Команда Spring АйО перевела и адаптировала доклад Даниэля Гарнье-Муару “Spring Security Architecture Principles”, в котором на наглядных примерах рассказывается, как пользоваться возможностями Spring Security, не запутываясь на каждом шагу и не зарабатывая себе головную боль.
Доклад публикуется тремя частями. В первой части было рассказано об основных подходах к созданию цепочек фильтров, а также разработан простейший фильтр. Во второй части мы расскажем об Authentication объектах и продемонстрируем, как разработать специализированный фильтр для обеспечения доступа программы-робота к основному приложению.
Что такое Authentication объекты?
Когда пользователь вводит свое имя пользователя и пароль или использует Google для логина, что при этом делает Spring Security? Она создает объект типа Authentication. Объект типа Authentication — это интерфейс, использующийся для аутентификации и авторизации. Аутентификация — это процесс определения личности пользователя, его имя, дата рождения и т.д. Авторизация — это процесс определения того, что данному пользователю разрешено, например, можно ли ему входить в панель админа или удалять заказы.
В этой части мы в основном фокусируемся на первой составляющей, однако не забываем, что Authentication объект отвечает за оба процесса.
Это представлено в интерфейсе Authentication через наследование и работу с Authentication, как с Principal-like дата объектом. Principal — это пользователь, сущность, направляющая запрос, информация по его идентификации. Кроме того, этот интерфейс содержит GrantedAuthorities, представляющий набор скоупов/ролей/разрешений и т.д., который впоследствии используется для авторизации.. Если посмотреть на такого рода Authentication объект, мы увидим, что в нем есть метод getPrincipal():
Он возвращает объект. Мы знаем, что Spring Security — не самая типобезопасная библиотека в мире. Вам придется часто делать преобразования типов. Да, да, мы в курсе, увы и ах, но так сложилось исторически, начиная с 2004-го года, так что нам остается лишь принять эту ситуацию.
Пожалуйста, не перепутайте getPrincipal() с вот этим Principal вот отсюда:
В данном случае интерфейс
Authenticationрасширяет интерфейсPrincipal. ИнтерфейсPrincipal— это способ представления пользователя в Java из пакетаjava.security. Однако мы рекомендуем не углубляться в изучение этого вопроса: лучше оставаться в рамках мира Spring, где данный функционал реализован гораздо удобнее.
Помимо Principal в интерфейсе Authentication есть много других полезных вещей, в частности, метод isAuthenticated(). Когда вы конфигурируете свою цепочку фильтров таким образом, выполнялся только для тех пользователей, кто аутентифицирован, isAuthenticated() всегда будет возвращать значение true в процессе этой проверки для пользователей с не Anonymous-аутентификацией.
Кроме того, в данном интерфейсе присутствует переменная details — она делает следующее:
-
Хранит дополнительные детали запроса на аутентификацию. Это может быть IP адрес, серийный номер сертификата и т.д.
-
Возвращает дополнительные детали запроса на аутентификацию или
null, если не используется.
Также существует переменная credentials. Когда Authentication объект попадает в ваш контроллер, credentials всегда будут равны null. Это потому, что credentials являются сферой ответственности безопасности, и не должны быть видимы в тех частях приложения, где идет работа с бизнес-логикой. Мы не хотим, чтобы User объект оказался доступен приложению и впоследствии появился в логах консоли с токеном, видимым в простом текстовом формате.
Authentication объекты хранятся в SecurityContext, поэтому существует класс SecurityContextHolder, у которого есть метод getContext(). Это статический метод, который возвращает SecurityContext, содержащий объект Authentication.
По сути, в нашем контроллере мы заинжектировали Authentication объект:
@GetMapping("/private") public String privatePage(Model model, Authentication authentication) { model.addAttribute("name", getName(authentication)); return "private"; }Но вы можете получить его следующим образом:
var auth = SecurityContextHolder.getContext().getAuthentication();Объект auth должен быть точно равен authentication:
@GetMapping("/private") public String privatePage(Model model, Authentication authentication) { var auth = SecurityContextHolder.getContext().getAuthentication(); auth == authentication; model.addAttribute("name", getName(authentication)); return "private"; }Этот подход может быть полезен для вас, когда у вас есть дерево зависимостей с очень глубоким вложением, у вас есть сервис, который вызывает сервис, который вызывает сервис, и затем вы хотите провести проверку на безопасность в самом низу, не инжектируя Authentication на каждом уровне, вы можете получить authentication при помощи SecurityContext, как показано выше.
Кроме того, Spring Security может сделать @PreAuthorize.
@GetMapping("/private") @PreAuthorize("hasRole('admin')") public String privatePage(Model model, Authentication authentication) { var auth = SecurityContextHolder.getContext().getAuthentication(); auth == authentication; model.addAttribute("name", getName(authentication)); return "private"; }Данный код получит Authentication из контекста и затем сравнит актуальную роль со значением выражения, являющегося аргументом аннотации @PreAuthorize.
Мы учили в школе, не используйте статические выражения, это плохо, потому что это Global State, но в нашем случае это не настоящий Global State, он валиден только для текущего запроса, это глобальная переменная, локальная для потока. Если у меня есть два параллельных запроса, каждый из них имеет свой собственный SecurityContext, они изолированы друг от друга, и это безопасно.
Если вы посылаете работу другим потокам, вы потеряете вот это:
var auth = SecurityContextHolder.getContext().getAuthentication();потому что эта переменная является глобальной только в пределах потока запроса. Чтобы передавать SecurityContext в дочерние потоки или делиться им между потоками, необходимо явно указать подходящую стратегию в SecurityContextHolder, соответствующую вашим требованиям.
Следующий актуальный вопрос:: что является наиболее распространенной реализацией Authentication, о которой все знают? Ответ следующий: UsernamePasswordAuthenticationToken, и в связи с этим автор доклада советует следующее: не используйте UsernamePasswordAuthenticationToken, если у вас нет имени пользователя и пароля.
Существует множество реализаций Authentication, разработанные для разных сценариев использования. Довольно распространенная ошибка — это когда люди начинают работать со Spring Security, знакомятся со стандартной формой логина с именем пользователя и паролем, видят UsernamePasswordAuthenticationToken и начинают использовать этот класс повсеместно.
Гораздо лучше использовать специализированные реализации, например, для Oauth2, в каждом конкретном случае. Они все существуют и работают.
Как поменяется метод doFilter()?
Возвращаемся к уже знакомой цепочке фильтров:
public void doFilter( HttpServletRequest request, HttpServletResponse response, FilterChain chain ) { // 1. Before the request proceeds further (e.g. authentication or reject req) // ... // 2. Invoke the "rest" of the chain chain.doFilter(request, response); // 3. Once the request has been fully processed (e.g. cleanup) // ... }Как мы помним из первой части, так работает doFilter(), когда мы принимаем решение по безопасности. Когда наша задача состоит в том, чтобы аутентифицировать запрос, код выглядит несколько иначе:
public void doFilter( HttpServletRequest request, HttpServletResponse response, FilterChain chain ) { // 1. Decide whether the filter should be applied // 2. Apply filter: authenticate or reject request // 3. Invoke the "rest" of the chain chain.doFilter(request, response); // 4. No cleanup }Итак, в первую очередь вы решаете, должны ли вы применять фильтр или нет. Во вторую очередь вы получаете credentials и валидируете их. Если они валидны, вы создаете Authentication объект, если они не валидны, вы отклоняете запрос. Затем вы вызываете остаток цепочки и не делаете никакой зачистки, потому что зачистка — это очень узкий кейс. Мы сделаем это во фреймворке, но вам это, как правило, не требуется.
Пример фильтра
Давайте реализуем пример такого сценария. У нас замечательное приложение, у него есть публичная страница или приватная страница, но тут приходит SRE команда и говорит, “мы хотим проверять содержимое приватной страницы каждую ночь”. Можно было бы сделать следующее: написать скрипт на Python, который идет к форме, парсит форму, чтобы получить Csrf токен, делает POST запрос, получает сессию и так далее, но все это очень громоздко и не очень рационально. Давайте разработаем что-то попроще.
Начнем, как всегда, с фильтра. Назовем его RobotAuthenticationFilter. Он расширяет OncePerRequestFilter.
Мы всегда говорили, что первое — это решить, хотим ли мы применить фильтр. Второе — проверить credentials и на их основе аутентифицировать либо отклонить запрос. И третье — вызвать следующий фильтр.
class RobotAuthenticationFilter extends OncePerRequestFilter { @Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) { // 1. Decide whether we want to apply the filter? // 2. Check credentials and [authenticate | reject] // 3. Call next! } }Вызов следующего — это самая простая часть.
// 3. Call next! filterChain.doFilter(request, response);Зарегистрируем новый фильтр в нашем конфиге безопасности, он называется RobotAuthenticationFilter:
class SecurityConfig { SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception { .formLogin(l -> l.defaultSuccessUrl("/private")) .logout(l -> l.logoutSuccessUrl("/")) .oauth2Login(withDefaults()) .addFilterBefore(new ProhibidoFilter(), AuthorizationFilter.class) .addFilterBefore(new RobotAuthenticationFilter(), AuthorizationFilter.class) .build(); } }Мы пока что отложим первый пункт в сторонку и сделаем второй. Для credentials опять-таки мы сделаем заголовки (headers), потому что их легко продемонстрировать, новый заголовок называется x-robot-secret, и мы хотим, чтобы он был равен “beep-boop”, поэтому если он этому не равен, отклоняем запрос. В противном случае мы аутентифицируем запрос. Для сравнения заголовков воспользуемся Object.equals:
// 2. Check credentials and [authenticate | reject] if (!Objects.equals(request.getHeader("x-robot-secret"), "beep-boop")) { // reject the request } // authenticateМы уже писали код для отклонения запроса, поэтому можем скопировать его в новый метод, хотя лучше, конечно, всегда писать новый код с нуля, так надежнее:
// 2. Check credentials and [authenticate | reject] if (!Objects.equals(request.getHeader("x-robot-secret"), "beep-boop")) { response.setStatus(HttpStatus.FORBIDDEN.value()); response.setCharacterEncoding("UTF-8"); response.setHeader("Content-Type", "text/plain;charset=UTF-8"); response.getWriter().write("⛔⛔🤖🤖 You are not Ms Robot"); return; }Если вы посылаете x-robot-secret, но он не равен beep-boop, то запрос отклоняется и пользователь получает сообщение, “Вы не миссис Робот”. В противном случае мы аутентифицируем запрос. То есть нам нужен Authentication объект, соответственно, мы создаем класс RobotAuthenticationToken. Согласно принятой в Spring Security конвенции, реализации Authentication называются AuthenticationToken-ами, но на самом деле вы можете называть их, как хотите. Главное, чтобы они реализовывали интерфейс Authentication.
import org.springframework.security.core.Authentication; class RobotAuthenticationToken implements Authentication { //... }Если делать это вот так, в лоб, появится много методов, придется реализовывать самостоятельно. Чтобы избежать этого, используем более высокий уровень абстракции, а именно интерфейс AbstractAuthenticationToken.
class RobotAuthenticationToken extends AbstractAuthenticationToken { @Override public Object getCredentials() { return null; } @Override public Object getPrincipal() { return null; } }Такой подход значительно уменьшит количество методов под реализацию. Но нам все еще нужен конструктор, потому что мне надо знать разрешения (permissions) пользователя или сущности. Так что здесь в этом случае мы напишем:
public RobotAuthenticationToken() { super(AuthorityUtils.createAuthorityList("ROLE_robot")); }Итак, getCredentials() и setCredentials() будет null, а getPrincipal() — это детали запроса, и здесь мы вернем простую строку.
@Override public Object getPrincipal() { return "Ms Robot 🤖"; }Можно было бы получить более детализированный объект, но сейчас нам это не требуется, так как наша цель состоит в том, чтобы дать пользователю необходимый доступ.
И последнее, что необходимо сделать, это убедиться в том, что isAuthenticated равно true. Одна из вещей, которую я могу сделать, это установить isAuthenticated в true. Это можно было бы сделать следующим образом:
setAuthenticated(true);Но существует и другой паттерн, которому сейчас старается следовать команда Spring Security, а именно, делать объекты immutable, поэтому поменяем код методов, относящихся к аутентификации, следующим образом:
@Override public boolean isAuthenticated() { return true; } @Override public void setAuthenticated(boolean authenticated) { throw new RuntimeException("Can’t touch this!"); }Итак, у нас есть аутентификация, и я хочу использовать ее в фильтре. У нас есть auth, и мы хотим установить ее в SecurityContext, и это делается через создание нового контекста. И в новом контексте мы устанавливаем аутентификацию в auth, а в SecurityContext мы устанавливаем контекст в newContext. Код второго пункта в методе doFilterInternal() приобретает следующий вид:
// 2. Check credentials and [authenticate | reject] if (!Objects.equals(request.getHeader("x-robot-secret"), "beep-boop")) { response.setStatus(HttpStatus.FORBIDDEN.value()); response.setCharacterEncoding("UTF-8"); response.setHeader("Content-Type", "text/plain;charset=UTF-8"); response.getWriter().write("⛔⛔🤖🤖 You are not Ms Robot"); return; } var auth = new RobotAuthenticationToken(); var newContext = SecurityContextHolder.createEmptyContext(); newContext.setAuthentication(auth); SecurityContextHolder.setContext(newContext);Готово. Теперь попробуем попасть на закрытую страницу, отправив следующий запрос:
http :8080/private x-robot-secret:beep-boopОтветом является код закрытой страницы:
<head> <meta charset="UTF-8"> <title>🔐 Private Page [Spring Sec: The Good Parts]</title> <link rel="stylesheet" href="css/style.css"> <link rel="icon" href="/favicon.svg" type="image/svg+xml"> </head> <body> <h1>VIP section 🥳🎉🐒</h1> <p>Hello, ~[Ms Robot 🤖]~ !</p> <p>You are on the very exclusive private page.</p> <p></p> <form method="post" action="/logout"> <input name="_csrf" type="hidden" value="a3hPJ8McJRsI9e2Z6l9x4wCmBQTdWVCxCaasW9F1X-EVEtZ6Dxx_EPt9RCMIx9_63HJF0zKWKDy5PzGcOJ0bbbRAadkgIOYY"> <button class="btn" type="submit">Log out</button> </form> </body> </html>Если же SRE команда введет неверный пароль, в доступе будет отказано:
http :8080/private x-robot-secret:beep-beepСекрет неправильный, мы ввели beep-beep, мы не миссис Робот, и мы видим в консоли следующее:
HTTP/1.1 403 Cache-Control: no-cache, no-store, max-age=0, must-revalidate Connection: keep-alive Content-Length: 41 Content-Type: text/plain;charset=UTF-8 Date: Thu, 30 May 2024 10:34:53 GMT Expires: 0 Keep-Alive: timeout=60 Pragma: no-cache Vary: Origin Vary: Access-Control-Request-Method Vary: Access-Control-Request-Headers X-Content-Type-Options: nosniff X-Frame-Options: DENY X-XSS-Protection: 0 ⛔⛔🤖🤖 You are not Ms RobotЭто хорошо, но есть небольшая проблема. Наши пользователи будут не слишком счастливы, если при попытке зайти на главную страницу они получат следующую картину:
Это происходит потому, что браузер не посылает заголовок. И именно в этом месте нам необходимо реализовать первый пункт метода, там где необходимо принять решение, хотите ли мы применить фильтр. Мы аутентифицируем запрос от робота только тогда, когда присутствует заголовок x-robot-secret, поэтому пишем:
if (!Collections.list(request.getHeaderNames()).contains("x-robot-secret")) { //... }То есть, если это не содержится в заголовке, мы не пытаемся аутентифицировать запрос от робота, а просто сразу вызываем следующий фильтр в цепочке и используем return, чтобы не применять остаток фильтра.
// 1. Decide whether we want to apply the filter? if (!Collections.list(request.getHeaderNames()).contains("x-robot-secret")) { filterChain.doFilter(request, response); return; }И теперь остальные пользователи кроме миссис Робот могут использовать имя пользователя и пароль для входа в приложение, и это будет работать, но команда SRE имеет секрет, который они могут использовать, чтобы получить доступ к закрытой странице.
Одна из вещей, которая поменялась в Spring Security 6 для людей, которые использовали пятый, в прошлом, когда создавали новый контекст, он сохранялся, и вы получали cookie от сессии, чтобы пользователь оставался залогиненным. Этого больше не происходит по умолчанию по причинам тайминга и race condition. Так что если вы хотите сохранить эту сессию, эту Security, эту Authentication, в вашей сессии, вам понадобится репозиторий для сессии: HttpSessionSecurityContextRepository. По факту, SecurityContextRepository.
SecurityContextRepository scr; scr.saveContext(newContext, request, response);По умолчанию существует HttpSessionRequestRepository, который вы можете использовать, если хотите, чтобы логин сохранялся по всем запросам.
Соберем получившийся код воедино:
class RobotAuthenticationFilter extends OncePerRequestFilter { @Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) { // 1. Decide whether we want to apply the filter? if (!Collections.list(request.getHeaderNames()).contains("x-robot-secret")) { filterChain.doFilter(request, response); Return; } // 2. Check credentials and [authenticate | reject] if (!Objects.equals(request.getHeader("x-robot-secret"), "beep-boop")) { response.setStatus(HttpStatus.FORBIDDEN.value()); response.setCharacterEncoding("UTF-8"); response.setHeader("Content-Type", "text/plain;charset=UTF-8"); response.getWriter().write("⛔⛔🤖🤖 You are not Ms Robot"); return; } var auth = new RobotAuthenticationToken(); var newContext = SecurityContextHolder.createEmptyContext(); newContext.setAuthentication(auth); SecurityContextHolder.setContext(newContext); SecurityContextRepository scr; scr.saveContext(newContext, request, response); // 3. Call next! filterChain.doFilter(request, response); } }Подведем итоги
Давайте кратко просуммируем все сказанное выше.
-
Некоторые фильтры защищают от эксплойтов, некоторые создают объекты типа
Authentication. -
Они считывают запрос, проверяют креденшелы, если креденшелы валидны, они создают
Authenticationобъект, сохраняют его вSecurityContext, а если креденшелы неправильные, тогда они отклоняют запрос и возвращают ответ401,403или что-то наподобие. -
Не используйте
UsernamePasswordAuthenticationToken, если хотите сами попробовать воспроизвести приведенный выше сценарий. Используйте специализированные реализации.
Присоединяйтесь к русскоязычному сообществу разработчиков на Spring Boot в телеграм — Spring АйО, чтобы быть в курсе последних новостей из мира разработки на Spring Boot и всего, что с ним связано.
ссылка на оригинал статьи https://habr.com/ru/articles/911862/
Добавить комментарий