Authentication Spring安全-安全远程密码协议-SRP-身份验证提供程序
当问这个问题时,我正在寻找关于我自己的AuthenticationProvider实现的指导。我的意思是: 到目前为止,我已经了解到Spring安全性会询问AuthenticationProvider对象用户是否经过身份验证。目前我正在使用 DaoAuthenticationProvider,它处理由我自己的custome UserDetailService返回的用户名和密码。一切都很好! Spring支持很多不同的AuthenticationProvider,例如LDAP、Jdbc、DAO(如上所述)都有一个,我甚至可以找到一个Kerberos。但是,SRP没有身份验证提供程序,因此需要编写一个 我的问题如下: 当我们使用DaoAuthenticationProvider(即用户/密码验证)时,我们有一个html表单,其中输入用户名和密码,然后一个按钮负责提交这两个参数。购买的数据表通过某种传输通道传输到服务器,即只需单击一下,我们就可以在相同的http请求中发送所有数据,即验证所需的所有数据。可以在UsernamePasswordAuthenticationFilter中看到。这里的方法“attemptAuthentication”采用“HttpServletRequest请求”,其中包括用户名和密码。直到现在一切都很好Authentication Spring安全-安全远程密码协议-SRP-身份验证提供程序,authentication,spring-security,authorization,srp-protocol,Authentication,Spring Security,Authorization,Srp Protocol,当问这个问题时,我正在寻找关于我自己的AuthenticationProvider实现的指导。我的意思是: 到目前为止,我已经了解到Spring安全性会询问AuthenticationProvider对象用户是否经过身份验证。目前我正在使用 DaoAuthenticationProvider,它处理由我自己的custome UserDetailService返回的用户名和密码。一切都很好! Spring支持很多不同的AuthenticationProvider,例如LDAP、Jdbc、DAO(如
public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException {
...
}
Client Server
Client Hello (I) -------->
Server Hello
Certificate*
Server Key Exchange (N, g, s, B)
<-------- Server Hello Done
Client Key Exchange (A) -------->
[Change cipher spec]
Finished -------->
[Change cipher spec]
<-------- Finished
Application Data <-------> Application Data
- SRPAuthenticationProvider-实现org.springframework.security.authentication.AuthenticationProvider。在这里,正在验证和比较步骤d、e、f和g。如果发生错误,则抛出新的BadCredentialsException(“无效用户名/密码/验证”)异常
- SrpSessionValidator-此程序仅负责验证Srp会话的特定参数,并将从SrpAuthenticationProcessingFilter调用,以及在SrpAuthenticationProcessingFilter之前的一个步骤中调用,以验证数据库中是否存在用户名
现在我想重新表述这个问题,即在认证完成之前以及在接收M1和M2消息之前,即步骤1、2和3。我应该把那个东西放在哪里?也就是说,它应该是一个对象应该居住的地方,例如60秒,然后在没有收到M1和M2消息的情况下自动删除。我指的是“SecurityContextHolder”对象之前的某个对象。我只是不知道与spring安全性相关的对象/上下文的名称,也不知道是否存在这样的构造 我的方法是使用AJAX运行协议的第一部分,直到在客户端创建
AM1用户名密码usernamesaltBsaltBAM1M1step2M2vAM1step2AM1AuthenticationManager一个小注意是,如果您使用HTTPS到服务器,我会考虑检查服务器证明<代码> M2<代码>是否为可选的。如果您不使用HTTPS,那么服务器欺骗意味着他们可以向用户提供
@Autowired
public void registerAuthentication(AuthenticationManagerBuilder auth) throws Exception {
auth
.authenticationProvider(sRPAuthenticationProvider);
}
// note the following exchange is written in javascript calling client js and invoking server java which is run by JUnit-JS using the JDK javascript runtime so it shows both sides of the full authentication in one unit test method
// normal login flow step1a client: browser starts with username and password given by user at the browser
client.step1(username,password);
// normal login flow step1b server: server starts with username from browser plus salt and verifier saved to database on user registration.
var B = server.step1(username, salt, v);
// normal login flow step2a client: server sends users salt from user registration and the server ephemeral number
var credentials = client.step2(salt, B);
// normal login flow step2b server: client sends its client ephemeral number and proof of a shared session key derived from both ephermal numbers and the password
var M2 = server.step2(credentials.A, credentials.M1);
// normal login flow step3 client: client verifies that the server shows proof of the shared session key which demonstrates that it knows actual verifier
client.step3(M2);