Popravljanje 401 nepooblaščenih varnostnih napak Spring v

Daniel Marino

Petek, 15. november 2024 11:26:25

Odpravljanje težav s preverjanjem pristnosti programa Spring Security pri izvedbah prijave po meri
Naleteti na napako 401 Unauthorized v vašem projektu Spring Security je lahko frustrirajuće, še posebej, če se zdi, da je konfiguracija za prijavo pravilno nastavljena. 😣 Številni razvijalci se med izvajanjem prijavne strani po meri zunaj privzete vrednosti Spring Security soočajo s to težavo, ko poskušajo zavarovati zaledne vire svoje aplikacije.
Ta težava se lahko pojavi, ko sprednji okvir, kot je React, upravlja stran za prijavo in komunicira z zaledjem, pri čemer obide nastavitev prijave na podlagi obrazca Spring Security. V takšnih nastavitvah Spring Security morda ne prepozna overjene seje, kar vodi do zavrnitve dostopa, ko poskušate uporabiti zaščitene vire.
V tem članku se bomo poglobili v pogoste vzroke za to napako nepooblaščenega dostopa po navidezno uspešni prijavi. Z razumevanjem vloge Springovega varnostnega konteksta in upravljanja sej vam bo jasno, kako rešiti to težavo v nastavitvi po meri.
Raziščimo praktične strategije za zagotovitev, da vaša logika preverjanja pristnosti dosledno nastavlja pravilno stanje seje, kar omogoča nemoten, pooblaščen dostop v vaši aplikaciji. 🚀

Ukaz Primer uporabe

sessionManagement Ta ukaz konfigurira, kako Spring Security obravnava seje HTTP. Uporaba session.sessionCreationPolicy(SessionCreationPolicy.STATELESS) zagotavlja, da je vsaka zahteva posebej overjena, kar je bistveno za API-je brez stanja, ki se pogosto uporabljajo v nastavitvah, ki temeljijo na REST in so overjene z žetoni.

OncePerRequestFilter OncePerRequestFilter je Spring Security filter, ki zagotavlja eno samo izvedbo na zahtevo. Uporablja se v filtrih za preverjanje pristnosti po meri, da se zagotovi dosledna uporaba logike preverjanja pristnosti za vsako zahtevo brez redundance.

SecurityContextHolder S klicem SecurityContextHolder.getContext().setAuthentication(authentication) ta ukaz nastavi podrobnosti o overjenem uporabniku v varnostnem kontekstu, s čimer zagotovi, da Spring Security prepozna uporabnika kot overjenega za trenutno sejo.

DaoAuthenticationProvider Ta ukaz new DaoAuthenticationProvider() nastavi preverjanje pristnosti z uporabo posebne storitve za podrobnosti uporabnika in kodirnika gesel, kar omogoča preverjanje po meri na podlagi baze podatkov uporabnikov in zagotavlja varno obdelavo gesel.

MockMvcRequestBuilders.post Ta ukaz v testih enot simulira zahtevo HTTP POST, kot je razvidno iz mockMvc.perform(MockMvcRequestBuilders.post("/login")). Omogoča testiranje krmilnikov Spring MVC s pošiljanjem zahtev HTTP neposredno na končno točko krmilnika.

authorizeHttpRequests Ta ukaz določa, katere zahteve zahtevajo avtentikacijo in katere so javno dostopne. authorize.requestMatchers("/user/login").permitAll() omogoča dostop do končnih točk za prijavo in registracijo brez poverilnic.

TokenProvider Za ustvarjanje in upravljanje žetonov JWT se uporablja razred po meri, kot je TokenProvider. Ta razred zajema logiko ustvarjanja žetonov, da se zagotovi modularno, ponovno uporabno in varno ravnanje z žetoni, ki je bistvenega pomena pri preverjanju pristnosti na osnovi žetonov.

csrf().disable() Disabling CSRF is critical in stateless API configurations, particularly for REST APIs without session-based login. csrf(csrf ->Onemogočanje CSRF je kritično pri konfiguracijah API-ja brez stanja, zlasti za API-je REST brez prijave na podlagi seje. csrf(csrf -> csrf.disable()) je običajno potreben za aplikacije, ki uporabljajo avtentikacijo na podlagi žetonov, saj zaščita CSRF v tem primeru ni potrebna.

requestMatchers Ta ukaz filtrira, katere končne točke se ujemajo z določenimi varnostnimi pravili, kot je authorize.requestMatchers("/user/register"). Tukaj se uporablja za izključitev končnih točk registracije in prijave iz zahtev za preverjanje pristnosti.

usernamePasswordAuthenticationToken Ta ukaz je bistven pri postopkih preverjanja pristnosti po meri. new UsernamePasswordAuthenticationToken() ustvari žeton za preverjanje pristnosti s podanimi poverilnicami, kar omogoča upravitelju preverjanja pristnosti, da te poverilnice preveri glede na shranjene podatke o uporabniku.

Ukaz	Primer uporabe
sessionManagement	Ta ukaz konfigurira, kako Spring Security obravnava seje HTTP. Uporaba session.sessionCreationPolicy(SessionCreationPolicy.STATELESS) zagotavlja, da je vsaka zahteva posebej overjena, kar je bistveno za API-je brez stanja, ki se pogosto uporabljajo v nastavitvah, ki temeljijo na REST in so overjene z žetoni.
OncePerRequestFilter	OncePerRequestFilter je Spring Security filter, ki zagotavlja eno samo izvedbo na zahtevo. Uporablja se v filtrih za preverjanje pristnosti po meri, da se zagotovi dosledna uporaba logike preverjanja pristnosti za vsako zahtevo brez redundance.
SecurityContextHolder	S klicem SecurityContextHolder.getContext().setAuthentication(authentication) ta ukaz nastavi podrobnosti o overjenem uporabniku v varnostnem kontekstu, s čimer zagotovi, da Spring Security prepozna uporabnika kot overjenega za trenutno sejo.
DaoAuthenticationProvider	Ta ukaz new DaoAuthenticationProvider() nastavi preverjanje pristnosti z uporabo posebne storitve za podrobnosti uporabnika in kodirnika gesel, kar omogoča preverjanje po meri na podlagi baze podatkov uporabnikov in zagotavlja varno obdelavo gesel.
MockMvcRequestBuilders.post	Ta ukaz v testih enot simulira zahtevo HTTP POST, kot je razvidno iz mockMvc.perform(MockMvcRequestBuilders.post("/login")). Omogoča testiranje krmilnikov Spring MVC s pošiljanjem zahtev HTTP neposredno na končno točko krmilnika.
authorizeHttpRequests	Ta ukaz določa, katere zahteve zahtevajo avtentikacijo in katere so javno dostopne. authorize.requestMatchers("/user/login").permitAll() omogoča dostop do končnih točk za prijavo in registracijo brez poverilnic.
TokenProvider	Za ustvarjanje in upravljanje žetonov JWT se uporablja razred po meri, kot je TokenProvider. Ta razred zajema logiko ustvarjanja žetonov, da se zagotovi modularno, ponovno uporabno in varno ravnanje z žetoni, ki je bistvenega pomena pri preverjanju pristnosti na osnovi žetonov.
csrf().disable()	Disabling CSRF is critical in stateless API configurations, particularly for REST APIs without session-based login. csrf(csrf ->Onemogočanje CSRF je kritično pri konfiguracijah API-ja brez stanja, zlasti za API-je REST brez prijave na podlagi seje. csrf(csrf -> csrf.disable()) je običajno potreben za aplikacije, ki uporabljajo avtentikacijo na podlagi žetonov, saj zaščita CSRF v tem primeru ni potrebna.
requestMatchers	Ta ukaz filtrira, katere končne točke se ujemajo z določenimi varnostnimi pravili, kot je authorize.requestMatchers("/user/register"). Tukaj se uporablja za izključitev končnih točk registracije in prijave iz zahtev za preverjanje pristnosti.
usernamePasswordAuthenticationToken	Ta ukaz je bistven pri postopkih preverjanja pristnosti po meri. new UsernamePasswordAuthenticationToken() ustvari žeton za preverjanje pristnosti s podanimi poverilnicami, kar omogoča upravitelju preverjanja pristnosti, da te poverilnice preveri glede na shranjene podatke o uporabniku.

Razumevanje spomladanske varnostne konfiguracije za preverjanje pristnosti prijave po meri

V priloženem skriptu vidimo konfiguracijo po meri za upravljanje v Spring Security brez uporabe privzetega obrazca za prijavo. Z ustvarjanjem ločenega konfiguracijo, pridobimo nadzor nad tem, katere končne točke so zaščitene in kako Spring upravlja seje. Konfiguracija onemogoči zaščito CSRF (Cross-Site Request Forgery), ki je pogosta v API-jih REST, saj ogrodje sprednjega dela (kot je React) komunicira z uporabo varnih zahtev, ki temeljijo na žetonih. Tukaj je ključen ukaz authorizeHttpRequests; zagotavlja, da so določeni URL-ji, kot sta »/user/login« in »/user/register«, odprti za vse uporabnike, medtem ko omejuje druge zahteve, kot je dostop do zaščitenih virov, samo na overjene uporabnike.

Nastavimo tudi politiko ustvarjanja seje s SessionCreationPolicy.IF_REQUIRED, ki dovoljuje ustvarjanje seje le, kadar je to potrebno. Ta pristop ustreza aplikacijam, kjer se nekatere zahteve lahko zanašajo na preverjanje pristnosti na podlagi seje, druge (na primer tiste z žetoni) pa ne. Na primer, če se uporabnik prijavi prek vmesnika React in pričakuje stalen dostop do virov, ta pravilnik seje zagotavlja, da se uporabnik med preklapljanjem poti v aplikaciji ne sooči s ponavljajočimi se odjavami. Zlasti je uporabno za obravnavo zahtev seje in brez stanja, odvisno od tega, kako odjemalec (aplikacija React) komunicira z zalednim API-jem.

Storitveni razred vključuje metodo, imenovano authenticateUser, kjer pride v poštev gradnik AuthenticationManager. Ta gradnik je konfiguriran z DaoAuthenticationProvider in PasswordEncoder, ki sta bistvena za preverjanje uporabniških poverilnic glede na bazo podatkov. Metoda pokliče authenticationManager.authenticate z UsernamePasswordAuthenticationToken, ki poskuša preveriti pristnost na podlagi podanega uporabniškega imena in gesla. Če je uspešen, Spring Security's SecurityContextHolder zadrži sejo tega overjenega uporabnika. Na ta način lahko Spring, ko sprednji del poda še eno zahtevo, pridobi stanje preverjanja pristnosti uporabnika, ne da bi zahteval ponovno preverjanje.

Kljub tej nastavitvi pa lahko pride do težav, kot je prejemanje napake 401 Nepooblaščeno, če seja ali žeton ni pravilno vzdrževan. Na primer, pri uporabi API-ja REST s sejami brez stanja lahko ta nastavitev ne uspe, če strežnik ne obdrži avtentikacije med zahtevami. Da bi rešili to težavo, bi lahko implementirali avtentikacijo na podlagi žetonov, kjer je ustvarjeni žeton priložen vsaki glavi zahteve po prijavi, zaradi česar je seja neodvisna od strežnika. V testnih okoljih MockMvcRequestBuilders razvijalcem omogoča simulacijo zahtev in potrditev, da prijavna končna točka pravilno vrne avtorizacijski žeton. Ta žeton se lahko nato uporabi v nadaljnjih zahtevah, kar omogoči vmesniku React dostop do zaščitenih končnih točk brez ponovnega preverjanja pristnosti, kar zagotavlja bolj gladko uporabniško izkušnjo. 🔐

1. rešitev: Posodobitev Spring varnostne konfiguracije za upravljanje sej brez stanja

Ta pristop uporablja pravilnik o sejah Spring Security brez stanja za razrešitev upravljanja sej v kontekstu REST API, ki je optimiziran za enostranske aplikacije (SPA), kot je React. Tukaj prilagodimo konfiguracijo SecurityFilterChain, da se ujema z modelom REST API brez stanja.

@Bean
public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
    return http
        .csrf(csrf -> csrf.disable())  // Disable CSRF for REST APIs
        .authorizeHttpRequests(auth -> auth
            .requestMatchers("/user/register", "/user/login").permitAll()
            .anyRequest().authenticated()
        )
        .httpBasic(Customizer.withDefaults())
        .sessionManagement(session ->
            session.sessionCreationPolicy(SessionCreationPolicy.STATELESS)
        )
        .build();
}

2. rešitev: Filter za preverjanje pristnosti po meri za preverjanje pristnosti na podlagi žetonov

V tej rešitvi filter po meri overi uporabnika in priloži žeton v glavo odgovora. Ta filter uporablja avtentikacijo na podlagi žetonov, ki je idealna za aplikacije RESTful in lahko brezhibno deluje z Reactom.

@Component
public class CustomAuthFilter extends OncePerRequestFilter {
    private final AuthenticationManager authenticationManager;
    public CustomAuthFilter(AuthenticationManager authManager) {
        this.authenticationManager = authManager;
    }
    @Override
    protected void doFilterInternal(HttpServletRequest request,
                                    HttpServletResponse response,
                                    FilterChain filterChain)
                                    throws ServletException, IOException {
        String authHeader = request.getHeader("Authorization");
        if (authHeader != null && authHeader.startsWith("Bearer ")) {
            String token = authHeader.substring(7);
            Authentication authentication = new UsernamePasswordAuthenticationToken(token, null);
            Authentication authResult = authenticationManager.authenticate(authentication);
            SecurityContextHolder.getContext().setAuthentication(authResult);
        }
        filterChain.doFilter(request, response);
    }
}

3. rešitev: Prilagoditve storitvenega razreda in odziv žetona

Ta izvedba storitve ob uspešni prijavi pošlje žeton JWT z uporabo modularne zasnove, ki zagotavlja, da je vsako funkcijo mogoče preizkusiti in ponovno uporabiti v celotni aplikaciji.

@Service
public class AuthenticationService {
    private final AuthenticationManager authenticationManager;
    private final TokenProvider tokenProvider; // Custom class for generating JWTs
    public AuthenticationService(AuthenticationManager authenticationManager,
                                 TokenProvider tokenProvider) {
        this.authenticationManager = authenticationManager;
        this.tokenProvider = tokenProvider;
    }
    public String authenticateAndGenerateToken(LoginDTO loginDTO) {
        Authentication authentication = authenticationManager
            .authenticate(new UsernamePasswordAuthenticationToken(loginDTO.getUserName(),
                                                                loginDTO.getPassword()));
        SecurityContextHolder.getContext().setAuthentication(authentication);
        return tokenProvider.createToken(authentication);
    }
}

Preizkus enote za generiranje žetonov in avtentikacijo

Ta preizkus JUnit zagotavlja pravilno delovanje avtentikacije in ustvarjanja žetonov ter preverjanje pristnosti za dostop do varnih virov.

@SpringBootTest
@AutoConfigureMockMvc
public class AuthenticationServiceTest {
    @Autowired
    private MockMvc mockMvc;
    @MockBean
    private AuthenticationService authenticationService;
    @Test
    public void testAuthenticateAndGenerateToken() throws Exception {
        LoginDTO loginDTO = new LoginDTO("user", "password");
        String token = authenticationService.authenticateAndGenerateToken(loginDTO);
        mockMvc.perform(MockMvcRequestBuilders.post("/login")
                .contentType(MediaType.APPLICATION_JSON)
                .content("{\\"userName\\":\\"user\\", \\"password\\":\\"password\\"}"))
                .andExpect(status().isOk())
                .andExpect(header().exists("Authorization"))
                .andExpect(content().string("Successfully Authenticated"));
    }
}

Premagovanje izzivov sej v varnostnih aplikacijah Spring brez stanja

V primerih, ko je konfiguriran za komunikacijo API-ja brez stanja, je upravljanje sej lahko težavno, zlasti pri uporabi toka prijave po meri. Konfiguracije brez stanja pomenijo, da bi morala vsaka zahteva v idealnem primeru nositi lasten žeton za preverjanje pristnosti, ki ga strežnik potrdi neodvisno od prejšnjih zahtev. To se razlikuje od tradicionalnih nastavitev, ki temeljijo na seji, kjer se uporabnik prijavi enkrat, njegova seja pa ostane na strežniku. Ker se vmesniki React običajno uporabljajo za preverjanje pristnosti in pošiljanje zahtev za prijavo prek REST API-jev, mora integracija zagotoviti, da je vsaka zahteva API-ja overjena, pogosto z uporabo žetonov, kot so JWT.

Ko je privzeto upravljanje sej Spring Security nadomeščeno s konfiguracijo po meri, je bistveno razumeti, kako nastaviti in vzdrževati avtentikacijo uporabnika znotraj . Eden od načinov za reševanje tega je uporaba filtra za preverjanje pristnosti po meri, ki preveri žetone, vključene v glave zahtev, namesto da bi se zanašal na seje. Če vaša aplikacija zahteva ponavljajočo se identifikacijo uporabnika brez obstojnosti seje, boste morda želeli žeton shraniti lokalno na čelni strani in ga vključiti v glavo vsake zahteve. To odpravlja potrebo, da bi strežnik spremljal stanje seje, kar je usklajeno z modelom zasnove brez stanja za varne in učinkovite API-je RESTful.

Poleg tega je implementacija funkcije odjave še en vidik, ki ga je treba upoštevati pri aplikacijah brez stanja. Ker na strežniku ne obstaja nobena seja, odjava običajno vključuje odstranitev žetona s strani odjemalca. V tem scenariju se uspešna odjava doseže tako, da preprosto zavržete žeton v odjemalčevem lokalnem pomnilniku in zavrnete zahteve z žetonom na strežniku. Ta metoda podpira višje ravni varnosti s preprečevanjem nepooblaščenega dostopa brez obravnavanja seje na strani strežnika. Navsezadnje je ta konfiguracija zelo primerna za aplikacije, ki dajejo prednost razširljivosti in varnosti, zlasti v povezavi s sprednjimi okviri, kot je React, ki lahko učinkovito upravljajo shranjevanje žetonov. 🚀

Zakaj še vedno prejemam napako 401 Nepooblaščeno tudi po nastavitvi ?
Napaka 401 se pogosto pojavi, če kontekst preverjanja pristnosti ne obstaja. Prepričajte se, da uporabljate preverjanje pristnosti na podlagi žetonov, če je vaša aplikacija brez stanja.
Kako omogočim upravljanje sej brez stanja v Spring Security?
Set v tvojem zagotoviti, da je vsaka zahteva neodvisno overjena.
Kakšna je vloga pri preverjanju pristnosti po meri?
The preveri uporabniške poverilnice glede na vašo bazo podatkov in kodira gesla za varno preverjanje pristnosti.
Ali lahko uporabim žetone JWT za upravljanje sej v Spring Security?
Da, žetoni JWT so idealni za aplikacije brez stanja. Po preverjanju pristnosti ustvarite žeton in ga vključite v glavo za nadaljnje zahteve.
Kako zaščita CSRF vpliva na API-je brez stanja?
Zaščita CSRF je običajno onemogočena pri uporabi API-jev brez stanja ker je nepotreben za API-je brez sej.
Kaj pa, če želim dovoliti javni dostop do nekaterih končnih točk, kot sta prijava ali registracija?
Uporaba in določite končne točke, ki naj bodo dostopne brez uporabe avtentikacije .
Kako shranim žetone na strani odjemalca z React?
Shranite žetone v oz , nato jih vključite v glavo vsake zahteve, da zagotovite, da lahko zaledje preveri pristnost vsake zahteve.
Ali je varno onemogočiti CSRF za API-je?
Onemogočanje CSRF za API-je je varno, če se vaša aplikacija zanaša na žetone ali ne uporablja piškotkov, saj CSRF v glavnem ščiti pred napadi na podlagi piškotkov.
Kakšna je funkcija pri preverjanju pristnosti po meri?
Ta filter se izvede samo enkrat na zahtevo, kar zagotavlja, da se logika preverjanja pristnosti uporablja dosledno brez odvečnih preverjanj v ciklu zahteve.
Zakaj moj žeton za preverjanje pristnosti morda ni prepoznan na različnih končnih točkah?
Prepričajte se, da ste nastavili žeton v glavi vsake zahteve in potrdite, da je pravilno preverjen na strežniku z doslednim postopkom preverjanja žetona.
Kako lahko preizkusim svojo Spring Security konfiguracijo?
Uporaba v svojih preizkusih za simulacijo zahtev, preverite odgovore pri preverjanju pristnosti in potrdite, da so zaščitene končne točke dostopne samo po prijavi.

Uspešno varovanje aplikacije, ki temelji na Springu, s stranjo za prijavo po meri zahteva skrbno konfiguracijo, zlasti če uporabljate seje brez stanja ali pristope, ki temeljijo na žetonih. Pri integraciji s sprednjim delom React lahko zagotovite, da je vaša varnostna konfiguracija usklajena z načeli RESTful, brez stanja, da se izognete težavam s sejo.

Od spreminjanja nastavitev za izvajanje tokov, ki temeljijo na žetonih, igra vsak pristop svojo vlogo pri ustvarjanju zanesljive nastavitve preverjanja pristnosti. Z razumevanjem upravljanja sej, ravnanja z žetoni in varnostnega konteksta boste dobro opremljeni za reševanje napak 401 Unauthorized v svojih aplikacijah Spring Security. 🔒

Za izčrpne podrobnosti o konfiguraciji Spring Security in upravljanju sej glejte Uradna dokumentacija spomladanske varnosti .
Če želite razumeti in implementirati tokove preverjanja pristnosti po meri s sprednjim delom React, glejte vodnik na Spring Varnost in Vadnica za prijavo v React .
Primeri konfiguracije tega članka in nastavitev Spring Boot temeljijo na vpogledih iz Baeldung Spring Security Session Guide .

Popravljanje 401 nepooblaščenih varnostnih napak Spring v aplikaciji React-Spring s preverjanjem pristnosti po meri