使用Spring Security的多租户应用程序的无状态会话

无状态会话 从前, 我发表了一篇文章,解释了构建无状态会话的原理 。 巧合的是,我们再次针对多租户应用程序执行同一任务。 这次,我们将解决方案集成到Spring Security框架中,而不是自己构建身份验证机制。

本文将解释我们的方法和实现。

业务需求

我们需要为Saas应用程序建立身份验证机制。 每个客户都通过专用子域访问该应用程序。 因为该应用程序将部署在云上,所以很明显,无状态会话是首选,因为它使我们能够轻松部署其他实例。

在项目词汇表中,每个客户都是一个站点。 每个应用程序都是一个应用程序。 例如,站点可以是Microsoft或Google。 应用可能是Gmail,GooglePlus或Google云端硬盘。 用户用于访问应用程序的子域将包括应用程序和站点。 例如,它可能看起来像microsoft.mail.somedomain.com或google.map.somedomain.com

用户一旦登录到一个应用程序,就可以访问同一站点的任何其他应用程序。 一定的非活动时间后,会话将超时。

背景

无状态会话

具有超时的无状态应用程序并不是什么新鲜事物。 Play框架从2007年的第一个版本开始就一直是无状态的。很多年前,我们也切换到了无状态会话。 好处很明显。 您的负载均衡器不需要粘性; 因此,它更易于配置。 在浏览器中进行会话时,我们可以简单地引入新服务器以立即增加容量。 但是,缺点是您的会话不太大,也不是那么机密。

与会话存储在服务器中的有状态应用程序相比,无状态应用程序将会话存储在HTTP cookie中,该cookie不能超过4KB。 此外,由于它是cookie,因此建议开发人员仅将文本或数字存储在会话中,而不要存储复杂的数据结构。 会话存储在浏览器中,并在每个单个请求中传输到服务器。 因此,我们应该使会话尽可能小,并避免在其上放置任何机密数据。 简而言之,无状态会话迫使开发人员改变应用程序使用会话的方式。 应该是用户身份,而不是方便存储。

安全框架

Security Framework背后的想法非常简单,它有助于确定执行代码的原理,检查他是否有权执行某些服务,如果用户没有权限则抛出异常。 在实现方面,安全框架以AOP样式体系结构与您的服务集成。 每次检查都将在调用方法之前由框架进行。 实现权限检查的机制可以是过滤器或代理。

通常,安全框架会将主体信息存储在线程存储中(Java中的ThreadLocal)。 这就是为什么它可以随时为开发人员提供静态方法访问主体的原因。 我认为这是开发人员应该知道的事情。 否则,他们可能会在单独线程中运行的某些后台作业中实施权限检查或获取主体。 在这种情况下,很明显,安全框架将无法找到主体。

单点登录

单一登录主要使用身份验证服务器来实现。 它独立于实现会话(无状态或有状态)的机制。 每个应用程序仍保持自己的会话。 首次访问应用程序时,它将与身份验证服务器联系以对用户进行身份验证,然后创建自己的会话。

思想的食物

从头开始构架或构建

由于无状态会话是标准,因此我们最大的顾虑是使用或不使用安全框架。 如果使用的话,那么Spring Security是最便宜,最快的解决方案,因为我们已经在应用程序中使用了Spring Framework。 为了利益,任何安全框架都为我们提供了快速声明性的方式来声明评估规则。 但是,它不是业务逻辑感知的访问规则。 例如,我们可以定义仅代理可以访问产品,而不能定义一个代理只能访问属于他的某些产品。

在这种情况下,我们有两种选择,从头开始构建我们自己的业务逻辑许可权检查,或者构建两层许可权检查,一种是仅基于角色,一种是业务逻辑感知。 比较两种方法后,我们选择了后一种方法,因为它更便宜且构建速度更快。 我们的应用程序的功能将类似于任何其他Spring Security应用程序。 这意味着,如果在没有会话的情况下访问受保护的内容,则用户将被重定向到登录页面。 如果存在会话,则用户将获得状态码403。如果用户访问具有有效角色但未经授权的记录的受保护内容,则将获得401。

认证方式

接下来的问题是如何将我们的身份验证和授权机制与Spring Security集成在一起。 一个标准的Spring Security应用程序可以处理如下请求:

standard_spring_security

该图已简化,但仍使我们有了一个初步的想法。 如果请求是登录或注销,则前两个过滤器将更新服务器端会话。 此后,另一个过滤器帮助检查请求的访问权限。 如果权限检查成功,则另一个过滤器将帮助将用户会话存储到线程存储中。 之后,控制器将在正确的设置环境下执行代码。

对于我们来说,我们更喜欢创建身份验证机制,因为凭据需要包含网站域。 例如,我们可能有Xerox的Joe和WDS的Joe访问Saas应用程序。 由于Spring Security控制着准备身份验证令牌和身份验证提供程序的控制,因此我们发现在控制器级别实现自己的登录和注销要便宜得多,而不是花精力定制Custom Security。

当我们实现无状态会话时,我们需要在这里实现两项工作。 首先,我们需要在进行任何授权检查之前从cookie构造会话。 我们还需要更新会话时间戳,以便每次浏览器向服务器发送请求时刷新会话。

由于先前决定在控制器中进行身份验证,因此我们在这里面临挑战。 我们不应该在控制器执行之前刷新会话,因为我们在此处进行身份验证。 但是,View Resolver附带了一些控制器方法,这些方法可立即写入输出流。 因此,执行控制器后我们没有机会刷新Cookie。 最后,我们使用HandlerInterceptorAdapter选择一个稍有妥协的解决方案。 该处理程序拦截器使我们可以在每种控制器方法之前和之后进行额外的处理。 如果方法用于身份验证,则在控制器方法之后,而出于其他任何目的,则在控制器方法之前,我们实现刷新cookie。 新图应如下所示

stateless_spring_security

曲奇饼

为了有意义,用户应该只有一个会话cookie。 由于会话总是在每次请求后更改时间戳,因此我们需要在每个响应上更新会话。 通过HTTP协议,只有在Cookie与名称,路径和域匹配时才能执行此操作。

在满足此业务需求时,我们更喜欢尝试通过共享会话cookie来实现SSO的新方法。 如果每个应用程序都在相同的父域下并且理解相同的会话cookie,则实际上我们有一个全局会话。 因此,不再需要认证服务器。 为了实现这一愿景,我们必须将域设置为所有应用程序的父域。

性能

从理论上讲,无状态会话应该更慢。 假设服务器实现将会话表存储在内存中,则传入JSESSIONID cookie只会触发一次从会话表读取对象,并且可选地触发一次写入以更新上一次访问(用于计算会话超时)。 相反,对于无状态会话,我们需要计算哈希值以验证会话cookie,从数据库加载主体,分配新的时间戳并再次哈希。

但是,以今天的服务器性能而言,散列不应增加服务器响应时间的太多延迟。 更大的问题是从数据库查询数据,为此,我们可以使用缓存来加快速度。

在最佳情况下,如果没有进行数据库调用,则无状态会话可以与有状态会话足够接近地执行。 代替从由容器维护的会话表中加载,而是从由应用程序维护的内部缓存中加载会话。 在最坏的情况下,请求被路由到许多不同的服务器,并且主体对象存储在许多实例中。 这增加了额外的工作量,以便每台服务器一次将主体加载到缓存。 尽管成本可能很高,但它仅偶尔出现一次。

如果我们将粘性路由应用于负载均衡器,则我们应该能够实现最佳情况。 这样,我们可以将无状态会话cookie视为与JSESSIONID相似的机制,但具有重建会话对象的后备功能。

实作

我已将此实现的示例发布到https://github.com/tuanngda/sgdev-blog存储库。 请检查无状态会话项目。 该项目需要一个mysql数据库才能工作。 因此,请在build.properties之后设置一个模式,或者修改属性文件以适合您的模式。

该项目包括用于在端口8686上启动tomcat服务器的maven配置。因此,您只需键入mvn cargo:run即可启动服务器。

这是项目层次结构:

项目

我打包了Tomcat 7服务器和数据库,以便除了MySQL之外无需其他任何安装即可工作。 Tomcat配置文件TOMCAT_HOME / conf / context.xml包含数据源声明和项目属性文件。

现在,让我们仔细看看实现。

届会

我们需要两个会话对象,一个代表会话cookie,一个代表我们在Spring安全框架内部构建的会话对象:

public class SessionCookieData {private int userId;private String appId;private int siteId;private Date timeStamp;
}

public class UserSession {private User user;private Site site;public SessionCookieData generateSessionCookieData(){return new SessionCookieData(user.getId(), user.getAppId(), site.getId());}
}

通过此组合,我们有了将会话对象存储在cookie和内存中的对象。 下一步是实现一种方法,该方法允许我们从cookie数据构建会话对象。

public interface UserSessionService {public UserSession getUserSession(SessionCookieData sessionData);
}

现在,又有一项服务可以从Cookie数据中检索并生成Cookie。

public class SessionCookieService {public Cookie generateSessionCookie(SessionCookieData cookieData, String domain);public SessionCookieData getSessionCookieData(Cookie sessionCookie);public Cookie generateSignCookie(Cookie sessionCookie);
}

到目前为止,我们提供的服务可帮助我们进行转换

Cookie –> SessionCookieData –> UserSession

会话–> SessionCookieData –> Cookie

现在,我们应该有足够的资料将无状态会话与Spring Security框架集成在一起。

与Spring安全性集成

首先,我们需要添加一个过滤器以根据Cookie构造会话。 因为这应该在权限检查之前发生,所以最好使用AbstractPreAuthenticatedProcessingFilter

@Component(value="cookieSessionFilter")
public class CookieSessionFilter extends AbstractPreAuthenticatedProcessingFilter {...@Overrideprotected Object getPreAuthenticatedPrincipal(HttpServletRequest request) {SecurityContext securityContext = extractSecurityContext(request);if (securityContext.getAuthentication()!=null  && securityContext.getAuthentication().isAuthenticated()){UserAuthentication userAuthentication = (UserAuthentication) securityContext.getAuthentication();UserSession session = (UserSession) userAuthentication.getDetails();SecurityContextHolder.setContext(securityContext);return session;}return new UserSession();}...}

上面的过滤器根据会话cookie构造主体对象。 筛选器还会创建一个PreAuthenticatedAuthenticationToken,稍后将用于身份验证。 显然,Spring不会理解该负责人。 因此,我们需要提供自己的AuthenticationProvider,它可以基于此主体来对用户进行身份验证。

public class UserAuthenticationProvider implements AuthenticationProvider {
@Overridepublic Authentication authenticate(Authentication authentication) throws AuthenticationException {PreAuthenticatedAuthenticationToken token = (PreAuthenticatedAuthenticationToken) authentication;UserSession session = (UserSession)token.getPrincipal();if (session != null && session.getUser() != null){SecurityContext securityContext = SecurityContextHolder.getContext();securityContext.setAuthentication(new UserAuthentication(session));return new UserAuthentication(session);}throw new BadCredentialsException("Unknown user name or password");}
}

这是春天的方式。 如果我们设法提供有效的身份验证对象,则对用户进行身份验证。 实际上,我们让用户针对每个单个请求通过会话cookie登录。

但是,有时我们需要更改用户会话,并且可以像往常一样在控制器方法中进行更改。 我们只需覆盖SecurityContext,它已在过滤器中更早设置。

还将UserSession存储到SecurityContextHolder,这有助于设置环境。 因为它是预身份验证过滤器,所以它对大多数请求(身份验证除外)都可以很好地工作。

我们应该手动更新身份验证方法中的SecurityContext:

public ModelAndView login(String login, String password, String siteCode) throws IOException{if(StringUtils.isEmpty(login) || StringUtils.isEmpty(password)){throw new HttpServerErrorException(HttpStatus.BAD_REQUEST, "Missing login and password");}User user = authService.login(siteCode, login, password);if(user!=null){SecurityContext securityContext = SecurityContextHolder.getContext();UserSession userSession = new UserSession();userSession.setSite(user.getSite());userSession.setUser(user);securityContext.setAuthentication(new UserAuthentication(userSession));}else{throw new HttpServerErrorException(HttpStatus.UNAUTHORIZED, "Invalid login or password");}return new ModelAndView(new MappingJackson2JsonView());}

刷新会议

到目前为止,您可能会注意到我们从未提到过编写cookie。 假设我们有一个有效的Authentication对象,并且我们的SecurityContext包含UserSession,则需要将此信息发送到浏览器很重要。 在生成HttpServletResponse之前,我们必须将会话cookie附加到它。 具有相同域和路径的cookie将替换浏览器保留的较旧的会话。

如上所述,刷新会话最好在控制器方法之后完成,因为我们在此处实现了身份验证。 但是,挑战是由Spring MVC的ViewResolver引起的。 有时,它这么快就写入OutputStream,以至于将cookie添加到响应中的任何尝试都是没有用的。 最后,我们提出了一个折衷方案,该解决方案在用于常规请求的控制器方法之前和用于身份验证请求的控制器方法之后刷新会话。 要知道请求是否用于身份验证,我们在身份验证方法上放置一个注释。

@Overridepublic boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {if (handler instanceof HandlerMethod){HandlerMethod handlerMethod = (HandlerMethod) handler;SessionUpdate sessionUpdateAnnotation = handlerMethod.getMethod().getAnnotation(SessionUpdate.class);if (sessionUpdateAnnotation == null){SecurityContext context = SecurityContextHolder.getContext();if (context.getAuthentication() instanceof UserAuthentication){UserAuthentication userAuthentication = (UserAuthentication)context.getAuthentication();UserSession session = (UserSession) userAuthentication.getDetails();persistSessionCookie(response, session);}}}return true;}@Overridepublic void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler,ModelAndView modelAndView) throws Exception {if (handler instanceof HandlerMethod){HandlerMethod handlerMethod = (HandlerMethod) handler;SessionUpdate sessionUpdateAnnotation = handlerMethod.getMethod().getAnnotation(SessionUpdate.class);if (sessionUpdateAnnotation != null){SecurityContext context = SecurityContextHolder.getContext();if (context.getAuthentication() instanceof UserAuthentication){UserAuthentication userAuthentication = (UserAuthentication)context.getAuthentication();UserSession session = (UserSession) userAuthentication.getDetails();persistSessionCookie(response, session);}}}}

结论

该解决方案对我们来说效果很好,但是我们没有把握这可能是最佳实践。 但是,它很简单,并且不需要花费很多精力来实施(包括测试在内大约需要3天)。

如果您有更好的想法来与Spring建立无状态会话,请提供反馈。

翻译自: https://www.javacodegeeks.com/2014/09/stateless-session-for-multi-tenant-application-using-spring-security.html

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/362084.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

What?一个 Dubbo 服务启动要两个小时!

前言 前几天在测试环境碰到一个非常奇怪的与 dubbo 相关的问题,事后我在网上搜索了一圈并没有发现类似的帖子或文章,于是便有了这篇。 希望对还未碰到或正在碰到的朋友有所帮助。 现象 现象是这样的,有一天测试在测试环境重新部署一个 dubbo …

使用Project Lombok减少Java应用程序中的样板代码

对Java编程语言最常提出的批评之一是它需要大量的样板代码 。 对于简单的类尤其如此,该类只需要存储一些值就可以。 您需要这些值的getter和setter,也许您还需要一个构造函数,覆盖equals()和 hashcode(&am…

十六、CI框架之数据库操作get用法

一、使用数据库的Get方法读取内容,如下代码: 二、数据库如下: 二、效果如下: 转载于:https://www.cnblogs.com/tianpan2019/p/11141809.html

WCF系列(二) -- 使用配置文件构建和使用WCF服务

当然,配置一个ServiceHost除了上面说的完全使用代码的方式,更好的方式是使用配置文件,把一些可能需要修改的属性跟代码分离,放到配置文件中,这样可以提供服务配置的灵活性,也更容易维护。 看看前面那个不用…

如何使用github搭建个人博客

1、去github官网注册个人帐号:没有的:猛戳这里去注册,比如我的账户名:wjf444128852,我的已经汉化(可在github里搜索github如何汉化有插件) 2、点击仓库-新建,仓库名字必须是:你的github帐号.git…

Spring Boot和Spring Data REST –通过REST公开存储库

使用Spring Boot和Spring Data REST,通过REST公开Spring Data存储库非常容易。 使用最少的代码,您可以创建遵循HATEOAS原理的JPA实体的REST表示。 我决定重用Spring PetClinic的JPA实体(业务层)作为本文的基础。 应用基础 PetCli…

jQuery Ajax – Servlets集成:构建完整的应用程序

网上有很多教程,它们解释了有关使用servlet和JSP页面进行Java Web开发的一些知识,但是,我从来没有找到对于初学者来说足够简洁,简单的教程。 这样的教程应该解释创建一个简单的Web应用程序的整个过程,包括前端&#xf…

信息系统开发平台OpenExpressApp - 应用模型ApplicationModel

下图为OpenExpressApp的系统架构图,其中在应用模型是作为一种元数据贯穿于整个架构,应用模型运行在OpenExpressApp框架之上。应用模型是OEA的核心,理解好应用模型才能更好的使用OEA。 应用模型贯穿于整个架构层 模型关注what OEA希望从重复的…

关于页面布局间距使用的经验之谈

在页面布局的时候遇到一个问题在此记录。 有如下布局需求。页面上大多数都是这样的,一块一块从上到下排列。 块与块之间的间距需要固定由谁来负责。例如第一个块和第二个块之间的间距,就需要第二个块的margin-top完成,文字和第二个块之间的间…

canvas绘制经典折线图(一)

最终效果图如下&#xff1a; 实现步骤如下&#xff1a;注-引用了jQuery HTML代码 <!doctype html><html lang"en"><head><meta charset"UTF-8"><meta name"Generator" content"EditPlus"><meta nam…

win7笔记本为手机共享wifi

1、cmd netsh wlan set hostednetwork modeallow ssidyourname keyyourpassword 开启win7的虚拟wifi&#xff0c;让电脑变成无线路由器 这时&#xff0c;网络连接中会多出一个网卡为“Microsoft Virtual WiFi Miniport Adapter”的无线连接2。如果没有&#xff0c;需要更新无线…

createjs中shape的属性regX和regY

官方文档说regX和regY是图形与注册点的距离。 那么注册点是什么呢&#xff1f; 我理解注册点就是图形的x/y对应的点图形动效的原点就是注册点 如果修改图形的regX和regY值图形在画布上的位置是会被改变的&#xff0c;但是注册点其实并没有被改变。因为图形的x/y值并没有被改…

H3C 单区域OSPF配置示例二

转载于:https://www.cnblogs.com/fanweisheng/p/11163688.html

身份反模式:联邦筒仓和意大利面条身份

分析公司Quocirca的最新研究证实&#xff0c;现在许多企业的外部用户比内部用户更多&#xff1a;在欧洲&#xff0c;有58&#xff05;的企业直接与其他企业和/或消费者的用户进行交易&#xff1b; 仅在英国&#xff0c;这一数字就达到了65&#xff05;。 如果您回顾历史&#x…

多个气泡向上冒出!

这里展示白色半透明气泡如下图&#xff1a;实际是动态 思路&#xff1a;HTML里只需要一个CANVAS元素&#xff0c;Javascript里操作canvas 1、给canvas里绘制背景图片 2、在绘制半径为0-10px的圆形&#xff0c;x坐标屏幕水平随机&#xff0c;y所标竖直大于屏幕高度。 圆形背景…

分享25个优秀的网站底部设计案例

相对于网站头部来说&#xff0c;关注网站底部设计的人很少。我们平常也能碰到有些网站的底部设计得很漂亮&#xff0c;给网站的呈现来一个完美的结尾。这篇文章收集了25个优秀的网站底部设计案例&#xff0c;一起欣赏。 me & oli La Bubbly Poogan’s Porch GiftRocket Lin…

wbepack中output.filename和output.chunkFilename

对于webpack配置中filename和chunkFilename在使用中有些不懂的地方&#xff0c;研究之后记录如下。 filename: string | function 此选项决定了每个输出 bundle 的名称。这些 bundle 将写入到 output.path 选项指定的目录下。 对于单个入口起点&#xff0c;filename 会是一个…

OP AMP - 反馈理论在运放中的应用

实际应用的系统绝大多数是闭环的&#xff0c;运放更是如此。 关于反馈理论&#xff0c;需要了解极点&#xff0c;零点&#xff0c;波特图&#xff0c;以及如何用相位裕度&#xff0c;幅值裕度 确定系统的稳定性&#xff0c;这里不作赘述 &#xff0c;不懂的部分可以到网上搜点…

阅读react-redux源码 - 零

阅读react-redux源码 - 零阅读react-redux源码 - 一阅读react-redux源码(二) - createConnect、match函数的实现 react的技术栈一定会遇到redux&#xff0c;而在react中使用redux需要使用react-redux&#xff0c;那么react-redux是怎么包装redux已适用react的呢&#xff1f; …

CORS(跨域资源共享)

CORS&#xff08;跨域资源共享&#xff09;使用额外的HTTP头部来告诉浏览器&#xff0c;允许运行在origin(domain)上的Web应用访问来自不同源服务器上的指定资源。 浏览器访问一个web应用&#xff0c;这个web应用会发很多的跨域请求&#xff0c;例如加载不同源的JS/CSS脚本&am…