我正在使用Spring Security的RememberMe Services来保持用户的身份验证。
我想找到一种简单的方法将RememberMe cookie设置为会话cookie而不是固定的到期时间。对于我的应用程序,cookie应该持续到用户关闭浏览器为止。
有关如何最好地实施此建议的任何建议?对此的任何担忧都是潜在的安全问题?
这样做的主要原因是,使用基于cookie的令牌,我们的负载均衡器后面的任何服务器都可以为受保护的请求提供服务,而无需依赖用户的身份验证来存储在HttpSession中。事实上,我明确告诉Spring Security永远不会使用命名空间创建会话。此外,我们正在使用亚马逊的Elastic Load Balancing,因此不支持粘性会话。
注意:虽然我知道截至4月8日,亚马逊现在支持粘性会话,但我仍然不想出于其他一些原因使用它们。也就是说,一台服务器的不合时宜的消亡仍会导致与之相关的所有用户丢失会话。 http://aws.amazon.com/about-aws/whats-new/2010/04/08/support-for-session-stickiness-in-elastic-load-balancing/
答案 0 :(得分:5)
Spring Security 3不提供cookie生成方式的配置。您必须覆盖默认行为:
import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import org.springframework.security.web.authentication.rememberme.PersistentTokenBasedRememberMeServices;
/** Cookie expires on session. */
public class PersistentTokenBasedRememberMeServicesCustom extends
PersistentTokenBasedRememberMeServices {
/** only needed because super throws exception. */
public PersistentTokenBasedRememberMeServicesCustom() throws Exception {
super();
}
/** Copy of code of inherited class + setting cookieExpiration, */
@Override
protected void setCookie(String[] tokens, int maxAge,
HttpServletRequest request, HttpServletResponse response) {
String cookieValue = encodeCookie(tokens);
Cookie cookie = new Cookie(getCookieName(), cookieValue);
//cookie.setMaxAge(maxAge);
cookie.setPath("/");
cookie.setSecure(false); // no getter available in super, so always false
response.addCookie(cookie);
}
}
请确保您使用此自定义 PersistentTokenBasedRememberMeServices 为 rememberMeService 添加类名称为bean配置:
<beans:bean id="rememberMeServices"
class="my.custom.spring.PersistentTokenBasedRememberMeServicesCustom"/>
答案 1 :(得分:3)
要使会话正常工作并进行负载平衡,我会将会话数据存储在sql数据库中。
Cookie应该始终是一个过期的随机值。在某些情况下,您可以将状态存储为cookie值,而不是一个安全的危险,例如用户首选语言,但应尽可能避免这种情况。转动HttpOnlyCookies是一个好主意。
阅读A3:2010年OWASP前10名中的“身份验证和会话管理中断”。本节中的一个重点是https必须用于整个会话。如果会话持续很长时间,那么这就更为重要了。
另请注意,“记住我”会创建一个大窗口,攻击者可以在该窗口中“骑行”。这给攻击者一个很长的时间(几个月?),他可以在其中进行CSRF攻击。即使您拥有CSRF保护,攻击者仍可以使用XSS和XmlHttpRequest进行会话(HttpOnlyCookies将阻止完全劫持)。 “记住我”使其他威胁如xss,csrf,嗅探更严重。只要这些漏洞得到解决,那么现实世界的黑客就不会有问题。
实现“记住我”功能的最简单(和安全)方法是修改会话超时以使其非常大(几个月)。如果未选中“记住我”复选框,则存储具有新超时(登录后1天)的会话变量。请记住,即使cookie在关闭时被浏览器删除,会话仍然在服务器端处于活动状态。如果会话ID被盗,那么仍然可以使用它。