使用会话Cookie的Spring Security Memberme服务_Security_Spring_Authentication_Spring Security_Remember Me

使用会话Cookie的Spring Security Memberme服务

security spring authentication spring-security

使用会话Cookie的Spring Security Memberme服务,security,spring,authentication,spring-security,remember-me,Security,Spring,Authentication,Spring Security,Remember Me,我正在使用SpringSecurity的Memberme服务来保持用户的身份验证我想找到一种简单的方法，将memberme cookie设置为会话cookie，而不是固定的过期时间。对于我的应用程序，cookie应该一直存在，直到用户关闭浏览器关于如何最好地实施这一点，有什么建议吗？有人担心这是一个潜在的安全问题吗这样做的主要原因是，使用基于cookie的令牌，负载平衡器后面的任何服务器都可以为受保护的请求提供服务，而无需依赖存储在HttpSession中的用户身份验证。事实上，我已经明确

我正在使用SpringSecurity的Memberme服务来保持用户的身份验证

我想找到一种简单的方法，将memberme cookie设置为会话cookie，而不是固定的过期时间。对于我的应用程序，cookie应该一直存在，直到用户关闭浏览器

关于如何最好地实施这一点，有什么建议吗？有人担心这是一个潜在的安全问题吗

这样做的主要原因是，使用基于cookie的令牌，负载平衡器后面的任何服务器都可以为受保护的请求提供服务，而无需依赖存储在HttpSession中的用户身份验证。事实上，我已经明确告诉Spring Security永远不要使用名称空间创建会话。此外，我们使用Amazon的弹性负载平衡，因此不支持粘性会话

注：尽管我知道截至2008年4月，亚马逊现在支持粘性会话，但出于其他一些原因，我仍然不想使用它们。也就是说，一台服务器的过早终止仍然会导致与之相关的所有用户的会话丢失。

要使会话正常工作并进行负载平衡，我需要将会话数据存储在sql数据库中

cookie应始终是过期的随机值。在某些情况下，您可以将状态存储为cookie值，而不会造成安全隐患，例如用户首选的语言，但应尽可能避免这种情况。打开HttpOnlyCookies是一个好主意

阅读A3：OWASP 2010年前10名中的“断开的身份验证和会话管理”。本节中的一个要点是，整个会话必须使用https。如果会议持续很长时间，那么这一点就更为重要

还要记住，“记住我”会创建一个很大的窗口，攻击者可以在其中“骑”会话。这给了攻击者很长的时间（几个月？）来实施CSRF攻击。即使您有CSRF保护，攻击者仍然可以使用XSS和XmlHttpRequest进行会话（HttpOnlyCookies将防止完全劫持）。“记住我”使其他威胁，如xss、csrf、嗅探更加严重。只要这些漏洞已经被解决，那么你就不会遇到现实世界中的黑客问题

实现“记住我”功能的最简单（也是安全的）方法是修改会话超时，使其非常大（几个月）。如果未选中“记住我”复选框，则存储具有新超时的会话变量（登录后1天）。请记住，即使cookie在关闭时被浏览器删除，会话在服务器端仍处于活动状态。如果会话id被盗，则仍可使用

Spring Security 3不提供cookie生成方式的配置。您必须覆盖默认行为：

import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import org.springframework.security.web.authentication.rememberme.PersistentTokenBasedRememberMeServices;

/** Cookie expires on session. */
 public class PersistentTokenBasedRememberMeServicesCustom extends
   PersistentTokenBasedRememberMeServices {

  /** only needed because super throws exception. */
  public PersistentTokenBasedRememberMeServicesCustom() throws Exception {
    super();
  }

  /** Copy of code of inherited class + setting cookieExpiration, */
  @Override
  protected void setCookie(String[] tokens, int maxAge,
      HttpServletRequest request, HttpServletResponse response) {
    String cookieValue = encodeCookie(tokens);
    Cookie cookie = new Cookie(getCookieName(), cookieValue);
    //cookie.setMaxAge(maxAge); 
    cookie.setPath("/");
    cookie.setSecure(false); // no getter available in super, so always false

    response.addCookie(cookie);
  }
}

通过将类名添加到其bean配置中，确保将此定制的PersistentTokenBasedMemberMeservices用于您的MemberMeservice：

<beans:bean id="rememberMeServices"
 class="my.custom.spring.PersistentTokenBasedRememberMeServicesCustom"/>

为什么不直接实现自己的Memberme实现？很简单，重复@lexicore用户实现他们自己的会话会给你的web应用带来真正的破坏。不要再发明风团了。阅读我在上面关于“复制？”问题的帖子。@Rook:我不认为这是一个复制品。Jarrod只是需要一个不同的cookie过期时间，仅此而已。@lexicore这基本上是我对另一篇文章的建议。不如使用一个定制的Memberme筛选器，然后在每个请求上创建一个新的令牌。新代币的使用寿命很短，例如20分钟。如果用户不执行任何操作，则令牌将过期。如果用户在20分钟窗口中发出另一个请求，则会创建一个新的20分钟窗口。如果用户的会话以某种方式被盗，更改用户的密码仍将使野外的任何有效令牌无效。。。想法？我记得我以前在哪里听到这个想法。。。它需要将令牌持久化到数据库，但不需要HttpSession：也许我将在SpringSecurity中研究PersistentTokenBasedMemberMeservice的子类化。