《Spring Security3》第四章第四部分翻译（Remember me后台存储和SSL）

 

将 Remember me 功能迁移至数据库

          现在你可能会意识到我们 remember me 功能的实现，能够在应用重启前很好的使用，但在应用重启时用户的 session 会被丢失。这对用户来说会不太便利，他们不应该关心 JBCP Pets 的维护信息。

          幸运的是， Spring Security 提供了将 rememberme token 持久化到任何存储的接口 o.s.s.web.authentication.rememberme.PersistentTokenRepository ，并提供了这个接口的 JDBC 实现。

配置基于数据库的 remember me tokens

          在这里，修改 remember me 的配置以持久化到数据库是非常简单的。 Spring Security 配置的解析器能够识别出 <remember-me> 声明的 data-source-ref 新属性并为 RememberMeServices 切换实现类。让我们了解完成这个功能所需要的步骤。

添加 SQL 以创建 remember me schema

          我们需要将包含期望 schema 定义的 SQL 文件放在 classpath 下（ WEB-INF/classes 中），它会与我们在前面使用的其它启动 SQL 脚本放在一起。我们将这个 SQL 脚本命名为 remember-me-schema.sql ：

 

 create   table  persistent_logins (
   username varchar_ignorecase(50) not   null ,
   series varchar (64)  primary   key ,
   token varchar (64)  not   null ,
   last_used timestamp   not   null );

 

 

为嵌入式数据库声明添加新的 SQL 脚本

          接下来，在 dogstore-security.xml 文件的 <embedded-database> 声明中添加对新 SQL 脚本的引用：

 

 <jdbc:embedded- database  id= "dataSource"  type= "HSQL" >
   <jdbc:script location="classpath:security-schema.sql" />
   <jdbc:script location="classpath:remember-me-schema.sql" />
   <jdbc:script location="classpath:test-users-groups-data.sql" />
 </jdbc:embedded-database >

 

 

配置 remember me 服务持久化到数据库

          最后我们需要对 <remember-me> 声明做一些简单的配置修改使其指向我们使用的 data source ：

 

 < http   auto-config = "true"   use-expressions = "true"
       access-decision-manager-ref = "affirmativeBased" >
   < intercept-url   pattern = "/login.do"   access = "permitAll" />
   < intercept-url   pattern = "/account/*.do"
              access = "hasRole('ROLE_USER') and fullyAuthenticated" />
   < intercept-url   pattern = "/*"   access = "hasRole('ROLE_USER')" />
   < form-login   login-page = "/login.do"   />
   < remember-me   key = "jbcpPetStore"   token-validity-seconds = "3600"
                data-source-ref = "dataSource" />
   < logout   invalidate-session = "true"   logout-success-url = ""
           logout-url = "/logout" />
 </ http >

 这就是我们所有要做的。现在，如果你重启应用，将不会丢失之前合法用户设置的 remember me cookie 。

 

基于数据库后台的持久化 tokens 是不是更安全？

          你可能会回忆起我们在第三章实现的 TokenBasedRememberMeServices ，它用 MD5 哈希算法将一系列与用户相关的数据编码成安全的 cookie ，这种方式很难（但并非不可能）篡改。 o.s.s.web.authentication.rememberme.PersistentTokenBasedRememberMeServices 类实现了持久化 tokens 以及对 token 安全处理，它通过一个校验方法以稍微不同的方式处理潜在的篡改。

          PersistentTokenBasedRememberMeServices 为每个用户创建一个唯一的序列号， 用户在继续交互和认证时要使用序列号中唯一的 tokens 。序列号和 token 被存储在 cookie 中，在认证时要用来与存储的 token 进行对比。序列号和 token 都是基于配置的长度随机生成的，这使得恶意用户成功暴力破解的可能性很小了。

          与 TokenBasedRememberMeServices 类似，持久化的 token 也可能被 cookie 窃取或其它的 man-in-the-middle 技术。在使用持久化 token 时，依旧建议用自定义的子类将 IP 地址合并到持久化 token 中，以及对站点的敏感区域强制使用用户名和密码认证。

用 SSL 保护你的站点

          在日常使用在线站点时，你很可能已经听说或使用过 SSL 。安全套接字层（ SSL ）协议，以及其后续的传输层安全（ TLS ），被用来为网络上的 HTTP 事务提供传输层的安全——它们被称为安全的 HTTP 事务（ HTTPS ）。

          简而言之， SSL 和 TLS 以一种对用户透明的方式保护原始的 HTTP 传输数据，这些数据在客户端浏览器和 web 服务器之间传输。但是作为开发人员，在设计安全站点时，规划使用 SSL 是很重要的。 Spring Security 提供了一系列的配置选项可以灵活的将 SSL 集成到 web 应用中。

【尽管 SSL 和 TLS 是不同的协议（ TLS 是更成熟的协议），单数大多数人更熟悉 SSL 这个术语，所以在本书的剩余部分，我们使用这个术语来代指 SSL 和 TLS 两个协议。】

详细介绍 SSL 协议的机制已经超出了本书的范围，有一些很好的书籍和技术论文很详细地介绍了其规范和协议（你可以从 RFC ： 5246 ：传输安全协议（ TLS ） Version1.2 开始，在以下地址 http://tools.ietf.org/html/rfc5246 ）

配置 Apache Tomcat 以支持 SSL

          首先且最重要的是，如果你计划执行如下 SSL 相关的例子，需要配置应用服务器以支持 SSL 连接。对于 Apache Tomcat ，这相对很容易。如果你在使用其它的应用服务器，请查看文档的相关部分。

生成 server key store

          我们需要使用 Java 的 keytool 命令来生成一个 key store 。打开一个命令提示窗口，并输入以下的命令：

 

 keytool -genkeypair -alias jbcpserver -keyalg RSA -validity  365
   -keystore tomcat.keystore -storetype JKS

 

 按照提示进行如下的输入。输入密码 password 作为 key store 和个人密钥的密码。

 

 What is your first and last name?
   [Unknown]:  JBCP Pets Admin
 What is the name of your organizational unit?
   [Unknown]:  JBCP Pets
 What is the name of your organization?
   [Unknown]:  JBCP Pets
 What is the name of your City or Locality?
   [Unknown]:  Anywhere
 What is the name of your State or Province?
   [Unknown]:  NH
 What is the two-letter country code for   this  unit?
   [Unknown]:  US
 Is CN=JBCP Pets Admin, OU=JBCP Pets, O=JBCP Pets, L=Anywhere, ST=NH, C=US
 correct?
   [no]:  yes

 这将会在当前目录下，生成一个名为 tomcat.keystore 的文件。这就是启用 Tomcat SSL 所使用的 key store 。

 

【注意的是要执行的是 genkeypair 命令（在早于 java 6 的释放版本中要使用 keytool 的 genkey 命令）】

          为了下一步的操作，需要记住这个文件的地址。

配置 Tomcat 的 SSL Connector

          在 Apache Tomcat 的 conf 目录下，用 XML 编辑器（ Eclipse 或类似的都可以）打开 server.xml ，并取消注释或添加 SSL Connector 声明。应该如下所示：

 

 < Connector   port = "8443"   protocol = "HTTP/1.1"   SSLEnabled = "true"
   maxThreads = "150"   scheme = "https"   secure = "true"
   sslProtocol = "TLS"
   keystoreFile = "conf/tomcat.keystore"
   keystorePass = "password" />

 确保在上一步中生成的 tomcat.keystore 文件被 copy 到了 Tomcat 安装路径的 conf 目录下。在配置后， Tomcat 服务器可以重启， JBCP   Pets 应用能够在一个安全的端口 https://localhost:8443/JBCPPets/ 上进行访问。

 

          取决于不同的浏览器，可能需要包含 https 而不是 http 。这样的问题可能会比较难发现，你可能会比较奇怪为什么不能看到 JBCP   Pets 的主页。

对站点进行自动的安全保护

          我们假设你在对客户的数据进行 SSL 保护时遇到了麻烦，你想把应用的特定部分置于 SSL 的保护之下。幸运的是， Spring Security 让这一切变得很简单，只需要在 <intercept-url> 声明上添加一个配置属性。

          requires-channel 属性能够添加到任何 <intercept-url> 声明中，以要求所有匹配的 URL 要以特定的协议（ HTTP ， HTTPS 或都可以）进行传递。如果按照这种形式来增强 JBCP Pets 站点，配置可能如下所示：

 

 < http   auto-config = "true"   use-expressions = "true" >
   < intercept-url   pattern = "/login.do"   access = "permitAll"
                  requires-channel = "https" />
   < intercept-url   pattern = "/account/*.do"
                  access = "hasRole('ROLE_USER') and fullyAuthenticated"
                  requires-channel = "https" />
   < intercept-url   pattern = "/*"   access = "permitAll"
                  requires-channel = "any" />
   <!-- ... -->
 </ http >

 如果此时重启应用，你将会发现：

 

l   现在访问登录页和账号页需要 HTTPS ，浏览器将会为用户自动从不安全的（ HTTP ） URL 重定向到安全的 URL 。例如，尝试访问 http://localhost:8080/JBCPPets/login.do 将会被定向到 https://localhost:8443/JBCPPets/login.do ；

l   如果用户被切换到了安全的 HTTPS URL ，如果他访问一个不必要使用 HTTPS 的 URL ，他能继续保留在 HTTPS 状态。

 

我们可以想象这种配置对于安全的好处——大多数的现代应用服务器使用一个 secure 标识 session 的 cookie ，所以强制要求登录页是安全的（如果这是应用的 session 被首次分配的地方）能够保证 session 的 cookie 能够被安全的传输，所以出现 session 劫持的可能性也更小。另外，直接将 SSL 加密配置在安全声明上的做法，能够很容易的保证应用中所有敏感的页面被适当和完整的保护。

为用户自动切换适当协议（ HTTP 或 HTTPS ）的功能，通过 Spring Security 过滤器链上的另外一个 servlet 过滤器来实现的（它的位置很靠前，在 SecurityContextPersistenceFilter 后面）。如果任何 URL 用 requires-channel 属性声明使用特定类型的协议， o.s.s.web.access.channel.ChannelProcessingFilter 将会自动添加到过滤器链上

          ChannelProcessingFilter 在请求时的交互过程如下图所示：

 如果你的应用需要超出内置功能的复杂逻辑， ChannelProcessingFilter 的设计可以进行扩展和增强。注意我们尽管只在图中说明了 SecureChannelProcessor 和 RetryWithHttpsEntryPoint 的实现，但是有类似的类去校验和处理声明为要求 HTTP 的 URL 。

          注意， ChannelEntryPoint 使用了 HTTP 302 的 URL 重写，这就不能使用这种技术去重定向 POST 的 URL （尽管典型的 POST 请求不应该在安全协议和不安全协议间传递，因为大多数的应用都会对这种行为提出警告）。

安全的端口映射

          在一些特定的环境中，可能不会使用标准的 HTTP 和 HTTPS 端口，其默认为 80/443 或 8080/8443 。在这种情况下，你必须配置你的应用包含明确的端口映射，这样 ChannelEntryPoint 的实现能够确定当重定向用户到安全或不安全的 URL 时，使用什么端口。

          这仅需要增加额外的配置元素 <port-mappings> ，它能够指明除了默认的端口以外，额外的 HTTP  的 HTTPS 端口：

 

 < port-mappings >
   < port-mapping   http = "9080"   https = "9443" />
 </ port-mappings >

 如果你的应用服务器在反向代理后的话，端口映射将会更加的重要。

 

小结

          在本章中，我们：

l   介绍了把安全数据存储在支持 JDBC 的数据库中是如何配置的；

l   配置 JBCP Pets 使用数据库来进行用户认证以及高安全性的密码存储，这里我们使用了密码加密和 salting 技术；

l   管理 JDBC 持久化到数据中的用户；

l   配置用户到安全组中。组被授予角色，而不是直接对用户进行角色的指定。这提高了站点和用户功能的可管理性；

l   介绍了 Spring Security 使用遗留的（非默认的）数据库 schema ；

l   讲解了 HTTPS 技术的配置及应用，它能够提高数据在访问应用敏感内容时的安全性。

          在接下来的章节中，我们将会介绍 Spring Security 一些高级的授权功能，并引入 Spring Security 的 JSP 标签以实现良好的授权。