使用Token保護REST API

Question

在過去的幾天裏，我一直在苦苦掙扎，並沒有在網絡上找到可靠的，可以理解的解決方案。

我有一個網絡應用程序，它由一個rest api和一個表示層組成。表示層有一個登錄表單，用戶引入的數據被髮送到REST api，然後使用第三方服務來認證用戶。這部分我已經設置好了。

我現在想要的是爲每個後續請求提供基於令牌的身份驗證，因此我不必在每個請求上發送憑據，然後再次對第三方服務進行身份驗證。因此，基本上，使用Spring Security（v 3.1.3），我失去了如何創建一個可靠的安全令牌，將其返回給請求者，然後根據所述令牌驗證請求。

你能指點我正確的方向嗎？或者在線例子？

• 如何生成令牌？如何將令牌返回給客戶端 ？
• 如何在隨後的請求中發送令牌？
• 你如何設置整個事情，所以你第一次可以 以某種方式發送憑證（用戶/通行證），然後 請求只發送令牌？
• 您如何對令牌進行身份驗證？
• 我已經看到了令牌包含一些expiryTime的實現。那麼expiryTime之後有什麼用處呢？用戶必須再次登錄，即使他一直在提出請求？我應該在「幕後」更新令牌嗎？

Answer 1

服務器端REST應用程序是有狀態的還是無狀態的？如果有狀態的話，您不需要使用常規的HTTP會話做任何特殊的事情。剛開始使用Spring Security時，如果客戶端和服務器已經在交換會話信息，那麼您的受保護的API端點就可以開箱即用。唯一需要注意的是，如果您啓用了CSRF保護，那麼您需要稍微調整一下客戶端。詳細信息見Spring Security文檔。另一方面，如果REST應用程序是無狀態的，那麼您將不得不使用基於標記的方法，就像您所建議的那樣。詳情請見my answer to a similar post。如果您確實選擇遵循該答案中的步驟，那麼您的問題的答案是：

• 令牌必須在服務器端生成。如果通過鏈接到我的答案的示例代碼，您將看到我已經用基於緩存的基礎結構替換了Spring Security的默認HTTP會話相關基礎結構。在基於會話的實現中，唯一的會話標識符（它是會話標識符）由servlet容器生成，而在自定義實現中，將在應用程序內生成標識符（即標記）。具體而言，我使用SecureRandom實例來生成強壯的令牌。
• 令牌由客戶端作爲HTTP頭返回。這保護了SSL通道上的內容。
• 訣竅是從Spring Security實現四個非常簡單的接口。我的示例應用程序有完整的細節整個過程花了不到一個小時。
• 對令牌的認證由Spring Security自動完成。我們只需提供一個用於存儲和檢索令牌的實現，這是直接的，只需要幾行代碼。
• 在我的示例應用程序中，我使用了滑動到期的可存放緩存來存儲令牌。如果客戶端定期發送請求，服務器將繼續訪問認證令牌的緩存，從而使令牌在緩存中保持活動狀態。僅在經過一段時間的不活動等於或超過緩存過期期限之後，令牌才從緩存中被驅逐。

因此，總體而言，基於令牌的認證/授權方法可以使用Spring Security輕鬆實現並利用像EHCACHE這樣的緩存庫。