- 浏览: 452560 次
- 性别:
- 来自: 大连
博客专栏
-
《Spring Secur...
浏览量:383440
文章分类
最新评论
-
蒙奇君杰:
必须感谢一番!!!愿开源的态度为更多的人所拥有,所 认同!
关于对《Spring Security3》一书的翻译说明 -
601235723:
bbjavaeye 写道你好,有个问题请教一下我配了<b ...
《Spring Security3》第四章第一部分翻译下(自定义的UserDetailsService) -
bay0902:
中国互联网的脊梁
Spring Security 3全文下载 -
hdcustc:
项目源码下载 微博网盘里的那个依赖文件损坏了啊 能否提供个可 ...
Spring Security 3全文下载 -
i641878506:
楼主辛苦, 可以提供原书的原项目文件的下载么
Spring Security 3全文下载
OpenID用户的注册问题
请使用我们前面的技术来测试Yahoo! OpenID——例如,https://me.yahoo.com/pmularien。你会发现它并不好用,像其它OpenID提供者那样。这带出了OpenID结构的一个很重要的问题,并体现出了启用OpenID用户注册的重要性。
OpenID标识是如何处理的
Yahoo!返回的实际OpenID类似于如下的样子:https://me.yahoo.com/pmularien#9a466。在OpenID术语中,用户在登录框中输入的标识符被称为用户提供的标识符(user-supplied identifier)。这个标识符可能并不对应唯一的用户标识符(用户的声明标识符,claimed identifier),但是作为鉴别所有者的一部分,OpenID提供者将会把用户的输入转换成提供者能真正证明用户拥有的标识符。(译者注:即用户记住的标识符与OpenID Provider返回的标识符可能并不一致)。
【OpenID发现协议以及OpenID提供者本身实际上能够很奇妙地基于OpenID认证请求计算出用户是谁。例如,尝试输入OpenID提供者(如www.yahoo.com)的名字在OpenID登录框中——你会看到一个不同的界面让你输入OpenID,因为你并没有在登录框中提供唯一的OpenID。很聪明!关注这个还有更多OpenID的规范,可以OpenID组织站点的规范页面(在开发者页面中),http://openid.net/developers/。】
一旦用户能够提供他拥有的声明标识符,OpenID提供者将会返回给请求拥有一个声明标识符的正规版本,这被叫做OpenID提供者本地标识符(OpenID Provider Local Identifier或OP-Local Identifier)。这是OpenID提供者表明用户的最终唯一标识符,也是到OpenID提供者的认证请求的返回值。所以,这就是JBCP Pets应该存储并用来区分用户的标识符。
Spring Security处理OpenID登录请求的流程如下图所示:
o.s.s.openid.OpenIDAuthenticationFilter负责监听/j_spring_openid_security_check这个URL并响应用户的登录请求,类似于UsernamePasswordAuthenticationFilter为/j_spring_security_check
URL所作的那样。从这个图我们可以看到o.s.s.openid.OpenID4JavaConsumer委托openid4java库构建最终重定向用户到OpenID提供者的URL。openid4java库(通过org.openid4java.consumer.ConsumerManager)还负责查找提供者,对此我们前面有所描述。
这个过滤器实际上负责OpenID认证的两个阶段——即格式化到OpenID提供者的重定向以及处理提供者的认证响应。OpenID提供者的响应是一个简单的GET请求,带有一系列定义良好的域,它们会被openid4java库处理并认证。你并会直接处理这些域,其中一些重要的如下:
域名 |
描述 |
openid.op_endpoint |
OpenID提供者用来校验的URL |
openid.claimed_id |
用户提供的OpenID声明标识符 |
openid.response_nonce |
提供者计算出的当前时间,用来创建签名 |
openid.sig |
OpenID的响应签名 |
openid.association |
根据请求者生成的一次性使用的相关数据,被用来计算签名并确定响应的合法性 |
openid.identifier |
OP-Local identifier |
我们将会了解这些域怎样用于校验响应的合法性。让我们看一下处理提供者的OpenID响应的几个相关者:
我们可以看到用户在提交凭证到OpenID提供者站点后,被重定向到/j_spring_openid_security_check。OpenIDAuthenticationFilter进行一些基本的检查以判断这个请求是OpenID请求(从JBCP Pets登录表达发起)还是一个提供者的合法OpenID响应。
一旦确定这个请求是OpenID响应,要进行一系列复杂的校验以保证响应的正确性和可靠性(参考随后的Is OpenID secure?章节以了解更多细节)。OpenID4JavaConsumer最终会返回一个填充不完整的o.s.s.openid.OpenIDAuthenticationToken对象,而它会被过滤器用来确定对响应的初始校验是否成功。这个token会被传递到AuthenticationManager中,而AuthenticationManager像处理其它Authentication对象那样处理它。
o.s.s.openid.OpenIDAuthenticationProvider最终负责跟本地存储进行的校验(如JdbcDaoImpl)。要记住的重要一点是,在数据存储中期望得到的包含OP-Local Identifier的用户名,它与用户提供的标识符并不一定一致——这是进行OpenID注册的问题关键。从这以下的处理流程与传统的用户名/密码认证很相似,最重要的是要从UserDetailsService取到正确的组和角色分配。
使用OpenID实现注册
对于启用了OpenID功能的JBCP Pets站点来说,用户要创建一个账号就要首先证明他们拥有自己所声明的标识符。所以,我们允许用户提供一个OpenID注册。我们已经添加了为标准的用户名和密码认证添加了注册流程,你可以通过页头上的“Registration”进行尝试。让我们扩展这个注册流程以允许用户使用OpenID来注册。
添加OpenID注册选项
首先,我们需要添加一个简单的表单到注册页上以允许用户输入和校验他们的OpenID标识,这个表单与登录的表单很相似(实际上,完全一致)。在registration.jsp中添加以下代码:
<h1>Or, Register with OpenID</h1> <p> Please use the form below to register your account with OpenID. </p> <form action="j_spring_openid_security_check" method="post"> <label for="openid_identifier">Login</label>: <input id="openid_identifier" name="openid_identifier" size="50" maxlength="100" type="text"/> <img src="images/openid.png" alt="OpenID"/> <br /> <input type="submit" value="Login"/> </form>
这个表单实际上与登录页的表单完全一样。那我们怎样区分登录和注册请求呢?
区分登录和注册请求
我们选择了一种很简单的方法来区分登录和注册请求。如果用户进行了一个成功的OpenID认证尝试,但是在我们的数据库中还没有他的账号,那我们就假设这是一个注册请求并把它加到数据库中。当然还可以完善这种方式(如,在用户创建账号之前显示确认信息),但是对于我们的例子来说,这就足够了。
我们会扩展标准的AuthenticationFailureHandler,在com.packtpub.springsecurity.security.OpenIDAuthenticationFailureHandler类中,如下:
package com.packtpub.springsecurity.security; // imports omitted public class OpenIDAuthenticationFailureHandler extends SimpleUrlAuthenticationFailureHandler { @Override public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response, AuthenticationException exception) throws IOException, ServletException { if(exception instanceof UsernameNotFoundException && exception.getAuthentication() instanceof OpenIDAuthenticationToken&& ((OpenIDAuthenticationToken)exception.getAuthentication()).getStatus().equals(OpenIDAuthenticationStatus.SUCCESS)) { DefaultRedirectStrategy redirectStrategy = new DefaultRedirectStrategy(); request.getSession(true).setAttribute("USER_OPENID_CREDENTIAL", ((UsernameNotFoundException)exception).getExtraInformation()); // redirect to create account page redirectStrategy.sendRedirect(request, response, "/registrationOpenid.do"); } else { super.onAuthenticationFailure(request, response, exception); } } }
我们可以看到这个代码扩展了父类的默认行为,在满足以下条件时将重定向用户到registrationOpenid.do:
l 用户遇到了UsernameNotFoundException;
l 用户已经被OpenID提供者成功认证(这通过检查OpenIDAuthenticationToken的OpenIDAuthenticationStatus属性值)。
这个代码将OpenID提供者返回的OP-Local Identifier值设置到session中,所以在被重定向到OpenID注册URL时还能取到。
配置自定义的认证失败处理器
我们需要配置这个认证失败处理器,只需要简单调整dogstore-security.xml中的<openid-login>声明:
<openid-login authentication-failure-handler-ref="openIdAuthFailureHandler"> <!-- The corresponding bean can be declared in dogstore-base.xml:--> <bean id="openIdAuthFailureHandler" class="com.packtpub.springsecurity.security.OpenIDAuthenticationFailureHandler"> <property name="defaultFailureUrl" value="/login.do"/> </bean>
defaultFailureUrl是用户遇到真正的登录失败时(如提供了非法的凭证信息),用户被重定向到的地址。
添加OpenID注册功能到控制器上
处理基于OpenID的注册很容易,添加到LoginLogoutController上就可以,这上面已经有了标准的用户名和密码注册:
@RequestMapping(method=RequestMethod.GET,value="/registrationOpenid.do") public String registrationOpenId(HttpServletRequest request) { String userId = (String) request.getSession().getAttribute("USER_OPENID_CREDENTIAL"); if(userId != null) { userService.createUser(userId, "unused", null); setMessage(request, "Your account has been created. Please log in using your OpenID."); return "redirect:login.do"; } else { setMessage(request, "Please register using your OpenID."); return "redirect:registration.do"; } }
接下来,我们要修改IuserService接口和UserServiceImpl实现来建立一个简单的createUser方法:
@Service public class UserServiceImpl implements IUserService { @Autowired CustomJdbcDaoImpl jdbcDao; // existing code omitted @Override public void createUser(String username, String password, String email) { jdbcDao.createUser(username, password, email); } }
你会发现我们也修改了@Autowired注解以明确引用CustomJdbcDaoImpl,我们需要在这个类中实现一个自定义的createUser,如下:
@Transactional public void createUser(String username, String password, String email) { getJdbcTemplate().update("insert into users(username, password, enabled, salt) values (?,?,true,CAST(RAND()*1000000000 AS varchar))", username, password); getJdbcTemplate().update("insert into group_members(group_id, username) select id,? from groups where group_name='Users'", username); }
你可能对SQL感到熟悉——这就是我们在第四章:凭证安全存储中原来初始化用户的。还记得我们创建DatabasePasswordSecurerBean再启动时为密码加salt?有了createUser方法,我们可以移除启动SQL了并且使用Java来初始化用户——你觉得我们应该怎样写代码来完成它呢?你为什么不试一试呢——这是一个很有效的练习来测试你对这方法的知识。
如果我们不是使用带salt域的自定义user表,我们可以简单的将CustomJdbcDaoImpl改为继承自JdbcUserDetailsManager(就像我们在第四章讨论的那样)并使用已经为我们实现的createUser方法:
public class CustomJdbcDaoImpl extends JdbcUserDetailsManager implements IChangePassword {
这会需要对UserServiceImpl做一些小的修改:
@Override public void createUser(String username, String password, String email) { GrantedAuthority roleUser = new GrantedAuthorityImpl("ROLE_USER"); UserDetails user = new User(username, password, true, true, true, true, Arrays.asList(roleUser)); jdbcDao.createUser(user); }
你可以看到有两种不同的方式注册用户,自定义和内置的。每种方法都能有效的处理OpenID注册问题。尽可以体验实例应用并选择你喜欢的方法。
一旦用户通过我们的IuserService功能建立,用户被重定向到首页并且可以登录了。如果你想增强用户体验,我们可以做一些代码修改,保持OpenIDAuthenticationToken到重定向并自动认证用户。
【注意,OP-Local identifiers可能会很长——实际上,OpenID 2.0规范并没有提供OP-Local identifier的一个最大长度。Spring Security默认的JDBC数据库模式提供了一个相对很小的用户名列(你可能会记得我们将它从默认值扩展到了100个字符)。取决于你的需要,你可能愿意进一步扩展用户名列以容纳长的标识,或者实现OpenID处理链上的子类(如OpenIDAuthenticationProvider或UserDetailsService)以正确处理太长的标识符。这可能包括将用户名拆为多列或存储被删节的URL和完整URL的哈希值。
要记住的是,认证不仅仅是基于OpenID标识数据库中的用户。有一些使用OpenID的站点比这更进一步,允许关联OpenID标识符和要进行认证的用户名(例如,允许多个OpenID关联相同的用户账号)。根据用户名提取出OpenID对于那些拥有不同提供者的多个OpenID且想在站点中使用的用户来说会有用——尽管这在一定程度上违背了OpenID的初衷,但它确实存在,你在设计使用OpenID站点的时候需要记住。】
除了凭证管理和中心认证,OpenID的另一个承诺就是对用户来说在一个地方管理其个人信息并对特定的站点有选择的释放信息。这可能会提供能够丰富的注册体验。让我们看一下属性交换期望如何解决这个问题。
发表评论
-
《Spring In Action》第三版译序
2013-07-12 12:19 3032《Spring In Action》第三 ... -
Tomcat源码解读系列(四)——Tomcat类加载机制概述
2012-09-23 22:23 10430声明:源码版本为Tomcat 6.0.35 ... -
Tomcat源码解读系列(三)——Tomcat对HTTP请求处理的整体流程
2012-09-09 22:34 6914声明:源码版本为Tomcat 6.0.35 前面的文章 ... -
Tomcat源码解读系列(二)——Tomcat的核心组成和启动过程
2012-09-02 16:59 6341声明:源码版本为Tom ... -
Tomcat源码解读系列(一)——server.xml文件的配置
2012-08-25 07:31 6439Tomcat是JEE开发人员最常用到的开发工具,在Jav ... -
Spring Security 3全文下载
2012-03-15 20:31 20366本书已经翻译完成,提供给大家下载 以下地址为ITEYE的电子 ... -
《Spring Security3》附录翻译(参考资料)
2012-02-13 22:58 6542附录:参考材料 在本附录中, ... -
《Spring Security3》第十三章翻译(迁移到Spring Security 3)
2012-02-13 22:50 5322第十三章 迁移到Spring Security 3 ... -
《Spring Security3》第十二章翻译(Spring Security扩展)
2012-02-13 22:38 7965第十二章 Spring Security扩展 ... -
《Spring Security3》第十一章(客户端证书认证)第二部分翻译
2012-02-13 22:23 4919在Spring Security中配置客户端证书认证 ... -
《Spring Security3》第十一章(客户端证书认证)第一部分翻译
2012-02-13 22:00 6198第十一章 客户端证书认证(Client Cert ... -
《Spring Security3》第十章(CAS)第二部分翻译(CAS高级配置)
2012-01-19 13:07 8626高级CAS配置 ... -
《Spring Security3》第十章(CAS)第一部分翻译(CAS基本配置)
2012-01-19 12:54 12333第十章 使用中心认证服务(CAS)进行单点登录 ... -
《Spring Security3》第九章(LDAP)第三部分翻译(LDAP明确配置)
2012-01-19 12:44 6447明确的LDAP bean配置 ... -
《Spring Security3》第九章(LDAP)第二部分翻译(LDAP高级配置)
2012-01-19 12:36 7178LDAP的高级配置 一旦我们 ... -
《Spring Security3》第九章(LDAP)第一部分翻译(LDAP基本配置)
2012-01-19 12:22 6174第九章 LDAP目录服务 在本章中,我们 ... -
《Spring Security3》第八章第三部分翻译(属性交换)
2012-01-18 15:46 2928属性交换(Attribute Exchange) ... -
《Spring Security3》第八章第一部分翻译(OpenID与Spring Security)
2012-01-17 22:38 7561第八章 对OpenID开放 OpenID是 ... -
《Spring Security3》第七章第三部分翻译(ACL的注意事项)
2012-01-17 22:25 2700典型ACL部署所要考虑的事情 ... -
《Spring Security3》第七章第二部分翻译(高级ACL)(下)
2012-01-17 22:17 4202支持ACL的Spring表达式语言 SpEL对A ...
相关推荐
第二章:springsecurity起步 第三章:增强用户体验 第四章:凭证安全存储 第五章:精确的访问控制 第六章:高级配置和扩展 第七章:访问控制列表(ACL) 第八章:对OpenID开放 第九章:LDAP目录服务 第十章:使用...
7. **API安全**:Spring Security还支持RESTful API的安全,可以为JSON Web Tokens (JWT) 提供生成和验证,以及OAuth2和OpenID Connect集成。 8. **国际化(Internationalization)**:框架支持多语言错误消息,...
- `spring-security-openid` 文件可能包含了一个OpenID身份验证的示例,这允许用户使用第三方服务(如Google或Yahoo)进行身份验证,增强了用户体验。 5. **X.509证书认证**: - `spring-security-x509` 演示了...
- **第2章:使用数据库管理用户权限** - **修改配置文件:** 更新Spring Security的配置文件,使其能够从数据库中读取用户信息和权限数据。 - **数据库表结构:** 设计并创建数据库表来存储用户信息和权限数据。 ...
第二部分 架构与实现 73 9.技术概述 73 9.1运行环境 73 9.2核心组件 74 9.2.1 SecurityContextHolder,SecurityContext和认证对象 74 获取有关当前用户的信息 75 9.2.2 UserDetailsService 75 9.2.3授予权力 77 ...
7. **OAuth2集成**:Spring Security 3.2.6开始支持OAuth2,这使得应用能够与其他OAuth2兼容的服务进行安全的授权交互,例如社交登录或第三方API访问。 8. **国际化**:框架支持多语言环境,使错误消息和登录界面...
第二章:介绍Spring Security(Introducing Spring Security) - Spring Security概述:解释Spring Security框架的作用以及如何在Spring应用中集成安全功能。 - 基础配置:介绍如何设置Spring Security的基本配置,...
Spring Security 提供了多种方式来处理用户的登出操作,包括使用 `LogoutHandler` 和 `LogoutSuccessHandler` 等。 ##### 3.6 认证 认证是安全系统的核心,Spring Security 提供了多种认证机制,包括内存认证、...
7. **OAuth2与OpenID Connect集成**:Spring Security 支持OAuth2和OpenID Connect,这两种标准用于第三方应用的授权。这使得用户可以通过单一登录(SSO)在多个应用间无缝切换。 8. **Web安全配置**:Spring ...
- Spring Security 3支持与其他身份验证服务集成,如OAuth用于API保护,OpenID用于第三方登录。 在"spring_security.sql"文件中,可能包含了创建上述数据库表的SQL脚本,用于演示Spring Security如何与数据库配合...
9. **spring-security-openid-3.1.4.RELEASE.jar**:支持OpenID协议,允许用户使用OpenID提供商的身份进行登录。 10. **spring-security-remoting-3.1.4.RELEASE.jar**:处理远程方法调用的安全性,如RMI、Hessian...
Spring Security OAuth2.0 具有良好的扩展性,可以与其他Spring生态组件如Spring Boot、Spring Cloud Security等无缝集成,同时支持多种认证协议,如OpenID Connect。 **8. 客户端库支持** Spring Security OAuth...