注册
登录
天网安防
Spring Security:按名称注销,锁定或禁用用户
返回
Spring Security:按名称注销,锁定或禁用用户
作者:
木木
发布时间:
2024-03-02 06:19:22 (4月前)
转自:
<div class =“excerpt”> 我有一个使用spring的测试应用程序 <span class =“result-highlight”> 安全 </跨度> 有3个用户[suzy,frank,julie]。我的应用程序将事件发送到外部 <span class =“result-highlight”> 安全 </跨度> 分析 <span class =“result-highlight”> 系统 </跨度> 。那 <span class =“result-highlight”> 系统 </跨度> 将事件分析到login登录页面 几点说明: 外部分析 <span class =“result-highlight”> 系统 </跨度> 正在检查春天的事情 <span class =“result-highlight”> 安全 </跨度> 不会检查(认为欺诈分析或类似的东西) “民意调查”检查基本上是一个 </DIV>
收藏
举报
2 条回复
0#
回复此人
没身份别烦我
|
2019-08-31 10-32
<div class =“post-text”itemprop =“text”> <P> 我将把它分解为你的两个问题: </p> <H1> 以编程方式记录用户 </H1> <P> 不幸的是,如果不以某种方式扩展核心API,我认为没有办法做到这一点。幸运的是,与核心API集成相当简单。 </p> <P> 我正在概述一些方法,因为我不确定“背景方法”是否提供了很多优势(稍后将详细介绍)。 </p> <H2> 自定义SecurityContextRepository </H2> <P> 在这个时候,我认为这是最好的方法。 </p> <P> 后台线程方法(根据请求)是有意义的,因此您在向应用程序发出请求时不必阻止。但是,如果没有某些共享数据存储,您将无法轻松地与另一个线程(更不用说在群集环境实例中的另一台计算机上的另一个进程)进行通信。 </p> <P> Spring Security获取当前用户的方式是使用 <code> SecurityContextRepository </code> 实现。默认实现从中获取用户 <code> HttpSession </code> 。你能做的是这样的: </p> <pre class="lang-java prettyprint-override"> <code> public class SecurityAnalyzerSecurityContextRepository implements SecurityContextRepository { private final SecurityAnalyzer securityAnalayzer; private final SecurityContextRepository delegate; public SecurityAnalyzerSecurityContextRepository(SecurityAnalyzer securityAnalyzer) { this(securityAnalyzer, new HttpSessionSecurityContextRepository()); } public SecurityAnalyzerSecurityContextRepository(SecurityAnalyzer securityAnalayzer, SecurityContextRepository delegate) { this.securityAnalayzer = securityAnalyzer; this.delegate = delegate; } public SecurityContext loadContext(HttpRequestResponseHolder requestResponseHolder) { SecurityContext context = delegate.loadContext(requestResponseHolder); Authentication authentication = context.getAuthentication(); if(authentication == null) { return context; } String principal = authentication.getName(); // your SecurityAnalyzer implementation would need implement isEvil if(securityAnalyzer.isEvil(principal)) { return SecurityContextHolder.createEmptyContext(); } return context; } public void saveContext(SecurityContext context, HttpServletRequest request, HttpServletResponse response) { delegate.saveContext(context, request, response); } public boolean containsContext(HttpServletRequest request) { return delegate.containsContext(request); } } </code> </pre> <P> 这个想法是你可以委托给现有的 <code> SecurityContextRepository </code> 并验证用户尚未被确定为邪恶。 </p> <P> 或者,你可以提供一个 <code> SecurityContextRepository </code> 从后台线程可以写入的存储加载的实现。无论哪种方式,都有阻止调用商店。 </p> <H2> 背景线程方法 </H2> <P> 的<strong> 注意 </强> :我不认为这是正确的方法,因此这个答案并不详细。 </p> <P> 第一步是编写轮询外部系统的后台任务。显然,Spring Security无法提供此步骤,因为它不知道如何与外部系统进行交互。 </p> <P> 这个代码可能类似于: </p> <pre class="lang-java prettyprint-override"> <code> SecurityAnalyzer analyzer = ... Set<String> evilUsernames = analyzer.getAndRemoveNewEvilUsernames(); ... what to do with evilUsernames? ... </code> </pre> <P> 现在的问题是如何处理evilUsernames。默认情况下,Spring Security将从中获取当前用户 <code> HttpSession </code> 。大多数Servlet容器都默认使用 <code> HttpSession </code> 实现持久到内存 <code> Map </code> 。 Spring Security无法获得对此的引用 <code> Map </code> 。 </p> <H3> 直接使用JSESSIONID </H3> <P> 一种选择是,如果我们能够为每个用户获取JSESSIONID,我们可以像这样提出请求: </p> <pre> <code> GET /j_spring_security_logout HTTP/1.1 Host: www.example.org Cookie: JSESSIONID=<some-id>; </code> </pre> <P> 如果启用CSRF保护,这会变得有点困难。为了让它工作,你需要暴露 <code> CsrfToken </code> 作为端点并进行调用以获取它: </p> <pre> <code> GET /csrf HTTP/1.1 Host: www.example.org Cookie: JSESSIONID=<some-id>; </code> </pre> <P> 然后使用响应,您可以使用令牌进行POST: </p> <pre> <code> POST /logout HTTP/1.1 Host: www.example.org Cookie: JSESSIONID=<some-id>; _csrf=<csrf-token> </code> </pre> <P> 此时您可能会问,但我怎么知道JSESSIONID?一种选择是使用Spring Security <a href="http://docs.spring.io/spring-security/site/docs/4.0.x/reference/htmlsingle/#concurrent-sessions" rel="nofollow"> 并发控制 </A> 。但是,开箱即用的实现不适用于集群实现。 </p> <P> 最终,需要将信息传递到SecurityAnalyzer并从SecurityAnalyzer返回,否则将需要自定义Spring Security API。 </p> <H3> 春季会议 </H3> <P> 一旦Spring Session增加支持 <a href="https://github.com/spring-projects/spring-session/issues/7" rel="nofollow"> 按用户标识查询会话 </A> ,您将能够通过用户名使会话无效。 </p> <P> 或者,如果SecurityAnalyzer知道会话ID,那么Spring Session现在可以正常工作。 </p> <H1> 锁定帐户 </H1> <P> 您还需要知道如何锁定帐户。 Spring Security提供了一种支持锁定帐户的机制。 </p> <P> 你可以使用 <code> UserDetailsManager </code> 实施更新 <code> UserDetails </code> 为了返回false <code> isAccountNonLocked </code> 。然后是Spring Security的 <code> DaoAuthenticationProvider </code> 将利用 <code> preAuthenticationChecks </code> 这可确保帐户未被锁定。 </p> <P> 如果你自己写的 <code> UserDetailsService </code> ,然后内置 <code> UserDetailsManager </code> 实现将无法工作,因此您需要更新您的用户模型以便自定义 <code> UserDetailsService </code> 创造一个 <code> UserDetailsService </code> 返回false为 <code> isAccountNonLocked </code> 。 </p> </DIV>
编辑
登录
后才能参与评论
