幾種常用的認(rèn)證機(jī)制

HTTP Basic Auth

HTTP Basic Auth簡(jiǎn)單點(diǎn)說(shuō)明就是每次請(qǐng)求API時(shí)都提供用戶的username和password，簡(jiǎn)言之，Basic Auth是配合RESTful API 使用的最簡(jiǎn)單的認(rèn)證方式，只需提供用戶名密碼即可，但由于有把用戶名密碼暴露給第三方客戶端的風(fēng)險(xiǎn)，在生產(chǎn)環(huán)境下被使用的越來(lái)越少。因此，在開發(fā)對(duì)外開放的RESTful API時(shí)，盡量避免采用HTTP Basic Auth

OAuth

OAuth（開放授權(quán)）是一個(gè)開放的授權(quán)標(biāo)準(zhǔn)，允許用戶讓第三方應(yīng)用訪問(wèn)該用戶在某一web服務(wù)上存儲(chǔ)的私密的資源（如照片，視頻，聯(lián)系人列表），而無(wú)需將用戶名和密碼提供給第三方應(yīng)用。

OAuth允許用戶提供一個(gè)令牌，而不是用戶名和密碼來(lái)訪問(wèn)他們存放在特定服務(wù)提供者的數(shù)據(jù)。每一個(gè)令牌授權(quán)一個(gè)特定的第三方系統(tǒng)（例如，視頻編輯網(wǎng)站)在特定的時(shí)段（例如，接下來(lái)的2小時(shí)內(nèi)）內(nèi)訪問(wèn)特定的資源（例如僅僅是某一相冊(cè)中的視頻）。這樣，OAuth讓用戶可以授權(quán)第三方網(wǎng)站訪問(wèn)他們存儲(chǔ)在另外服務(wù)提供者的某些特定信息，而非所有內(nèi)容
下面是OAuth2.0的流程：

這種基于OAuth的認(rèn)證機(jī)制適用于個(gè)人消費(fèi)者類的互聯(lián)網(wǎng)產(chǎn)品，如社交類APP等應(yīng)用，但是不太適合擁有自有認(rèn)證權(quán)限管理的企業(yè)應(yīng)用；

Cookie Auth

Cookie認(rèn)證機(jī)制就是為一次請(qǐng)求認(rèn)證在服務(wù)端創(chuàng)建一個(gè)Session對(duì)象，同時(shí)在客戶端的瀏覽器端創(chuàng)建了一個(gè)Cookie對(duì)象；通過(guò)客戶端帶上來(lái)Cookie對(duì)象來(lái)與服務(wù)器端的session對(duì)象匹配來(lái)實(shí)現(xiàn)狀態(tài)管理的。默認(rèn)的，當(dāng)我們關(guān)閉瀏覽器的時(shí)候，cookie會(huì)被刪除。但可以通過(guò)修改cookie 的expire time使cookie在一定時(shí)間內(nèi)有效；

Token Auth

Token Auth的優(yōu)點(diǎn)

Token機(jī)制相對(duì)于Cookie機(jī)制又有什么好處呢？

• 支持跨域訪問(wèn): Cookie是不允許垮域訪問(wèn)的，這一點(diǎn)對(duì)Token機(jī)制是不存在的，前提是傳輸?shù)挠脩粽J(rèn)證信息通過(guò)HTTP頭傳輸.
• 無(wú)狀態(tài)(也稱：服務(wù)端可擴(kuò)展行):Token機(jī)制在服務(wù)端不需要存儲(chǔ)session信息，因?yàn)門oken 自身包含了所有登錄用戶的信息，只需要在客戶端的cookie或本地介質(zhì)存儲(chǔ)狀態(tài)信息.
• 更適用CDN: 可以通過(guò)內(nèi)容分發(fā)網(wǎng)絡(luò)請(qǐng)求你服務(wù)端的所有資料（如：javascript，HTML,圖片等），而你的服務(wù)端只要提供API即可.
• 去耦: 不需要綁定到一個(gè)特定的身份驗(yàn)證方案。Token可以在任何地方生成，只要在你的API被調(diào)用的時(shí)候，你可以進(jìn)行Token生成調(diào)用即可.
• 更適用于移動(dòng)應(yīng)用: 當(dāng)你的客戶端是一個(gè)原生平臺(tái)（iOS, Android，Windows 8等）時(shí)，Cookie是不被支持的（你需要通過(guò)Cookie容器進(jìn)行處理），這時(shí)采用Token認(rèn)證機(jī)制就會(huì)簡(jiǎn)單得多。
• CSRF:因?yàn)椴辉僖蕾囉贑ookie，所以你就不需要考慮對(duì)CSRF（跨站請(qǐng)求偽造）的防范。
• 性能: 一次網(wǎng)絡(luò)往返時(shí)間（通過(guò)數(shù)據(jù)庫(kù)查詢session信息）總比做一次HMACSHA256計(jì)算 的Token驗(yàn)證和解析要費(fèi)時(shí)得多.
• 不需要為登錄頁(yè)面做特殊處理: 如果你使用Protractor 做功能測(cè)試的時(shí)候，不再需要為登錄頁(yè)面做特殊處理.
• 基于標(biāo)準(zhǔn)化:你的API可以采用標(biāo)準(zhǔn)化的 JSON Web Token (JWT). 這個(gè)標(biāo)準(zhǔn)已經(jīng)存在多個(gè)后端庫(kù)（.NET, Ruby, Java,Python, PHP）和多家公司的支持（如：Firebase,Google, Microsoft）.
  

基于JWT的Token認(rèn)證機(jī)制實(shí)現(xiàn)

JSON Web Token（JWT）是一個(gè)非常輕巧的規(guī)范。這個(gè)規(guī)范允許我們使用JWT在用戶和服務(wù)器之間傳遞安全可靠的信息。其

JWT的組成

一個(gè)JWT實(shí)際上就是一個(gè)字符串，它由三部分組成，頭部、載荷與簽名。

載荷（Payload）

{ "iss": "Online JWT Builder", 
 "iat": 1416797419, 
 "exp": 1448333419, 
 "aud": "www.example.com", 
 "sub": "jrocket@example.com", 
 "GivenName": "Johnny", 
 "Surname": "Rocket", 
 "Email": "jrocket@example.com", 
 "Role": [ "Manager", "Project Administrator" ] 
}

• iss: 該JWT的簽發(fā)者，是否使用是可選的；
• sub: 該JWT所面向的用戶，是否使用是可選的；
• aud: 接收該JWT的一方，是否使用是可選的；
• exp(expires): 什么時(shí)候過(guò)期，這里是一個(gè)Unix時(shí)間戳，是否使用是可選的；
• iat(issued at): 在什么時(shí)候簽發(fā)的(UNIX時(shí)間)，是否使用是可選的；
• 其他還有：
• nbf (Not Before)：如果當(dāng)前時(shí)間在nbf里的時(shí)間之前，則Token不被接受；一般都會(huì)留一些余地，比如幾分鐘；，是否使用是可選的；
  
• 其他還有：nbf (Not Before)：如果當(dāng)前時(shí)間在nbf里的時(shí)間之前，則Token不被接受；一般都會(huì)留一些余地，比如幾分鐘；，是否使用是可選的；

將上面的JSON對(duì)象進(jìn)行[base64編碼]可以得到下面的字符串。這個(gè)字符串我們將它稱作JWT的Payload（載荷）。

小知識(shí)：Base64是一種基于64個(gè)可打印字符來(lái)表示二進(jìn)制數(shù)據(jù)的表示方法。由于2的6次方等于64，所以每6個(gè)比特為一個(gè)單元，對(duì)應(yīng)某個(gè)可打印字符。三個(gè)字節(jié)有24個(gè)比特，對(duì)應(yīng)于4個(gè)Base64單元，即3個(gè)字節(jié)需要用4個(gè)可打印字符來(lái)表示。JDK 中提供了非常方便的 BASE64Encoder 和 BASE64Decoder，用它們可以非常方便的完成基于 BASE64 的編碼和解碼

頭部（Header）

JWT還需要一個(gè)頭部，頭部用于描述關(guān)于該JWT的最基本的信息，例如其類型以及簽名所用的算法等。這也可以被表示成一個(gè)JSON對(duì)象。

{
"typ": "JWT",
"alg": "HS256"
}

在頭部指明了簽名算法是HS256算法。

當(dāng)然頭部也要進(jìn)行BASE64編碼，編碼后的字符串如下：

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9

簽名（Signature）

將上面的兩個(gè)編碼后的字符串都用句號(hào).連接在一起（頭部在前），就形成了:

最后，我們將上面拼接完的字符串用HS256算法進(jìn)行加密。在加密的時(shí)候，我們還需要提供一個(gè)密鑰（secret）。如果我們用mystar作為密鑰的話，那么就可以得到我們加密后的內(nèi)容:

rSWamyAYwuHCo7IFAgd1oRpSP7nzL7BF5t7ItqpKViM

最后將這一部分簽名也拼接在被簽名的字符串后面，我們就得到了完整的JWT:

在我們的請(qǐng)求URL中會(huì)帶上這串JWT字符串：

認(rèn)證過(guò)程

下面我們從一個(gè)實(shí)例來(lái)看如何運(yùn)用JWT機(jī)制實(shí)現(xiàn)認(rèn)證：

登錄

• 第一次認(rèn)證：第一次登錄，用戶從瀏覽器輸入用戶名/密碼，提交后到服務(wù)器的登錄處理的Action層（Login Action）；
• Login Action調(diào)用認(rèn)證服務(wù)進(jìn)行用戶名密碼認(rèn)證，如果認(rèn)證通過(guò)，Login Action層調(diào)用用戶信息服務(wù)獲取用戶信息（包括完整的用戶信息及對(duì)應(yīng)權(quán)限信息）；
• 返回用戶信息后，Login Action從配置文件中獲取Token簽名生成的秘鑰信息，進(jìn)行Token的生成；
• 生成Token的過(guò)程中可以調(diào)用第三方的JWT Lib生成簽名后的JWT數(shù)據(jù)；
• 完成JWT數(shù)據(jù)簽名后，將其設(shè)置到COOKIE對(duì)象中，并重定向到首頁(yè)，完成登錄過(guò)程；
  

請(qǐng)求認(rèn)證

基于Token的認(rèn)證機(jī)制會(huì)在每一次請(qǐng)求中都帶上完成簽名的Token信息，這個(gè)Token信息可能在COOKIE
中，也可能在HTTP的Authorization頭中；

• 客戶端（APP客戶端或?yàn)g覽器）通過(guò)GET或POST請(qǐng)求訪問(wèn)資源（頁(yè)面或調(diào)用API）；
• 認(rèn)證服務(wù)作為一個(gè)Middleware HOOK 對(duì)請(qǐng)求進(jìn)行攔截，首先在cookie中查找Token信息，如果沒(méi)有找到，則在HTTP Authorization Head中查找；
• 如果找到Token信息，則根據(jù)配置文件中的簽名加密秘鑰，調(diào)用JWT Lib對(duì)Token信息進(jìn)行解密和解碼；
• 完成解碼并驗(yàn)證簽名通過(guò)后，對(duì)Token中的exp、nbf、aud等信息進(jìn)行驗(yàn)證；
• 全部通過(guò)后，根據(jù)獲取的用戶的角色權(quán)限信息，進(jìn)行對(duì)請(qǐng)求的資源的權(quán)限邏輯判斷；
• 如果權(quán)限邏輯判斷通過(guò)則通過(guò)Response對(duì)象返回；否則則返回HTTP 401；
  

對(duì)Token認(rèn)證的五點(diǎn)認(rèn)識(shí)

對(duì)Token認(rèn)證機(jī)制有5點(diǎn)直接注意的地方：

• 一個(gè)Token就是一些信息的集合；
• 在Token中包含足夠多的信息，以便在后續(xù)請(qǐng)求中減少查詢數(shù)據(jù)庫(kù)的幾率；
• 服務(wù)端需要對(duì)cookie和HTTP Authrorization Header進(jìn)行Token信息的檢查；
• 基于上一點(diǎn)，你可以用一套token認(rèn)證代碼來(lái)面對(duì)瀏覽器類客戶端和非瀏覽器類客戶端；
• 因?yàn)閠oken是被簽名的，所以我們可以認(rèn)為一個(gè)可以解碼認(rèn)證通過(guò)的token是由我們系統(tǒng)發(fā)放的，其中帶的信息是合法有效的；
  

JWT的JAVA實(shí)現(xiàn)

Java中對(duì)JWT的支持可以考慮使用JJWT開源庫(kù)；JJWT實(shí)現(xiàn)了JWT, JWS, JWE 和 JWA RFC規(guī)范；下面將簡(jiǎn)單舉例說(shuō)明其使用：

生成Token碼

import javax.crypto.spec.SecretKeySpec;
import javax.xml.bind.DatatypeConverter;
import java.security.Key;
import io.jsonwebtoken.*;
import java.util.Date;  
 
//Sample method to construct a JWT
 
private String createJWT(String id, String issuer, String subject, long ttlMillis) {
 
//The JWT signature algorithm we will be using to sign the token
SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;
 
long nowMillis = System.currentTimeMillis();
Date now = new Date(nowMillis);
 
//We will sign our JWT with our ApiKey secret
byte[] apiKeySecretBytes = DatatypeConverter.parseBase64Binary(apiKey.getSecret());
Key signingKey = new SecretKeySpec(apiKeySecretBytes, signatureAlgorithm.getJcaName());
 
 //Let's set the JWT Claims
JwtBuilder builder = Jwts.builder().setId(id)
                .setIssuedAt(now)
                .setSubject(subject)
                .setIssuer(issuer)
                .signWith(signatureAlgorithm, signingKey);
 
//if it has been specified, let's add the expiration
if (ttlMillis >= 0) {
  long expMillis = nowMillis + ttlMillis;
  Date exp = new Date(expMillis);
  builder.setExpiration(exp);
}
 
//Builds the JWT and serializes it to a compact, URL-safe string
return builder.compact();
}

解碼和驗(yàn)證Token碼

import javax.xml.bind.DatatypeConverter;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.Claims;
 
//Sample method to validate and read the JWT
private void parseJWT(String jwt) {
//This line will throw an exception if it is not a signed JWS (as expected)
Claims claims = Jwts.parser()    
  .setSigningKey(DatatypeConverter.parseBase64Binary(apiKey.getSecret()))
  .parseClaimsJws(jwt).getBody();
System.out.println("ID: " + claims.getId());
System.out.println("Subject: " + claims.getSubject());
System.out.println("Issuer: " + claims.getIssuer());
System.out.println("Expiration: " + claims.getExpiration());
}

基于JWT的Token認(rèn)證的安全問(wèn)題

確保驗(yàn)證過(guò)程的安全性

如何保證用戶名/密碼驗(yàn)證過(guò)程的安全性；因?yàn)樵隍?yàn)證過(guò)程中，需要用戶輸入用戶名和密碼，在這一過(guò)程中，用戶名、密碼等敏感信息需要在網(wǎng)絡(luò)中傳輸。因此，在這個(gè)過(guò)程中建議采用HTTPS，通過(guò)SSL加密傳輸，以確保通道的安全性。

如何防范XSS Attacks

瀏覽器可以做很多事情，這也給瀏覽器端的安全帶來(lái)很多隱患，最常見(jiàn)的如：XSS攻擊：跨站腳本攻擊(Cross Site Scripting)；如果有個(gè)頁(yè)面的輸入框中允許輸入任何信息，且沒(méi)有做防范措施，如果我們輸入下面這段代碼：

這段代碼會(huì)盜取你域中的所有cookie信息，并發(fā)送到 hackmeplz.com；那么我們?nèi)绾蝸?lái)防范這種攻擊呢？

XSS攻擊代碼過(guò)濾

移除任何會(huì)導(dǎo)致瀏覽器做非預(yù)期執(zhí)行的代碼，這個(gè)可以采用一些庫(kù)來(lái)實(shí)現(xiàn)（如：js下的js-xss，JAVA下的XSS HTMLFilter，PHP下的TWIG）；如果你是將用戶提交的字符串存儲(chǔ)到數(shù)據(jù)庫(kù)的話（也針對(duì)SQL注入攻擊），你需要在前端和服務(wù)端分別做過(guò)濾；

采用HTTP-Only Cookies

通過(guò)設(shè)置Cookie的參數(shù)： HttpOnly; Secure 來(lái)防止通過(guò)JavaScript 來(lái)訪問(wèn)Cookie；

如何在Java中設(shè)置cookie是HttpOnly呢？

Servlet 2.5 API 不支持 cookie設(shè)置HttpOnly
http://docs.oracle.com/cd/E17802_01/products/products/servlet/2.5/docs/servlet-2_5-mr2/

建議升級(jí)Tomcat7.0，它已經(jīng)實(shí)現(xiàn)了Servlet3.0
http://tomcat.apache.org/tomcat-7.0-doc/servletapi/javax/servlet/http/Cookie.html或者通過(guò)這樣來(lái)設(shè)置：

//設(shè)置cookie
response.addHeader("Set-Cookie", "uid=112; Path=/; HttpOnly");

//設(shè)置多個(gè)cookie
response.addHeader("Set-Cookie", "uid=112; Path=/; HttpOnly");
response.addHeader("Set-Cookie", "timeout=30; Path=/test; HttpOnly");

//設(shè)置https的cookie
response.addHeader("Set-Cookie", "uid=112; Path=/; Secure; HttpOnly");

在實(shí)際使用中，我們可以使FireCookie查看我們?cè)O(shè)置的Cookie 是否是HttpOnly；

如何防范Replay Attacks

所謂重放攻擊就是攻擊者發(fā)送一個(gè)目的主機(jī)已接收過(guò)的包，來(lái)達(dá)到欺騙系統(tǒng)的目的，主要用于身份認(rèn)證過(guò)程。比如在瀏覽器端通過(guò)用戶名/密碼驗(yàn)證獲得簽名的Token被木馬竊取。即使用戶登出了系統(tǒng)，黑客還是可以利用竊取的Token模擬正常請(qǐng)求，而服務(wù)器端對(duì)此完全不知道，以為JWT機(jī)制是無(wú)狀態(tài)的。

針對(duì)這種情況，有幾種常用做法可以用作參考：

1、時(shí)間戳 +共享秘鑰

這種方案，客戶端和服務(wù)端都需要知道：

• User ID
• 共享秘鑰

客戶端

auth_header = JWT.encode({
 user_id: 123,
 iat: Time.now.to_i,   # 指定token發(fā)布時(shí)間
 exp: Time.now.to_i + 2  # 指定token過(guò)期時(shí)間為2秒后，2秒時(shí)間足夠一次HTTP請(qǐng)求，同時(shí)在一定程度確保上一次token過(guò)期，減少replay attack的概率；
}, "<my shared secret>")
RestClient.get("http://api.example.com/", authorization: auth_header)

服務(wù)端

class ApiController < ActionController::Base
 attr_reader :current_user
 before_action :set_current_user_from_jwt_token

 def set_current_user_from_jwt_token
  # Step 1:解碼JWT，并獲取User ID，這個(gè)時(shí)候不對(duì)Token簽名進(jìn)行檢查
  # the signature. Note JWT tokens are *not* encrypted, but signed.
  payload = JWT.decode(request.authorization, nil, false)

  # Step 2: 檢查該用戶是否存在于數(shù)據(jù)庫(kù)
  @current_user = User.find(payload['user_id'])
  
  # Step 3: 檢查Token簽名是否正確.
  JWT.decode(request.authorization, current_user.api_secret)
  
  # Step 4: 檢查 "iat" 和"exp" 以確保這個(gè)Token是在2秒內(nèi)創(chuàng)建的.
  now = Time.now.to_i
  if payload['iat'] > now || payload['exp'] < now
   # 如果過(guò)期則返回401
  end
 rescue JWT::DecodeError
  # 返回 401
 end
end

2、時(shí)間戳 +共享秘鑰+黑名單 （類似Zendesk的做法）

客戶端

auth_header = JWT.encode({
 user_id: 123,
 jti: rand(2 << 64).to_s, # 通過(guò)jti確保一個(gè)token只使用一次，防止replace attack
 iat: Time.now.to_i,    # 指定token發(fā)布時(shí)間.
 exp: Time.now.to_i + 2  # 指定token過(guò)期時(shí)間為2秒后
}, "<my shared secret>")
RestClient.get("http://api.example.com/", authorization: auth_header)

服務(wù)端

def set_current_user_from_jwt_token
 # 前面的步驟參考上面
 payload = JWT.decode(request.authorization, nil, false)
 @current_user = User.find(payload['user_id'])
 JWT.decode(request.authorization, current_user.api_secret)
 now = Time.now.to_i
 if payload['iat'] > now || payload['exp'] < now
  # 返回401
 end
 
 # 下面將檢查確保這個(gè)JWT之前沒(méi)有被使用過(guò)
 # 使用Redis的原子操作
 
 # The redis 的鍵: <user id>:<one-time use token>
 key = "#{payload['user_id']}:#{payload['jti']}"
 
 # 看鍵值是否在redis中已經(jīng)存在. 如果不存在則返回nil. 如果存在則返回“1”. .
 if redis.getset(key, "1")
  # 返回401
  # 
 end
 
 # 進(jìn)行鍵值過(guò)期檢查
 redis.expireat(key, payload['exp'] + 2)
end

如何防范MITM （Man-In-The-Middle）Attacks

所謂MITM攻擊，就是在客戶端和服務(wù)器端的交互過(guò)程被監(jiān)聽(tīng)，比如像可以上網(wǎng)的咖啡館的WIFI被監(jiān)聽(tīng)或者被黑的代理服務(wù)器等；

針對(duì)這類攻擊的辦法使用HTTPS，包括針對(duì)分布式應(yīng)用，在服務(wù)間傳輸像cookie這類敏感信息時(shí)也采用HTTPS；所以云計(jì)算在本質(zhì)上是不安全的。

以上就是本文的全部?jī)?nèi)容，希望對(duì)大家的學(xué)習(xí)有所幫助，也希望大家多多支持腳本之家。

最新評(píng)論