401 neatļautu pavasara drošības kļūdu labošana React-Spring lietotnē ar pielāgotu autentifikāciju

401 neatļautu pavasara drošības kļūdu labošana React-Spring lietotnē ar pielāgotu autentifikāciju
401 neatļautu pavasara drošības kļūdu labošana React-Spring lietotnē ar pielāgotu autentifikāciju
Daniel Marino
Piektdiena, 2024. gada 15. novembris 10:32:33

Spring Security autentifikācijas problēmu atkļūdošana pielāgotās pieteikšanās ieviešanā

Sastapšanās ar 401 nesankcionētu kļūdu jūsu Spring Security projektā var būt nomākta, it īpaši, ja šķiet, ka pieteikšanās konfigurācija ir iestatīta pareizi. 😣 Daudzi izstrādātāji, ieviešot pielāgotu pieteikšanās lapu ārpus Spring Security noklusējuma, saskaras ar šo problēmu, mēģinot aizsargāt savas lietotnes aizmugursistēmas resursus.

Šī problēma var rasties, ja priekšgala ietvars, piemēram, React, pārvalda pieteikšanās lapu un sazinās ar aizmugursistēmu, apejot Spring Security uz veidlapu balstīto pieteikšanās iestatīšanu. Šādos iestatījumos Spring Security var neatpazīt autentificētu sesiju, kā rezultātā tiek liegta piekļuve, mēģinot izmantot aizsargātos resursus.

Šajā rakstā mēs apskatīsim šīs nesankcionētās piekļuves kļūdas biežākos iemeslus pēc šķietami veiksmīgas pieteikšanās. Izprotot Spring's SecurityContext un sesiju pārvaldības lomu, jūs iegūsit skaidrību par to, kā atrisināt šo problēmu, izmantojot pielāgotu iestatījumu.

Izpētīsim praktiskas stratēģijas, lai nodrošinātu, ka jūsu autentifikācijas loģika konsekventi nosaka pareizo sesijas stāvokli, nodrošinot vienmērīgu, autorizētu piekļuvi jūsu lietojumprogrammai. 🚀

Pavēli Lietošanas piemērs
sessionManagement Šī komanda konfigurē, kā Spring Security apstrādā HTTP sesijas. Izmantojot session.sessionCreationPolicy(SessionCreationPolicy.STATELESS), tiek nodrošināts, ka katrs pieprasījums tiek autentificēts atsevišķi, kas ir būtiski bezvalsts API, ko bieži izmanto iestatījumos, kuru pamatā ir REST, marķieri.
OncePerRequestFilter OncePerRequestFilter ir pavasara drošības filtrs, kas garantē vienu katra pieprasījuma izpildi. To izmanto pielāgotos autentifikācijas filtros, lai nodrošinātu, ka autentifikācijas loģika tiek konsekventi lietota katram pieprasījumam bez dublēšanas.
SecurityContextHolder Izsaucot SecurityContextHolder.getContext().setAuthentication(autentifikācija), šī komanda iestata autentificētā lietotāja informāciju drošības kontekstā, nodrošinot, ka Spring Security atpazīst lietotāju kā autentificētu pašreizējai sesijai.
DaoAuthenticationProvider Šī komanda jaunā DaoAuthenticationProvider() iestata autentifikāciju, izmantojot īpašu lietotāja informācijas pakalpojumu un paroles kodētāju, ļaujot veikt pielāgotu validāciju, pamatojoties uz lietotāju datu bāzi, un nodrošinot drošu paroļu apstrādi.
MockMvcRequestBuilders.post Šī komanda vienību testos simulē HTTP POST pieprasījumu, kā redzams failā mockMvc.perform(MockMvcRequestBuilders.post("/login")). Tas ļauj pārbaudīt Spring MVC kontrolierus, nosūtot HTTP pieprasījumus tieši uz kontroliera galapunktu.
authorizeHttpRequests Šī komanda norāda, kuriem pieprasījumiem ir nepieciešama autentifikācija un kuri ir publiski pieejami. Authorize.requestMatchers("/user/login").permitAll() ļauj piekļūt pieteikšanās un reģistrācijas galapunktiem bez akreditācijas datiem.
TokenProvider Lai ģenerētu un pārvaldītu JWT marķierus, tiek izmantota pielāgota klase, piemēram, TokenProvider. Šī klase ietver marķieru izveides loģiku, lai nodrošinātu modulāru, atkārtoti lietojamu un drošu marķieru apstrādi, kas ir ļoti svarīga marķieru autentifikācijai.
csrf().disable() Disabling CSRF is critical in stateless API configurations, particularly for REST APIs without session-based login. csrf(csrf ->CSRF atspējošana ir ļoti svarīga bezvalsts API konfigurācijās, īpaši REST API bez sesijas pieteikšanās. csrf(csrf -> csrf.disable()) parasti ir nepieciešams lietojumprogrammām, kuras izmanto marķieriem balstītu autentifikāciju, jo šajā gadījumā CSRF aizsardzība nav nepieciešama.
requestMatchers Šī komanda filtrē, kuri galapunkti atbilst noteiktiem drošības noteikumiem, piemēram, authorize.requestMatchers("/user/register"). Šeit to izmanto, lai izslēgtu reģistrācijas un pieteikšanās galapunktus no autentifikācijas prasībām.
usernamePasswordAuthenticationToken Šī komanda ir būtiska pielāgotajos autentifikācijas procesos. jauns UsernamePasswordAuthenticationToken() izveido autentifikācijas pilnvaru ar sniegtajiem akreditācijas datiem, ļaujot autentifikācijas pārvaldniekam pārbaudīt šos akreditācijas datus, salīdzinot ar saglabāto lietotāja informāciju.

Izpratne par pavasara drošības konfigurāciju pielāgotai pieteikšanās autentifikācijai

Norādītajā skriptā mēs redzam pielāgotu konfigurāciju apstrādei autentifikācija Spring Security, neizmantojot noklusējuma pieteikšanās veidlapu. Izveidojot atsevišķu SecurityFilterChain konfigurāciju, mēs iegūstam kontroli pār to, kuri galapunkti tiek aizsargāti un kā Spring pārvalda sesijas. Konfigurācija atspējo CSRF (Cross-Site Request Forgery) aizsardzību, kas ir izplatīta REST API, jo priekšgala ietvars (piemēram, React) sazinās, izmantojot drošus, uz marķieri balstītus pieprasījumus. Šeit galvenā ir komanda authorizeHttpRequests; tas nodrošina, ka konkrēti URL, piemēram, "/user/login" un "/user/register", ir pieejami visiem lietotājiem, vienlaikus ierobežojot citus pieprasījumus, piemēram, piekļuvi aizsargātajiem resursiem, tikai autentificētiem lietotājiem.

Mēs arī iestatām sesijas izveides politiku ar SessionCreationPolicy.IF_REQUIRED, kas ļauj izveidot sesiju tikai nepieciešamības gadījumā. Šī pieeja ir piemērota lietojumprogrammām, kurās daži pieprasījumi var būt balstīti uz sesiju balstītu autentifikāciju, bet citi (piemēram, tie, kuriem ir marķieri) ne. Piemēram, ja lietotājs piesakās, izmantojot React priekšgalu un sagaida pastāvīgu piekļuvi resursiem, šī sesijas politika nodrošina, ka, mainot maršrutus lietojumprogrammā, lietotājs nesaskaras ar atkārtotu atteikšanos. Tas ir īpaši noderīgi, lai apstrādātu gan sesijas, gan bezvalsts prasības atkarībā no tā, kā klients (lietotne React) mijiedarbojas ar aizmugursistēmas API.

Pakalpojumu klase ietver metodi, ko sauc par authenticateUser, kurā tiek izmantota AuthenticationManager pupiņa. Šis pupiņš ir konfigurēts ar DaoAuthenticationProvider un PasswordEncoder, kas ir būtiski, lai pārbaudītu lietotāja akreditācijas datus pret datu bāzi. Metode izsauc autentifikācijuManager.authenticate ar UsernamePasswordAuthenticationToken, mēģinot autentificēties, pamatojoties uz norādīto lietotājvārdu un paroli. Ja tas izdodas, Spring Security SecurityContextHolder saglabā šo autentificētā lietotāja sesiju. Tādā veidā, kad priekšgals veic citu pieprasījumu, Spring var izgūt lietotāja autentifikācijas statusu, neprasot atkārtotu verifikāciju.

Tomēr, neskatoties uz šo iestatījumu, ja sesija vai marķieris netiek pareizi uzturēts, var rasties tādas problēmas kā 401 neautorizēta kļūda. Piemēram, izmantojot REST API ar bezstāvokļa sesijām, šī iestatīšana var neizdoties, ja serveris nesaglabā autentifikāciju starp pieprasījumiem. Lai to atrisinātu, mēs varētu ieviest uz marķieri balstītu autentifikāciju, kur pēc pieteikšanās katrai pieprasījuma galvenei tiek pievienots ģenerēts marķieris, padarot sesiju neatkarīgu no servera. Testēšanas vidēs MockMvcRequestBuilders ļauj izstrādātājiem simulēt pieprasījumus un apstiprināt, ka pieteikšanās galapunkts pareizi atgriež autorizācijas pilnvaru. Pēc tam šo pilnvaru var izmantot turpmākajos pieprasījumos, ļaujot React priekšgalam piekļūt drošiem galapunktiem bez atkārtotas autentifikācijas, nodrošinot vienmērīgāku lietotāja pieredzi. 🔐

1. risinājums: atjauniniet pavasara drošības konfigurāciju bezvalsts sesiju pārvaldībai

Šī pieeja izmanto Spring Security bezvalsts sesiju politiku, lai atrisinātu sesiju pārvaldību REST API kontekstā, kas ir optimizēta vienas lapas lietojumprogrammām (SPA), piemēram, React. Šeit mēs pielāgojam SecurityFilterChain konfigurāciju, lai tā atbilstu REST API bezvalsts modelim.

@Bean
public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
    return http
        .csrf(csrf -> csrf.disable())  // Disable CSRF for REST APIs
        .authorizeHttpRequests(auth -> auth
            .requestMatchers("/user/register", "/user/login").permitAll()
            .anyRequest().authenticated()
        )
        .httpBasic(Customizer.withDefaults())
        .sessionManagement(session ->
            session.sessionCreationPolicy(SessionCreationPolicy.STATELESS)
        )
        .build();
}

2. risinājums. Pielāgots autentifikācijas filtrs uz marķieriem balstītai autentifikācijai

Šajā risinājumā pielāgots filtrs autentificē lietotāju un atbildes galvenē pievieno marķieri. Šis filtrs izmanto uz marķieri balstītu autentifikāciju, kas ir ideāli piemērota RESTful lietojumprogrammām un var nevainojami darboties ar React.

@Component
public class CustomAuthFilter extends OncePerRequestFilter {
    private final AuthenticationManager authenticationManager;
    public CustomAuthFilter(AuthenticationManager authManager) {
        this.authenticationManager = authManager;
    }
    @Override
    protected void doFilterInternal(HttpServletRequest request,
                                    HttpServletResponse response,
                                    FilterChain filterChain)
                                    throws ServletException, IOException {
        String authHeader = request.getHeader("Authorization");
        if (authHeader != null && authHeader.startsWith("Bearer ")) {
            String token = authHeader.substring(7);
            Authentication authentication = new UsernamePasswordAuthenticationToken(token, null);
            Authentication authResult = authenticationManager.authenticate(authentication);
            SecurityContextHolder.getContext().setAuthentication(authResult);
        }
        filterChain.doFilter(request, response);
    }
}

3. risinājums: pakalpojumu klases korekcijas un marķiera atbilde

Šī pakalpojuma ieviešana veiksmīgas pieteikšanās gadījumā nosūta JWT marķieri, izmantojot modulāru dizainu, lai nodrošinātu, ka katra funkcija ir pārbaudāma un atkārtoti lietojama visā lietojumprogrammā.

@Service
public class AuthenticationService {
    private final AuthenticationManager authenticationManager;
    private final TokenProvider tokenProvider; // Custom class for generating JWTs
    public AuthenticationService(AuthenticationManager authenticationManager,
                                 TokenProvider tokenProvider) {
        this.authenticationManager = authenticationManager;
        this.tokenProvider = tokenProvider;
    }
    public String authenticateAndGenerateToken(LoginDTO loginDTO) {
        Authentication authentication = authenticationManager
            .authenticate(new UsernamePasswordAuthenticationToken(loginDTO.getUserName(),
                                                                loginDTO.getPassword()));
        SecurityContextHolder.getContext().setAuthentication(authentication);
        return tokenProvider.createToken(authentication);
    }
}

Vienības pārbaude marķiera ģenerēšanai un autentifikācijai

Šis JUnit tests nodrošina, ka autentifikācija un marķiera ģenerēšana darbojas pareizi, un apstiprina autentifikāciju, lai piekļūtu drošiem resursiem.

@SpringBootTest
@AutoConfigureMockMvc
public class AuthenticationServiceTest {
    @Autowired
    private MockMvc mockMvc;
    @MockBean
    private AuthenticationService authenticationService;
    @Test
    public void testAuthenticateAndGenerateToken() throws Exception {
        LoginDTO loginDTO = new LoginDTO("user", "password");
        String token = authenticationService.authenticateAndGenerateToken(loginDTO);
        mockMvc.perform(MockMvcRequestBuilders.post("/login")
                .contentType(MediaType.APPLICATION_JSON)
                .content("{\\"userName\\":\\"user\\", \\"password\\":\\"password\\"}"))
                .andExpect(status().isOk())
                .andExpect(header().exists("Authorization"))
                .andExpect(content().string("Successfully Authenticated"));
    }
}

Sesijas izaicinājumu pārvarēšana bezvalstnieku pavasara drošības lietojumprogrammās

Gadījumos, kad Pavasara drošība ir konfigurēts bezvalsts API saziņai, sesiju pārvaldība var būt sarežģīta, it īpaši, ja tiek izmantota pielāgota pieteikšanās plūsma. Bezvalsts konfigurācijas nozīmē, ka katram pieprasījumam ideālā gadījumā vajadzētu būt savam autentifikācijas pilnvaram, ko serveris apstiprina neatkarīgi no iepriekšējiem pieprasījumiem. Tas atšķiras no tradicionālajiem uz sesijām balstītiem iestatījumiem, kuros lietotājs piesakās vienreiz un viņa sesija turpinās serverī. Izmantojot React frontends, ko parasti izmanto, lai apstrādātu autentifikāciju un nosūtītu pieteikšanās pieprasījumus, izmantojot REST API, integrācijai ir jānodrošina katra API pieprasījuma autentifikācija, bieži izmantojot marķierus, piemēram, JWT.

Kad Spring Security noklusējuma sesijas pārvaldība tiek aizstāta ar pielāgotu konfigurāciju, ir svarīgi saprast, kā iestatīt un uzturēt lietotāja autentifikāciju SecurityContextHolder. Viens veids, kā to novērst, ir izmantot pielāgotu autentifikācijas filtru, kas pārbauda pieprasījumu galvenēs iekļautos marķierus, nevis paļaujas uz sesijām. Ja jūsu lietojumprogrammai nepieciešama atkārtota lietotāja identifikācija bez sesijas noturības, iespējams, vēlēsities saglabāt marķieri lokāli priekšgalā un iekļaut to katra pieprasījuma galvenē. Tas novērš nepieciešamību serverim sekot līdzi sesijas stāvoklim, saskaņojot to ar bezstāvokļa dizaina modeli drošām un efektīvām RESTful API.

Turklāt atteikšanās funkcionalitātes ieviešana ir vēl viens aspekts, kas jāņem vērā bezvalsts lietojumprogrammās. Tā kā serverī nav sesijas, atteikšanās parasti ietver marķiera noņemšanu no klienta puses. Šajā scenārijā veiksmīga atteikšanās tiek panākta, vienkārši izmetot marķieri klienta lokālajā krātuvē un noraidot pieprasījumus ar marķieri serverī. Šī metode atbalsta augstākus drošības līmeņus, novēršot nesankcionētu piekļuvi bez servera puses sesijas apstrādes. Galu galā šī konfigurācija ir labi piemērota lietojumprogrammām, kurām prioritāte ir mērogojamība un drošība, īpaši, ja tā ir savienota pārī ar priekšgala ietvariem, piemēram, React, kas var efektīvi pārvaldīt marķieru krātuvi. 🚀

Bieži uzdotie jautājumi par pavasara drošības pielāgotās autentifikācijas problēmām

  1. Kāpēc es joprojām saņemu 401 neatļautu kļūdu pat pēc iestatīšanas SecurityContextHolder?
  2. Kļūda 401 bieži rodas, ja autentifikācijas konteksts nepastāv. Ja jūsu lietojumprogramma ir bezvalsts, izmantojiet uz marķieri balstītu autentifikāciju.
  3. Kā iespējot bezvalstnieku sesiju pārvaldību programmā Spring Security?
  4. Iestatīt SessionCreationPolicy.STATELESS tavā SecurityFilterChain lai nodrošinātu, ka katrs pieprasījums ir neatkarīgi autentificēts.
  5. Kāda ir loma DaoAuthenticationProvider pielāgotajā autentifikācijā?
  6. The DaoAuthenticationProvider pārbauda lietotāja akreditācijas datus, salīdzinot ar jūsu datu bāzi, un kodē paroles drošai autentifikācijai.
  7. Vai es varu izmantot JWT marķierus sesijas pārvaldībai programmā Spring Security?
  8. Jā, JWT marķieri ir ideāli piemēroti bezvalsts lietojumiem. Pēc autentifikācijas ģenerējiet marķieri un iekļaujiet to turpmāko pieprasījumu galvenē.
  9. Kā CSRF aizsardzība ietekmē bezvalsts API?
  10. CSRF aizsardzība parasti ir atspējota bezvalsts API, kas izmanto csrf().disable() jo tas nav nepieciešams API bez sesijām.
  11. Ko darīt, ja es vēlos atļaut publisku piekļuvi dažiem galapunktiem, piemēram, pieteikšanās vai reģistrēšanās?
  12. Izmantot authorizeHttpRequests un norādiet galapunktus, kuriem jābūt pieejamiem, neizmantojot autentifikāciju permitAll().
  13. Kā ar React glabāt žetonus klienta pusē?
  14. Glabājiet žetonus localStorage vai sessionStorage, pēc tam iekļaujiet tos katra pieprasījuma galvenē, lai nodrošinātu, ka aizmugursistēma var autentificēt katru pieprasījumu.
  15. Vai ir droši atspējot CSRF API?
  16. CSRF atspējošana API ir droša, ja jūsu lietotne paļaujas uz pilnvarām vai neizmanto sīkfailus, jo CSRF galvenokārt aizsargā pret uzbrukumiem, kuru pamatā ir sīkfaili.
  17. Kāda ir funkcija OncePerRequestFilter pielāgotajā autentifikācijā?
  18. Šis filtrs tiek izpildīts tikai vienu reizi vienā pieprasījumā, nodrošinot autentifikācijas loģikas konsekventu piemērošanu bez liekām pārbaudēm pieprasījuma ciklā.
  19. Kāpēc manu autentifikācijas pilnvaru var neatpazīt dažādos galapunktos?
  20. Pārliecinieties, ka esat iestatījis marķieri katra pieprasījuma galvenē un apstipriniet, ka tas ir pareizi apstiprināts serverī, izmantojot konsekventu marķiera verifikācijas procesu.
  21. Kā es varu pārbaudīt savu Spring Security konfigurāciju?
  22. Izmantot MockMvc savos testos, lai simulētu pieprasījumus, pārbaudītu autentifikācijas atbildes un apstiprinātu, ka aizsargātie galapunkti ir pieejami tikai pēc pieteikšanās.

Pēdējās domas par 401 kļūdu novēršanu pielāgotajā pavasara drošības autentifikācijā

Lai veiksmīgi nodrošinātu Spring balstītu lietojumprogrammu ar pielāgotu pieteikšanās lapu, ir nepieciešama rūpīga konfigurēšana, īpaši, ja tiek izmantotas bezvalsts sesijas vai uz marķieri balstītas pieejas. Integrējot ar React priekšgalu, nodrošinot, ka jūsu drošības konfigurācija atbilst RESTful, bezvalsts principiem, var izvairīties no sesijas problēmām.

No pārveidošanas SecurityFilterChain iestatījumus, lai ieviestu uz marķieriem balstītas plūsmas, katrai pieejai ir nozīme uzticamas autentifikācijas iestatīšanas izveidē. Izprotot sesiju pārvaldību, marķieru apstrādi un drošības kontekstu, jūs būsiet labi sagatavots, lai atrisinātu 401 neatļautu kļūdu savās Spring Security lietojumprogrammās. 🔒

Resursi un atsauces pielāgotas autentifikācijas ieviešanai Spring Security
  1. Lai iegūtu visaptverošu informāciju par Spring Security konfigurāciju un sesiju pārvaldību, skatiet Pavasara drošības oficiālā dokumentācija .
  2. Lai izprastu un ieviestu pielāgotās autentifikācijas plūsmas ar React priekšgalu, skatiet rokasgrāmatu vietnē Pavasara drošības un reakcijas pieteikšanās apmācība .
  3. Šī raksta konfigurācijas piemēri un Spring Boot iestatīšana ir balstīta uz ieskatiem no Baeldung pavasara drošības sesijas ceļvedis .