一次性令牌登录
Spring Security 通过oneTimeTokenLogin()DSL 的
在深入研究实施细节之前,请务必阐明框架中 OTT 功能的范围,重点介绍支持和不支持的功能。
了解一次性令牌与一次性密码
将一次性令牌 (OTT) 与一次性密码 (OTP) 混淆是很常见的,但在 Spring Security 中,这些概念在几个关键方面有所不同。 为清楚起见,我们假设 OTP 是指 TOTP(基于时间的一次性密码)或 HOTP(基于 HMAC 的一次性密码)。
Token Delivery
-
OTT:通常是自定义的
OneTimeTokenGenerationSuccessHandler必须实现,负责将 Token 交付给最终用户。 -
OTP:令牌通常由外部工具生成,因此无需通过应用程序将其发送给用户。
代币生成
-
OTT: 这
OneTimeTokenService.generate(GenerateOneTimeTokenRequest)方法需要OneTimeToken要返回,强调服务器端生成。 -
OTP:令牌不一定在服务器端生成,通常由客户端使用共享密钥创建。
总之,一次性令牌 (OTT) 提供了一种无需额外帐户设置即可对用户进行身份验证的方法,将其与一次性密码 (OTP) 区分开来,后者通常涉及更复杂的设置过程,并依赖外部工具生成令牌。
一次性令牌登录分两个主要步骤进行。
-
用户通过提交其用户标识符(通常是用户名)来请求令牌,令牌通常以 Magic Link 的形式通过电子邮件、短信等方式发送给他们。
-
用户将令牌提交到一次性令牌登录终端节点,如果有效,则用户登录。
在以下部分中,我们将探讨如何根据您的需求配置 OTT 登录。
默认登录页面和默认一次性令牌提交页面
这oneTimeTokenLogin()DSL 可以与formLogin(),这将在默认生成的登录页面中生成一个额外的一次性令牌请求表单。
它还将设置DefaultOneTimeTokenSubmitPageGeneratingFilter以生成默认的 One-Time Token 提交页面。
将 Token 发送给用户
Spring Security 无法合理地确定应将令牌交付给用户的方式。
因此,自定义OneTimeTokenGenerationSuccessHandler根据您的需求将 Token 投递给用户。
最常见的交付策略之一是 Magic Link,通过电子邮件、短信等。
在以下示例中,我们将创建一个 magic link 并将其发送到用户的电子邮件。
一次性令牌登录配置
-
Java
-
Kotlin
@Configuration
@EnableWebSecurity
public class SecurityConfig {
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) {
http
// ...
.formLogin(Customizer.withDefaults())
.oneTimeTokenLogin(Customizer.withDefaults());
return http.build();
}
}
import org.springframework.mail.SimpleMailMessage;
import org.springframework.mail.javamail.JavaMailSender;
@Component (1)
public class MagicLinkOneTimeTokenGenerationSuccessHandler implements OneTimeTokenGenerationSuccessHandler {
private final MailSender mailSender;
private final OneTimeTokenGenerationSuccessHandler redirectHandler = new RedirectOneTimeTokenGenerationSuccessHandler("/ott/sent");
// constructor omitted
@Override
public void handle(HttpServletRequest request, HttpServletResponse response, OneTimeToken oneTimeToken) throws IOException, ServletException {
UriComponentsBuilder builder = UriComponentsBuilder.fromHttpUrl(UrlUtils.buildFullRequestUrl(request))
.replacePath(request.getContextPath())
.replaceQuery(null)
.fragment(null)
.path("/login/ott")
.queryParam("token", oneTimeToken.getTokenValue()); (2)
String magicLink = builder.toUriString();
String email = getUserEmail(oneTimeToken.getUsername()); (3)
this.mailSender.send(email, "Your Spring Security One Time Token", "Use the following link to sign in into the application: " + magicLink); (4)
this.redirectHandler.handle(request, response, oneTimeToken); (5)
}
private String getUserEmail() {
// ...
}
}
@Controller
class PageController {
@GetMapping("/ott/sent")
String ottSent() {
return "my-template";
}
}@Configuration
@EnableWebSecurity
class SecurityConfig {
@Bean
open fun filterChain(http: HttpSecurity): SecurityFilterChain {
http{
formLogin {}
oneTimeTokenLogin { }
}
return http.build()
}
}
import org.springframework.mail.SimpleMailMessage;
import org.springframework.mail.javamail.JavaMailSender;
@Component (1)
class MagicLinkOneTimeTokenGenerationSuccessHandler(
private val mailSender: MailSender,
private val redirectHandler: OneTimeTokenGenerationSuccessHandler = RedirectOneTimeTokenGenerationSuccessHandler("/ott/sent")
) : OneTimeTokenGenerationSuccessHandler {
override fun handle(request: HttpServletRequest, response: HttpServletResponse, oneTimeToken: OneTimeToken) {
val builder = UriComponentsBuilder.fromHttpUrl(UrlUtils.buildFullRequestUrl(request))
.replacePath(request.contextPath)
.replaceQuery(null)
.fragment(null)
.path("/login/ott")
.queryParam("token", oneTimeToken.getTokenValue()) (2)
val magicLink = builder.toUriString()
val email = getUserEmail(oneTimeToken.getUsername()) (3)
this.mailSender.send(email, "Your Spring Security One Time Token", "Use the following link to sign in into the application: $magicLink")(4)
this.redirectHandler.handle(request, response, oneTimeToken) (5)
}
private fun getUserEmail(): String {
// ...
}
}
@Controller
class PageController {
@GetMapping("/ott/sent")
fun ottSent(): String {
return "my-template"
}
}| 1 | 使MagicLinkOneTimeTokenGenerationSuccessHandler一个 Spring bean |
| 2 | 使用token作为查询参数 |
| 3 | 根据用户名检索用户的电子邮件 |
| 4 | 使用JavaMailSender使用神奇链接将电子邮件发送给用户的 API |
| 5 | 使用RedirectOneTimeTokenGenerationSuccessHandler执行重定向到所需 URL 的作 |
电子邮件内容将类似于:
使用以下链接登录应用程序:http://localhost:8080/login/ott?token=a830c444-29d8-4d98-9b46-6aba7b22fe5b
默认提交页面将检测到 URL 具有tokenquery 参数,并将自动使用 token 值填充 form 字段。
更改一次性令牌生成 URL
默认情况下,GenerateOneTimeTokenFilter倾听POST /ott/generate请求。
可以使用generateTokenUrl(String)DSL 方法:
更改生成 URL
-
Java
-
Kotlin
@Configuration
@EnableWebSecurity
public class SecurityConfig {
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) {
http
// ...
.formLogin(Customizer.withDefaults())
.oneTimeTokenLogin((ott) -> ott
.generateTokenUrl("/ott/my-generate-url")
);
return http.build();
}
}
@Component
public class MagicLinkOneTimeTokenGenerationSuccessHandler implements OneTimeTokenGenerationSuccessHandler {
// ...
}@Configuration
@EnableWebSecurity
class SecurityConfig {
@Bean
open fun filterChain(http: HttpSecurity): SecurityFilterChain {
http {
//...
formLogin { }
oneTimeTokenLogin {
generateTokenUrl = "/ott/my-generate-url"
}
}
return http.build()
}
}
@Component
class MagicLinkOneTimeTokenGenerationSuccessHandler : OneTimeTokenGenerationSuccessHandler {
// ...
}更改默认提交页面 URL
默认的一次性令牌提交页面由DefaultOneTimeTokenSubmitPageGeneratingFilter并倾听GET /login/ott.
URL 也可以更改,如下所示:
配置默认提交页面 URL
-
Java
-
Kotlin
@Configuration
@EnableWebSecurity
public class SecurityConfig {
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) {
http
// ...
.formLogin(Customizer.withDefaults())
.oneTimeTokenLogin((ott) -> ott
.submitPageUrl("/ott/submit")
);
return http.build();
}
}
@Component
public class MagicLinkGenerationSuccessHandler implements OneTimeTokenGenerationSuccessHandler {
// ...
}@Configuration
@EnableWebSecurity
class SecurityConfig {
@Bean
open fun filterChain(http: HttpSecurity): SecurityFilterChain {
http {
//...
formLogin { }
oneTimeTokenLogin {
submitPageUrl = "/ott/submit"
}
}
return http.build()
}
}
@Component
class MagicLinkOneTimeTokenGenerationSuccessHandler : OneTimeTokenGenerationSuccessHandler {
// ...
}禁用默认提交页面
如果您想使用自己的一次性令牌提交页面,您可以禁用默认页面,然后提供自己的终端节点。
禁用默认提交页面
-
Java
-
Kotlin
@Configuration
@EnableWebSecurity
public class SecurityConfig {
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) {
http
.authorizeHttpRequests((authorize) -> authorize
.requestMatchers("/my-ott-submit").permitAll()
.anyRequest().authenticated()
)
.formLogin(Customizer.withDefaults())
.oneTimeTokenLogin((ott) -> ott
.showDefaultSubmitPage(false)
);
return http.build();
}
}
@Controller
public class MyController {
@GetMapping("/my-ott-submit")
public String ottSubmitPage() {
return "my-ott-submit";
}
}
@Component
public class OneTimeTokenGenerationSuccessHandler implements OneTimeTokenGenerationSuccessHandler {
// ...
}@Configuration
@EnableWebSecurity
class SecurityConfig {
@Bean
open fun filterChain(http: HttpSecurity): SecurityFilterChain {
http {
authorizeHttpRequests {
authorize("/my-ott-submit", authenticated)
authorize(anyRequest, authenticated)
}
formLogin { }
oneTimeTokenLogin {
showDefaultSubmitPage = false
}
}
return http.build()
}
}
@Controller
class MyController {
@GetMapping("/my-ott-submit")
fun ottSubmitPage(): String {
return "my-ott-submit"
}
}
@Component
class MagicLinkOneTimeTokenGenerationSuccessHandler : OneTimeTokenGenerationSuccessHandler {
// ...
}自定义如何生成和使用一次性令牌
定义生成和消费一次性 Token 的常用作的接口是OneTimeTokenService.
Spring Security 使用InMemoryOneTimeTokenService作为该接口的默认实现(如果未提供)。
对于生产环境,请考虑使用JdbcOneTimeTokenService.
自定义OneTimeTokenService包括但不限于:
-
更改一次性令牌过期时间
-
存储来自 generate token 请求的更多信息
-
更改令牌值的创建方式
-
使用一次性令牌时的其他验证
有两个选项可用于自定义OneTimeTokenService.
一种选择是将其作为 bean 提供,这样它就可以被oneTimeTokenLogin()DSL:
将 OneTimeTokenService 作为 Bean 传递
-
Java
-
Kotlin
@Configuration
@EnableWebSecurity
public class SecurityConfig {
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) {
http
// ...
.formLogin(Customizer.withDefaults())
.oneTimeTokenLogin(Customizer.withDefaults());
return http.build();
}
@Bean
public OneTimeTokenService oneTimeTokenService() {
return new MyCustomOneTimeTokenService();
}
}
@Component
public class MagicLinkOneTimeTokenGenerationSuccessHandler implements OneTimeTokenGenerationSuccessHandler {
// ...
}@Configuration
@EnableWebSecurity
class SecurityConfig {
@Bean
open fun filterChain(http: HttpSecurity): SecurityFilterChain {
http {
//...
formLogin { }
oneTimeTokenLogin { }
}
return http.build()
}
@Bean
open fun oneTimeTokenService(): OneTimeTokenService {
return MyCustomOneTimeTokenService()
}
}
@Component
class MagicLinkOneTimeTokenGenerationSuccessHandler : OneTimeTokenGenerationSuccessHandler {
// ...
}第二个选项是将OneTimeTokenService实例添加到 DSL 中,这在有多个SecurityFilterChain和不同的OneTimeTokenService他们每个人都需要。
使用 DSL 传递 OneTimeTokenService
-
Java
-
Kotlin
@Configuration
@EnableWebSecurity
public class SecurityConfig {
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) {
http
// ...
.formLogin(Customizer.withDefaults())
.oneTimeTokenLogin((ott) -> ott
.oneTimeTokenService(new MyCustomOneTimeTokenService())
);
return http.build();
}
}
@Component
public class MagicLinkOneTimeTokenGenerationSuccessHandler implements OneTimeTokenGenerationSuccessHandler {
// ...
}@Configuration
@EnableWebSecurity
class SecurityConfig {
@Bean
open fun filterChain(http: HttpSecurity): SecurityFilterChain {
http {
//...
formLogin { }
oneTimeTokenLogin {
oneTimeTokenService = MyCustomOneTimeTokenService()
}
}
return http.build()
}
}
@Component
class MagicLinkOneTimeTokenGenerationSuccessHandler : OneTimeTokenGenerationSuccessHandler {
// ...
}