带有会话 Cookie 的 Spring Security RememberMe 服务答案

【问题标题】：Spring Security RememberMe Services with Session Cookie带有会话 Cookie 的 Spring Security RememberMe 服务
【发布时间】：2011-02-06 04:38:25
【问题描述】：

我正在使用 Spring Security 的 RememberMe 服务来保持用户的身份验证。

我想找到一种简单的方法将 RememberMe cookie 设置为会话 cookie，而不是设置一个固定的过期时间。对于我的应用程序，cookie 应该一直存在，直到用户关闭浏览器。

关于如何最好地实现这一点有什么建议吗？是否担心这是一个潜在的安全问题？

这样做的主要原因是，使用基于 cookie 的令牌，我们负载均衡器后面的任何服务器都可以为受保护的请求提供服务，而无需依赖存储在 HttpSession 中的用户身份验证。事实上，我已经明确告诉 Spring Security 永远不要使用命名空间创建会话。此外，我们使用的是 Amazon 的 Elastic Load Balancing，因此不支持粘性会话。

注意：虽然我知道截至 4 月 8 日，亚马逊现在支持粘性会话，但由于其他一些原因，我仍然不想使用它们。也就是说，一台服务器的过早关闭仍然会导致与其关联的所有用户的会话丢失。 http://aws.amazon.com/about-aws/whats-new/2010/04/08/support-for-session-stickiness-in-elastic-load-balancing/

【问题讨论】：

你为什么不简单地实现你自己的 RememberMe 实现呢？这很容易。
重复？ stackoverflow.com/questions/2594960/…
@lexicore 实施自己的会话的人可能会给您的 Web 应用程序带来真正的破坏。不要重新发明小麦。阅读我关于“重复？”的帖子上面的问题。
@The Rook：我不认为它是重复的。 Jarrod 只是需要一个不同的 cookie 过期时间，仅此而已。
@lexicore 这基本上是我对另一篇文章的建议。

标签： security spring authentication spring-security remember-me

【解决方案1】：

Spring Security 3 不提供 cookie 生成方式的配置。您必须覆盖默认行为：

import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import org.springframework.security.web.authentication.rememberme.PersistentTokenBasedRememberMeServices;

/** Cookie expires on session. */
 public class PersistentTokenBasedRememberMeServicesCustom extends
   PersistentTokenBasedRememberMeServices {

  /** only needed because super throws exception. */
  public PersistentTokenBasedRememberMeServicesCustom() throws Exception {
    super();
  }

  /** Copy of code of inherited class + setting cookieExpiration, */
  @Override
  protected void setCookie(String[] tokens, int maxAge,
      HttpServletRequest request, HttpServletResponse response) {
    String cookieValue = encodeCookie(tokens);
    Cookie cookie = new Cookie(getCookieName(), cookieValue);
    //cookie.setMaxAge(maxAge); 
    cookie.setPath("/");
    cookie.setSecure(false); // no getter available in super, so always false

    response.addCookie(cookie);
  }
}

确保你使用这个定制的PersistentTokenBasedRememberMeServices，因为你是rememberMeService，通过将类名添加到它的bean配置中：

<beans:bean id="rememberMeServices"
 class="my.custom.spring.PersistentTokenBasedRememberMeServicesCustom"/>

【讨论】：

【解决方案2】：

为了让会话在负载平衡下正常工作，我会将您的会话数据存储在 sql 数据库中。

cookie 应该始终是一个过期的随机值。在某些情况下，您可以将状态存储为 cookie 值并且不会造成安全隐患，例如用户首选语言，但应尽可能避免这种情况。开启 HttpOnlyCookies 是个好主意。

阅读 A3：2010 年 OWASP 前 10 名中的“Broken Authentication and Session Management”。本节的一个重点是整个会话必须使用 https。如果会话持续很长时间，那么这一点就更重要了。

还请记住，“记住我”会创建一个大窗口，攻击者可以在其中“骑”会话。这给了攻击者很长的时间（几个月？），他可以在其中进行 CSRF 攻击。即使你有 CSRF 保护，攻击者仍然可以使用 XSS 和 XmlHttpRequest 进行会话（HttpOnlyCookies 将防止完全劫持）。 “记住我”让 xss、csrf、嗅探等其他威胁更加严重。只要这些漏洞得到解决，那么现实世界的黑客就不应该有问题。

实现“记住我”功能的最简单（且安全）的方法是修改会话超时以使其非常大（几个月）。如果未选中“记住我”复选框，则使用新的超时（登录后 1 天）存储会话变量。请记住，即使 cookie 在关闭时被浏览器删除，会话在服务器端仍然处于活动状态。如果会话 id 被盗，那么它仍然可以使用。

【讨论】：

自定义 RememberMe 过滤器比在每个请求上创建一个新令牌怎么样。新令牌的生命周期可能很短，例如20分钟。如果用户什么都不做，令牌就会过期。如果用户在 20 分钟窗口内提出另一个请求，则会创建一个新的 20 分钟窗口。如果用户的会话以某种方式被盗，更改用户的密码仍然会使任何有效的令牌失效......想法？
我记得我以前在哪里听说过这个想法......它需要将令牌持久化到数据库，但不需要 HttpSession：jaspan.com/improved_persistent_login_cookie_best_practice 也许我会考虑在 Spring Security 中对 PersistentTokenBasedRememberMeService 进行子类化。