如何设计一个好的JWT认证过滤器
我是JWT的新手。由于我是万不得已才来到这里的,所以网上没有多少信息。我已经使用spring会话开发了一个使用Spring Security性的Spring Boot应用程序。现在,我们将转向JWT,而不是Spring课程。我发现很少有链接,现在我可以验证用户身份并生成令牌。现在困难的部分是,我想创建一个过滤器,它将对服务器的每个请求进行身份验证,
- 过滤器将如何验证令牌?(仅验证签名就足够了?)
共有3个答案
看看这个项目,它是非常好的实施,并有必要的留档。
1.如果您在上面的项目中进行了验证,那么您只需要验证令牌,这就足够了。其中,令牌是请求头中的承载的值。
try {
final Claims claims = Jwts.parser().setSigningKey("secretkey")
.parseClaimsJws(token).getBody();
request.setAttribute("claims", claims);
}
catch (final SignatureException e) {
throw new ServletException("Invalid token.");
}
2.窃取令牌并不容易,但根据我的经验,您可以通过为每次成功登录手动创建Spring会话来保护自己。还将会话唯一ID和承载值(令牌)映射到映射中(例如使用API范围创建Bean)。
@Component
public class SessionMapBean {
private Map<String, String> jwtSessionMap;
private Map<String, Boolean> sessionsForInvalidation;
public SessionMapBean() {
this.jwtSessionMap = new HashMap<String, String>();
this.sessionsForInvalidation = new HashMap<String, Boolean>();
}
public Map<String, String> getJwtSessionMap() {
return jwtSessionMap;
}
public void setJwtSessionMap(Map<String, String> jwtSessionMap) {
this.jwtSessionMap = jwtSessionMap;
}
public Map<String, Boolean> getSessionsForInvalidation() {
return sessionsForInvalidation;
}
public void setSessionsForInvalidation(Map<String, Boolean> sessionsForInvalidation) {
this.sessionsForInvalidation = sessionsForInvalidation;
}
}
此SessionMapBean将可用于所有会话。现在,对于每个请求,您不仅要验证令牌,还要检查他是否匹配会话(检查请求会话id是否与存储在SessionMapBean中的会话id匹配)。当然,会话ID也可能被盗,因此您需要保护通信安全。窃取会话ID最常见的方法是会话嗅探(或中间人)和跨站点脚本攻击。我不会详细介绍它们,你可以阅读如何保护自己免受这种攻击。
3.你可以在我链接的项目中看到它。最简单的是,过滤器将验证所有/api/*,例如,您将登录到/user/login。
我将重点介绍JWT的一般技巧,而不涉及代码实现(参见其他答案)
过滤器将如何验证令牌?(仅验证签名就足够了?)
RFC7519规定了如何验证JWT(见7.2.验证JWT),基本上是语法验证和签名验证。
如果在身份验证流程中使用JWT,我们可以查看OpenID连接规范3.1.3.4ID令牌验证提出的验证。总结:
>
iss包含发行者标识符(如果使用oauth,aud包含client_id)
iat和exp
使用密钥验证令牌的签名
sub标识一个有效的用户
如果有人偷了令牌并打了Rest电话,我将如何验证。
拥有JWT是身份验证的证明。拦截令牌的攻击者可以模拟该用户。所以要确保代币的安全
>
为令牌使用安全存储。如果使用网络前端,请考虑添加额外的安全措施来保护本地存储/cookie免受XSS或CSRF攻击
在身份验证令牌上设置较短的过期时间,如果令牌过期,则需要凭据
如何绕过筛选器中的登录请求?因为它没有授权头。
登录表单不需要JWT令牌,因为您将验证用户凭据。将表单保留在筛选器范围之外。在成功身份验证后发出JWT,并将身份验证筛选器应用于其余服务
然后,过滤器应截获除登录表单之外的所有请求,并检查:
>
如果用户验证?如果没有扔401-未经授权
如果用户被授权访问请求的资源?如果不抛出403禁止
允许访问。将用户数据放在请求上下文中(例如,使用ThreadLocal)
以下是一个可以满足您需要的过滤器:
public class JWTFilter extends GenericFilterBean {
private static final Logger LOGGER = LoggerFactory.getLogger(JWTFilter.class);
private final TokenProvider tokenProvider;
public JWTFilter(TokenProvider tokenProvider) {
this.tokenProvider = tokenProvider;
}
@Override
public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException,
ServletException {
try {
HttpServletRequest httpServletRequest = (HttpServletRequest) servletRequest;
String jwt = this.resolveToken(httpServletRequest);
if (StringUtils.hasText(jwt)) {
if (this.tokenProvider.validateToken(jwt)) {
Authentication authentication = this.tokenProvider.getAuthentication(jwt);
SecurityContextHolder.getContext().setAuthentication(authentication);
}
}
filterChain.doFilter(servletRequest, servletResponse);
this.resetAuthenticationAfterRequest();
} catch (ExpiredJwtException eje) {
LOGGER.info("Security exception for user {} - {}", eje.getClaims().getSubject(), eje.getMessage());
((HttpServletResponse) servletResponse).setStatus(HttpServletResponse.SC_UNAUTHORIZED);
LOGGER.debug("Exception " + eje.getMessage(), eje);
}
}
private void resetAuthenticationAfterRequest() {
SecurityContextHolder.getContext().setAuthentication(null);
}
private String resolveToken(HttpServletRequest request) {
String bearerToken = request.getHeader(SecurityConfiguration.AUTHORIZATION_HEADER);
if (StringUtils.hasText(bearerToken) && bearerToken.startsWith("Bearer ")) {
String jwt = bearerToken.substring(7, bearerToken.length());
return jwt;
}
return null;
}
}
以及在过滤器链中包含过滤器:
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {
public final static String AUTHORIZATION_HEADER = "Authorization";
@Autowired
private TokenProvider tokenProvider;
@Autowired
private AuthenticationProvider authenticationProvider;
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
auth.authenticationProvider(this.authenticationProvider);
}
@Override
protected void configure(HttpSecurity http) throws Exception {
JWTFilter customFilter = new JWTFilter(this.tokenProvider);
http.addFilterBefore(customFilter, UsernamePasswordAuthenticationFilter.class);
// @formatter:off
http.authorizeRequests().antMatchers("/css/**").permitAll()
.antMatchers("/images/**").permitAll()
.antMatchers("/js/**").permitAll()
.antMatchers("/authenticate").permitAll()
.anyRequest().fullyAuthenticated()
.and().formLogin().loginPage("/login").failureUrl("/login?error").permitAll()
.and().logout().permitAll();
// @formatter:on
http.csrf().disable();
}
}
令牌提供程序类:
public class TokenProvider {
private static final Logger LOGGER = LoggerFactory.getLogger(TokenProvider.class);
private static final String AUTHORITIES_KEY = "auth";
@Value("${spring.security.authentication.jwt.validity}")
private long tokenValidityInMilliSeconds;
@Value("${spring.security.authentication.jwt.secret}")
private String secretKey;
public String createToken(Authentication authentication) {
String authorities = authentication.getAuthorities().stream().map(authority -> authority.getAuthority()).collect(Collectors.joining(","));
ZonedDateTime now = ZonedDateTime.now();
ZonedDateTime expirationDateTime = now.plus(this.tokenValidityInMilliSeconds, ChronoUnit.MILLIS);
Date issueDate = Date.from(now.toInstant());
Date expirationDate = Date.from(expirationDateTime.toInstant());
return Jwts.builder().setSubject(authentication.getName()).claim(AUTHORITIES_KEY, authorities)
.signWith(SignatureAlgorithm.HS512, this.secretKey).setIssuedAt(issueDate).setExpiration(expirationDate).compact();
}
public Authentication getAuthentication(String token) {
Claims claims = Jwts.parser().setSigningKey(this.secretKey).parseClaimsJws(token).getBody();
Collection<? extends GrantedAuthority> authorities = Arrays.asList(claims.get(AUTHORITIES_KEY).toString().split(",")).stream()
.map(authority -> new SimpleGrantedAuthority(authority)).collect(Collectors.toList());
User principal = new User(claims.getSubject(), "", authorities);
return new UsernamePasswordAuthenticationToken(principal, "", authorities);
}
public boolean validateToken(String authToken) {
try {
Jwts.parser().setSigningKey(this.secretKey).parseClaimsJws(authToken);
return true;
} catch (SignatureException e) {
LOGGER.info("Invalid JWT signature: " + e.getMessage());
LOGGER.debug("Exception " + e.getMessage(), e);
return false;
}
}
}
现在回答你的问题:
- 在此过滤器中完成
- 保护您的HTTP请求,使用HTTPS
- 只允许所有的
/logURI(在我的代码中验证)
-
Java Spring(和Spring Security)在这里,有兴趣使用持有者令牌为我的Web服务实现基于JWT的身份验证机制。我对使用Spring Security进行身份验证和授权的正确方式的理解是通过使用提供的(或自定义的)过滤器,如下所示: 指定应用中的哪些 URL 经过身份验证(因此需要经过身份验证的请求才能访问) 这通常是在注释的Web安全类中完成的,该类扩展了 请求客户端应首先命
-
问题内容: 我必须从Spring Security堆栈中排除一个默认过滤器。因此,所有过滤器都应照常工作。看来我找到了解决方法,请创建自定义FilterChainProxy: 如您所见,它具有获取过滤器列表的构造函数,因此我将能够根据需要从链中删除一个过滤器,其余所有过滤器将照常工作。但是我不能在这样的构造函数的安全配置中制作bean。如果我用 当然,使用默认构造函数构建对象。好的,我尝试用一
-
我们在 remember-me-hash上,基于 Form 表单的方式,来实现基于散列的令牌方法的 Remember-Me 认证,我们新建一个 jwt-authentication项目。 build.gradle 修改 build.gradle 文件,让我们的remember-me-hash项目成为一个新的项目。 修改内容也比较简单,修改项目名称及版本即可。 jar { baseName
-
问题内容: 我有一个过滤器linkifyStuff,其中需要使用其他过滤器处理一些变量。我无法弄清楚从另一个调用一个过滤器的语法。 我了解过滤器链接-这不是我想要的。我想将过滤器应用于linkifyStuff过滤器中的局部变量,而不是其输入或输出。 我希望像下面这样工作,但是$ filter(’filtername’)显然不是正确的语法。 我可以为sanitizeStuff和sanitizeStu
-
我试图在laravel中安装jwt身份验证,但我使用Laravel5.8和jwt,如下所示https://tutsforweb.com/restful-api-in-laravel-56-using-jwt-authentication/ ,但向我显示此错误。 我的供应商/tymon/jwt auth/src/jwt.php中有任何问题吗 第182行和第200行之间 我发现了这个建议,并遵循了La
-
我正在使用带有JWT的Spring Security来验证rest api。登录时,会生成JWT令牌并共享给移动客户端。但是,后续请求中的令牌没有经过验证。安全配置有什么问题吗? Spring Security版本-5.1.6。释放 //安全配置 //JWT Token Auth Filter——永远不会调用它 我希望登录后的所有请求都将根据JWT令牌进行身份验证。我尝试将要验证的服务的名称输入如