SpringによるRESTful認証

問題：
機密情報を含むSpring MVCベースのRESTful APIがあります。APIは保護する必要がありますが、各リクエストでユーザーの資格情報（ユーザー/パスの組み合わせ）を送信することは望ましくありません。RESTガイドライン（および内部のビジネス要件）に従って、サーバーはステートレスのままである必要があります。APIは、マッシュアップスタイルのアプローチで別のサーバーによって使用されます。

要件：

• クライアントは、.../authenticate資格情報を使用して（保護されていないURL）に要求を行います。サーバーは、サーバーが将来のリクエストを検証してステートレスを維持するのに十分な情報を含む安全なトークンを返します。これはおそらく、Spring SecurityのRemember-Meトークンと同じ情報で構成されます。

• クライアントは、さまざまな（保護された）URLへの後続の要求を作成し、以前に取得したトークンをクエリパラメーター（または、あまり望ましくないが、HTTP要求ヘッダー）として追加します。

• クライアントはクッキーを保存することを期待できません。

• すでにSpringを使用しているため、このソリューションではSpring Securityを利用する必要があります。

私たちはこの仕事をするために頭を壁にぶつけてきましたので、うまくいけば誰かがすでにこの問題を解決しているでしょう。

上記のシナリオで、この特定のニーズをどのように解決できますか？

OPで説明されているとおりにこれを機能させることができました。うまくいけば、他の誰かがソリューションを利用できるようになるでしょう。これが私たちがしたことです：

次のようにセキュリティコンテキストを設定します。

<security:http realm="Protected API" use-expressions="true" auto-config="false" create-session="stateless" entry-point-ref="CustomAuthenticationEntryPoint">
    <security:custom-filter ref="authenticationTokenProcessingFilter" position="FORM_LOGIN_FILTER" />
    <security:intercept-url pattern="/authenticate" access="permitAll"/>
    <security:intercept-url pattern="/**" access="isAuthenticated()" />
</security:http>

<bean id="CustomAuthenticationEntryPoint"
    class="com.demo.api.support.spring.CustomAuthenticationEntryPoint" />

<bean id="authenticationTokenProcessingFilter"
    class="com.demo.api.support.spring.AuthenticationTokenProcessingFilter" >
    <constructor-arg ref="authenticationManager" />
</bean>

ご覧のとおり、カスタムを作成しましたAuthenticationEntryPoint。これは基本的に401 Unauthorized、リクエストがによってフィルターチェーンで認証されなかった場合にを返すだけAuthenticationTokenProcessingFilterです。

CustomAuthenticationEntryPoint：

public class CustomAuthenticationEntryPoint implements AuthenticationEntryPoint {
    @Override
    public void commence(HttpServletRequest request, HttpServletResponse response,
            AuthenticationException authException) throws IOException, ServletException {
        response.sendError( HttpServletResponse.SC_UNAUTHORIZED, "Unauthorized: Authentication token was either missing or invalid." );
    }
}

AuthenticationTokenProcessingFilter：

public class AuthenticationTokenProcessingFilter extends GenericFilterBean {

    @Autowired UserService userService;
    @Autowired TokenUtils tokenUtils;
    AuthenticationManager authManager;

    public AuthenticationTokenProcessingFilter(AuthenticationManager authManager) {
        this.authManager = authManager;
    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response,
            FilterChain chain) throws IOException, ServletException {
        @SuppressWarnings("unchecked")
        Map<String, String[]> parms = request.getParameterMap();

        if(parms.containsKey("token")) {
            String token = parms.get("token")[0]; // grab the first "token" parameter

            // validate the token
            if (tokenUtils.validate(token)) {
                // determine the user based on the (already validated) token
                UserDetails userDetails = tokenUtils.getUserFromToken(token);
                // build an Authentication object with the user's info
                UsernamePasswordAuthenticationToken authentication = 
                        new UsernamePasswordAuthenticationToken(userDetails.getUsername(), userDetails.getPassword());
                authentication.setDetails(new WebAuthenticationDetailsSource().buildDetails((HttpServletRequest) request));
                // set the authentication into the SecurityContext
                SecurityContextHolder.getContext().setAuthentication(authManager.authenticate(authentication));         
            }
        }
        // continue thru the filter chain
        chain.doFilter(request, response);
    }
}

明らかに、TokenUtilsいくつかの重要な（そして非常にケース固有の）コードが含まれており、簡単に共有することはできません。ここにそのインターフェースがあります：

public interface TokenUtils {
    String getToken(UserDetails userDetails);
    String getToken(UserDetails userDetails, Long expiration);
    boolean validate(String token);
    UserDetails getUserFromToken(String token);
}

それであなたは良いスタートを切るはずです。ハッピーコーディング。:)

あなたはダイジェストアクセス認証を検討するかもしれません。基本的に、プロトコルは次のとおりです。

1. クライアントからのリクエスト
2. サーバーは一意のナンス文字列で応答します
3. クライアントは、ナンスでハッシュされたユーザー名とパスワード（およびその他のいくつかの値）md5を提供します。このハッシュはHA1として知られています
4. サーバーはクライアントの身元を確認し、要求された資料を提供することができます
5. nonceとの通信は、サーバーが新しいnonceを提供するまで継続できます（カウンターを使用してリプレイ攻撃を排除します）

このすべての通信はヘッダーを介して行われ、jmort253が指摘しているように、URLパラメーターで機密情報を通信するよりも一般的に安全です。

ダイジェストアクセス認証は、Spring Securityでサポートされています。クライアントのプレーンテキストパスワードにアクセスする必要があるとドキュメントに記載されていますが、クライアントのHA1ハッシュがあれば認証に成功することに注意してください。

情報を運ぶトークンに関しては、JSON Web Tokens（http://jwt.io）は素晴らしい技術です。主な概念は、情報要素（クレーム）をトークンに埋め込み、トークン全体に署名して、検証側がクレームが本当に信頼できることを確認できるようにすることです。

私はこのJava実装を使用しています：https : //bitbucket.org/b_c/jose4j/wiki/Home

Springモジュール（spring-security-jwt）もありますが、それがサポートするものについてはまだ調べていません。

JSON WebTokenでOAuthを使い始めませんか

http://projects.spring.io/spring-security-oauth/

OAuth2は、標準化された認証プロトコル/フレームワークです。公式のOAuth2 仕様に従って：

あなたはここでより多くの情報を見つけることができます