনা করতে পেরেছি এবং আশা করি অন্য কেউ সমাধানটি ব্যবহার করতে পারে। আমরা যা করেছি তা এখানে:

সুরক্ষা প্রসঙ্গটি এর মতো সেট আপ করুন:

<security:http realm="Protected API" use-expressions="true" auto-config="false" create-session="stateless" entry-point-ref="CustomAuthenticationEntryPoint">
    <security:custom-filter ref="authenticationTokenProcessingFilter" position="FORM_LOGIN_FILTER" />
    <security:intercept-url pattern="/authenticate" access="permitAll"/>
    <security:intercept-url pattern="/**" access="isAuthenticated()" />
</security:http>

<bean id="CustomAuthenticationEntryPoint"
    class="com.demo.api.support.spring.CustomAuthenticationEntryPoint" />

<bean id="authenticationTokenProcessingFilter"
    class="com.demo.api.support.spring.AuthenticationTokenProcessingFilter" >
    <constructor-arg ref="authenticationManager" />
</bean>

আপনি দেখতে পাচ্ছেন, আমরা একটি কাস্টম তৈরি করেছি AuthenticationEntryPoint, যা 401 Unauthorizedআমাদের দ্বারা ফিল্টার চেইনে অনুরোধটি প্রমাণিত না হলে মূলত একটি ফিরিয়ে দেয় AuthenticationTokenProcessingFilter।

কাস্টমআথেন্টিফিকেশন এন্ট্রিপয়েন্ট :

public class CustomAuthenticationEntryPoint implements AuthenticationEntryPoint {
    @Override
    public void commence(HttpServletRequest request, HttpServletResponse response,
            AuthenticationException authException) throws IOException, ServletException {
        response.sendError( HttpServletResponse.SC_UNAUTHORIZED, "Unauthorized: Authentication token was either missing or invalid." );
    }
}

প্রমাণীকরণ টোকেনপ্রসেসিং ফিল্টার :

public class AuthenticationTokenProcessingFilter extends GenericFilterBean {

    @Autowired UserService userService;
    @Autowired TokenUtils tokenUtils;
    AuthenticationManager authManager;

    public AuthenticationTokenProcessingFilter(AuthenticationManager authManager) {
        this.authManager = authManager;
    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response,
            FilterChain chain) throws IOException, ServletException {
        @SuppressWarnings("unchecked")
        Map<String, String[]> parms = request.getParameterMap();

        if(parms.containsKey("token")) {
            String token = parms.get("token")[0]; // grab the first "token" parameter

            // validate the token
            if (tokenUtils.validate(token)) {
                // determine the user based on the (already validated) token
                UserDetails userDetails = tokenUtils.getUserFromToken(token);
                // build an Authentication object with the user's info
                UsernamePasswordAuthenticationToken authentication = 
                        new UsernamePasswordAuthenticationToken(userDetails.getUsername(), userDetails.getPassword());
                authentication.setDetails(new WebAuthenticationDetailsSource().buildDetails((HttpServletRequest) request));
                // set the authentication into the SecurityContext
                SecurityContextHolder.getContext().setAuthentication(authManager.authenticate(authentication));         
            }
        }
        // continue thru the filter chain
        chain.doFilter(request, response);
    }
}

স্পষ্টতই, TokenUtilsকিছু প্রাইভেট (এবং খুব কেস-নির্দিষ্ট) কোড রয়েছে এবং সহজেই ভাগ করা যায় না। এখানে এর ইন্টারফেস:

public interface TokenUtils {
    String getToken(UserDetails userDetails);
    String getToken(UserDetails userDetails, Long expiration);
    boolean validate(String token);
    UserDetails getUserFromToken(String token);
}

এটি আপনাকে একটি ভাল শুরু করতে হবে। শুভ কোডিং। :)

আপনি ডাইজেস্ট অ্যাক্সেস প্রমাণীকরণ বিবেচনা করতে পারেন । মূলত প্রোটোকলটি নিম্নরূপ:

1. অনুরোধ ক্লায়েন্ট থেকে করা হয়
2. সার্ভার একটি অনন্য নন স্ট্রিংয়ের সাথে সাড়া দেয়
3. ক্লায়েন্ট ননসের সাথে এমডি 5 হ্যাশ করে একটি ব্যবহারকারীর নাম এবং পাসওয়ার্ড (এবং কিছু অন্যান্য মান) সরবরাহ করে; এই হ্যাশটি এইচএ 1 হিসাবে পরিচিত
4. সার্ভার তখন ক্লায়েন্টের পরিচয় যাচাই করতে এবং অনুরোধ করা সামগ্রীগুলি পরিবেশন করতে সক্ষম
5. সার্ভারটি নতুন গিরি সরবরাহ না করা পর্যন্ত ননসের সাথে যোগাযোগ অব্যাহত রাখতে পারে (রিপ্লে আক্রমণগুলি দূর করতে একটি কাউন্টার ব্যবহার করা হয়)

এই সমস্ত যোগাযোগের শিরোনাম দিয়ে তৈরি করা হয়েছে, যা jmort253 পয়েন্ট হিসাবে উল্লেখ করা হয়েছে, সাধারণত ইউআরএল প্যারামিটারে সংবেদনশীল উপাদানের যোগাযোগের চেয়ে বেশি সুরক্ষিত।

ডাইজেস্ট অ্যাক্সেস প্রমাণীকরণ দ্বারা সমর্থিত স্প্রিং সিকিউরিটি । লক্ষ্য করুন যে, যদিও ডক্সগুলি বলেছে যে আপনার অবশ্যই আপনার ক্লায়েন্টের সাধারণ-পাঠ্য পাসওয়ার্ডে অ্যাক্সেস থাকতে হবে, আপনি যদি আপনার ক্লায়েন্টের জন্য এইচএ 1 হ্যাশ পেয়ে থাকেন তবে আপনি সফলভাবে প্রমাণীকরণ করতে পারবেন ।

তথ্য বহনকারী টোকেন সম্পর্কিত, জেএসএন ওয়েব টোকেনস ( http://jwt.io ) একটি উজ্জ্বল প্রযুক্তি। মূল ধারণাটি হ'ল তথ্য উপাদানগুলিকে (দাবিগুলি) টোকনে এম্বেড করা এবং তারপরে পুরো টোকেনে স্বাক্ষর করা যাতে বৈধকরণের শেষটি যাচাই করতে পারে যে দাবিগুলি সত্যই বিশ্বাসযোগ্য।

আমি এই জাভা বাস্তবায়নটি ব্যবহার করি: https://bitbucket.org/b_c/jose4j/wiki/Home

একটি স্প্রিং মডিউলও রয়েছে (বসন্ত-সুরক্ষা-জেউডব্লিউটি), তবে এটি কী সমর্থন করে আমি তা লক্ষ্য করি নি।

আপনি JSON ওয়েব টোকেনগুলির সাথে কেন OAuth ব্যবহার শুরু করবেন না

http://projects.spring.io/spring-security-oauth/

OAuth2 একটি মানকৃত অনুমোদন প্রোটোকল / কাঠামো। অফিসিয়াল OAuth2 নির্দিষ্টকরণ অনুসারে :

আপনি এখানে আরও তথ্য পেতে পারেন