持久化身份验证
GET / HTTP/1.1
Host: example.com
Cookie: SESSION=91470ce0-3f3c-455b-b7ad-079b02290f7b
HTTP/1.1 302 Found
Location: /login
用户提交其用户名和密码。
POST /login HTTP/1.1
Host: example.com
Cookie: SESSION=91470ce0-3f3c-455b-b7ad-079b02290f7b
username=user&password=password&_csrf=35942e65-a172-4cd4-a1d4-d16a51147b3e
验证用户后,用户将与新的会话 ID 关联,以防止会话固定攻击。
HTTP/1.1 302 Found
Location: /
Set-Cookie: SESSION=4c66e474-3f5a-43ed-8e48-cc1d8cb1d1c8; Path=/; HttpOnly; SameSite=Lax
后续请求包含会话 Cookie,该 Cookie 用于在会话剩余时间内对用户进行身份验证。
GET / HTTP/1.1
Host: example.com
Cookie: SESSION=4c66e474-3f5a-43ed-8e48-cc1d8cb1d1c8
SecurityContextRepository
在 Spring Security 中,用户与后续请求的关联是使用SecurityContextRepository
进行的。SecurityContextRepository
的默认实现是DelegatingSecurityContextRepository
,它委托给以下内容:
HttpSessionSecurityContextRepository
HttpSessionSecurityContextRepository
将SecurityContext
关联到HttpSession
。如果用户希望以其他方式或根本不将用户与后续请求关联,则可以将HttpSessionSecurityContextRepository
替换为SecurityContextRepository
的另一个实现。
NullSecurityContextRepository
如果不需要将SecurityContext
关联到HttpSession
(例如,使用 OAuth 进行身份验证时),则NullSecurityContextRepository
是SecurityContextRepository
的一个什么也不做的实现。
RequestAttributeSecurityContextRepository
RequestAttributeSecurityContextRepository
将 SecurityContext
存储为请求属性,以确保在可能清除 SecurityContext
的不同调度类型之间,单个请求始终可以访问 SecurityContext
。
例如,假设客户端发出请求,已通过身份验证,然后发生错误。根据 servlet 容器的实现,此错误意味着任何已建立的 SecurityContext
都将被清除,然后进行错误调度。在进行错误调度时,没有建立 SecurityContext
。这意味着错误页面无法使用 SecurityContext
进行授权或显示当前用户,除非以某种方式持久化 SecurityContext
。
-
Java
-
XML
public SecurityFilterChain filterChain(HttpSecurity http) {
http
// ...
.securityContext((securityContext) -> securityContext
.securityContextRepository(new RequestAttributeSecurityContextRepository())
);
return http.build();
}
<http security-context-repository-ref="contextRepository">
<!-- ... -->
</http>
<b:bean name="contextRepository"
class="org.springframework.security.web.context.RequestAttributeSecurityContextRepository" />
DelegatingSecurityContextRepository
DelegatingSecurityContextRepository
将 SecurityContext
保存到多个 SecurityContextRepository
代理,并允许按指定顺序从任何代理检索。
此功能最有效的配置方式如下例所示,它允许同时使用 RequestAttributeSecurityContextRepository
和 HttpSessionSecurityContextRepository
。
-
Java
-
Kotlin
-
XML
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
http
// ...
.securityContext((securityContext) -> securityContext
.securityContextRepository(new DelegatingSecurityContextRepository(
new RequestAttributeSecurityContextRepository(),
new HttpSessionSecurityContextRepository()
))
);
return http.build();
}
@Bean
fun securityFilterChain(http: HttpSecurity): SecurityFilterChain {
http {
// ...
securityContext {
securityContextRepository = DelegatingSecurityContextRepository(
RequestAttributeSecurityContextRepository(),
HttpSessionSecurityContextRepository()
)
}
}
return http.build()
}
<http security-context-repository-ref="contextRepository">
<!-- ... -->
</http>
<bean name="contextRepository"
class="org.springframework.security.web.context.DelegatingSecurityContextRepository">
<constructor-arg>
<bean class="org.springframework.security.web.context.RequestAttributeSecurityContextRepository" />
</constructor-arg>
<constructor-arg>
<bean class="org.springframework.security.web.context.HttpSessionSecurityContextRepository" />
</constructor-arg>
</bean>
在 Spring Security 6 中,上述示例是默认配置。 |
SecurityContextPersistenceFilter
SecurityContextPersistenceFilter
负责使用 SecurityContextRepository
在请求之间持久化 SecurityContext
。
在运行应用程序的其余部分之前,SecurityContextPersistenceFilter
从 SecurityContextRepository
加载 SecurityContext
并将其设置在 SecurityContextHolder
上。
接下来,运行应用程序。
最后,如果 SecurityContext
已更改,我们将使用 SecurityContextPersistenceRepository
保存 SecurityContext
。这意味着当使用 SecurityContextPersistenceFilter
时,只需设置 SecurityContextHolder
即可确保使用 SecurityContextRepository
持久化 SecurityContext
。
在某些情况下,在 SecurityContextPersistenceFilter
方法完成之前,响应已提交并写入客户端。例如,如果将重定向发送到客户端,则响应会立即写回客户端。这意味着在步骤 3 中不可能建立 HttpSession
,因为会话 ID 无法包含在已写入的响应中。另一种情况是,如果客户端成功进行身份验证,则在 SecurityContextPersistenceFilter
完成之前提交响应,并且客户端在 SecurityContextPersistenceFilter
完成之前发出第二个请求,则第二个请求中可能存在错误的身份验证。
为了避免这些问题,SecurityContextPersistenceFilter
包装 HttpServletRequest
和 HttpServletResponse
以检测 SecurityContext
是否已更改,如果已更改,则在提交响应之前保存 SecurityContext
。
SecurityContextHolderFilter
SecurityContextHolderFilter
负责使用 SecurityContextRepository
在请求之间加载 SecurityContext
。
在运行应用程序的其余部分之前,SecurityContextHolderFilter
从 SecurityContextRepository
加载 SecurityContext
并将其设置在 SecurityContextHolder
上。
接下来,运行应用程序。
与 SecurityContextPersistenceFilter
不同,SecurityContextHolderFilter
只加载 SecurityContext
,不保存 SecurityContext
。这意味着当使用 SecurityContextHolderFilter
时,需要显式保存 SecurityContext
。
-
Java
-
Kotlin
-
XML
public SecurityFilterChain filterChain(HttpSecurity http) {
http
// ...
.securityContext((securityContext) -> securityContext
.requireExplicitSave(true)
);
return http.build();
}
@Bean
open fun springSecurity(http: HttpSecurity): SecurityFilterChain {
http {
securityContext {
requireExplicitSave = true
}
}
return http.build()
}
<http security-context-explicit-save="true">
<!-- ... -->
</http>
使用此配置时,重要的是,任何使用 SecurityContext
设置 SecurityContextHolder
的代码,如果需要在请求之间持久化,也应将 SecurityContext
保存到 SecurityContextRepository
。
例如,以下代码
-
Java
-
Kotlin
SecurityContextHolder.setContext(securityContext);
SecurityContextHolder.setContext(securityContext)
应替换为
-
Java
-
Kotlin
SecurityContextHolder.setContext(securityContext);
securityContextRepository.saveContext(securityContext, httpServletRequest, httpServletResponse);
SecurityContextHolder.setContext(securityContext)
securityContextRepository.saveContext(securityContext, httpServletRequest, httpServletResponse)