使用会话Cookie的Spring Security RememberMe服务

Question

使用会话Cookie的Spring Security RememberMe服务

Jar*_*son 6 security authentication spring spring-security remember-me

我正在使用Spring Security的RememberMe服务来保持用户的身份验证.

我想找到一种简单的方法将RememberMe cookie设置为会话cookie而不是固定的到期时间.对于我的应用程序,cookie应该持续到用户关闭浏览器.

有关如何最好地实现这一点的任何建议？对此的任何担忧都是潜在的安全问题？

这样做的主要原因是,使用基于cookie的令牌,我们的负载均衡器后面的任何服务器都可以为受保护的请求提供服务,而无需依赖用户的身份验证来存储在HttpSession中.事实上,我明确告诉Spring Security永远不会使用命名空间创建会话.此外,我们使用的是亚马逊的Elastic Load Balancing,因此不支持粘性会话.

注意:虽然我知道截至4月8日,亚马逊现在支持粘性会话,但我仍然不想出于其他一些原因使用它们.也就是说,一台服务器的不合时宜的消亡仍会导致与之相关的所有用户丢失会话. http://aws.amazon.com/about-aws/whats-new/2010/04/08/support-for-session-stickiness-in-elastic-load-balancing/

Answer 1

Kde*_*per 5

Spring Security 3不提供cookie生成方式的配置.您必须覆盖默认行为:

import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import org.springframework.security.web.authentication.rememberme.PersistentTokenBasedRememberMeServices;

/** Cookie expires on session. */
 public class PersistentTokenBasedRememberMeServicesCustom extends
   PersistentTokenBasedRememberMeServices {

  /** only needed because super throws exception. */
  public PersistentTokenBasedRememberMeServicesCustom() throws Exception {
    super();
  }

  /** Copy of code of inherited class + setting cookieExpiration, */
  @Override
  protected void setCookie(String[] tokens, int maxAge,
      HttpServletRequest request, HttpServletResponse response) {
    String cookieValue = encodeCookie(tokens);
    Cookie cookie = new Cookie(getCookieName(), cookieValue);
    //cookie.setMaxAge(maxAge); 
    cookie.setPath("/");
    cookie.setSecure(false); // no getter available in super, so always false

    response.addCookie(cookie);
  }
}

Run Code Online (Sandbox Code Playgroud)

确保您使用这个自定义的PersistentTokenBasedRememberMeServices为您记住,通过将类名添加到它的bean配置中来记住:

<beans:bean id="rememberMeServices"
 class="my.custom.spring.PersistentTokenBasedRememberMeServicesCustom"/>

Run Code Online (Sandbox Code Playgroud)

Answer 2

roo*_*ook 3

为了让会话在负载平衡的情况下正常工作，我会将会话数据存储在 SQL 数据库中。

cookie 应该始终是一个会过期的随机值。在某些情况下，您可以将状态存储为 cookie 值，并且这不会造成安全隐患，例如用户首选语言，但应尽可能避免这种情况。打开 HttpOnlyCookies 是个好主意。

请阅读 A3：2010 年 OWASP 前 10 名中的“损坏的身份验证和会话管理”。本节中的一个要点是整个会话必须使用 https。如果会话持续很长时间，那么这一点就更加重要。

另请记住，“记住我”会创建一个大窗口，攻击者可以在其中“乘坐”会话。这给了攻击者很长的时间（几个月？），他可以在其中进行 CSRF 攻击。即使您有 CSRF 保护，攻击者仍然可以利用 XSS 和 XmlHttpRequest 进行会话（HttpOnlyCookies 将防止完全劫持）。“记住我”使得 xss、csrf、嗅探等其他威胁变得更加严重。只要这些漏洞已经得到解决，那么现实世界的黑客就不应该有问题。

实现“记住我”功能的最简单（且安全）的方法是修改会话超时以使其非常大（几个月）。如果未选中“记住我”复选框，则存储具有新超时（登录后 1 天）的会话变量。请记住，即使浏览器关闭时删除 cookie，会话在服务器端仍然处于活动状态。如果会话 ID 被盗，那么它仍然可以使用。

归档时间：	15 年，9 月前
查看次数：	12929 次
最近记录：	12 年，7 月前