6

我正在使用 Spring Security 的 RememberMe 服务来保持用户的身份验证。

我想找到一种简单的方法将 RememberMe cookie 设置为会话 cookie,而不是使用固定的过期时间。对于我的应用程序,cookie 应该一直存在,直到用户关闭浏览器。

关于如何最好地实现这一点的任何建议?是否担心这是一个潜在的安全问题?

这样做的主要原因是,使用基于 cookie 的令牌,我们负载均衡器后面的任何服务器都可以为受保护的请求提供服务,而无需依赖存储在 HttpSession 中的用户身份验证。事实上,我已经明确告诉 Spring Security 永远不要使用命名空间创建会话。此外,我们使用的是 Amazon 的 Elastic Load Balancing,因此不支持粘性会话。

注意:虽然我知道截至 4 月 8 日,亚马逊现在支持粘性会话,但由于其他一些原因,我仍然不想使用它们。也就是说,一台服务器的过早关闭仍然会导致与其关联的所有用户的会话丢失。 http://aws.amazon.com/about-aws/whats-new/2010/04/08/support-for-session-stickiness-in-elastic-load-balancing/

4

2 回答 2

5

Spring Security 3 不提供 cookie 生成方式的配置。您必须覆盖默认行为:

import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import org.springframework.security.web.authentication.rememberme.PersistentTokenBasedRememberMeServices;

/** Cookie expires on session. */
 public class PersistentTokenBasedRememberMeServicesCustom extends
   PersistentTokenBasedRememberMeServices {

  /** only needed because super throws exception. */
  public PersistentTokenBasedRememberMeServicesCustom() throws Exception {
    super();
  }

  /** Copy of code of inherited class + setting cookieExpiration, */
  @Override
  protected void setCookie(String[] tokens, int maxAge,
      HttpServletRequest request, HttpServletResponse response) {
    String cookieValue = encodeCookie(tokens);
    Cookie cookie = new Cookie(getCookieName(), cookieValue);
    //cookie.setMaxAge(maxAge); 
    cookie.setPath("/");
    cookie.setSecure(false); // no getter available in super, so always false

    response.addCookie(cookie);
  }
}

确保通过将类名添加到它的 bean 配置中来 使用这个自定义的PersistentTokenBasedRememberMeServices记住MeService:

<beans:bean id="rememberMeServices"
 class="my.custom.spring.PersistentTokenBasedRememberMeServicesCustom"/>
于 2010-04-23T20:36:59.553 回答
3

为了让会话在负载平衡下正常工作,我会将您的会话数据存储在 sql 数据库中。

cookie 应该始终是一个过期的随机值。在某些情况下,您可以将状态存储为 cookie 值并且不会造成安全隐患,例如用户首选语言,但应尽可能避免这种情况。打开 HttpOnlyCookies 是个好主意。

阅读 A3:2010 年 OWASP 前 10 名中的“Broken Authentication and Session Management”。本节的一个重点是整个会话必须使用 https。如果会话持续很长时间,那么这一点就更重要了。

还要记住,“记住我”会创建一个大窗口,攻击者可以在其中“骑”会话。这给了攻击者很长的时间(几个月?),他可以在其中进行 CSRF 攻击。即使你有 CSRF 保护,攻击者仍然可以使用 XSS 和 XmlHttpRequest 进行会话(HttpOnlyCookies 将防止完全劫持)。“记住我”让 xss、csrf、嗅探等其他威胁更加严重。只要这些漏洞得到解决,那么您就不应该对现实世界的黑客有任何问题。

实现“记住我”功能的最简单(和安全)的方法是修改会话超时以使其非常大(几个月)。如果未选中“记住我”复选框,则存储具有新超时(登录后 1 天)的会话变量。请记住,即使 cookie 在关闭时被浏览器删除,会话在服务器端仍然处于活动状态。如果会话 id 被盗,那么它仍然可以使用。

于 2010-04-09T15:51:58.520 回答