在當今的數位環境中,提供安全且使用者友好的身份驗證方法至關重要。一種越來越流行的方法是一次性令牌 (OTT) 身份驗證,通常以透過電子郵件發送的「魔術連結」的形式實現。 Spring Security 6.4.0 為 OTT 身份驗證提供強大的內建支持,包括即用型實現。在這份綜合指南中,我們將探討如何使用內建解決方案和自訂實作來實現安全的 OTT 身份驗證。
了解一次性令牌與一次性密碼
在深入實施之前,了解一次性令牌 (OTT) 與一次性密碼 (OTP) 的差異非常重要。雖然 OTP 系統通常需要初始設定並依賴外部工具來產生密碼,但從使用者角度來看,OTT 系統更簡單 - 它們會收到可用於身份驗證的唯一令牌(通常透過電子郵件)。
主要差異包括:
- OTT 不需要初始使用者設定
- 令牌由您的應用程式產生和交付
- 每個令牌通常只能使用一次,並在設定時間後過期
可用的內建實現
Spring Security 提供了 OneTimeTokenService 的兩種實作:
-
InMemoryOneTimeTokenService:
- 將令牌儲存在記憶體中
- 非常適合開發和測試
- 不適合生產或叢集環境
- 應用程式重新啟動時令牌會遺失
-
JdbcOneTimeTokenService:
- 將令牌儲存在資料庫中
- 適合生產使用
- 在叢集環境中工作
- 具有自動清理功能的持久性儲存
使用 InMemoryOneTimeTokenService
以下是如何實現更簡單的記憶體解決方案:
@Configuration
@EnableWebSecurity
public class SecurityConfig {
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
http
.authorizeHttpRequests(auth -> auth
.requestMatchers("/login/**", "/ott/**").permitAll()
.anyRequest().authenticated()
)
.formLogin(Customizer.withDefaults())
.oneTimeTokenLogin(Customizer.withDefaults()); // Uses InMemoryOneTimeTokenService by default
return http.build();
}
}
使用 JdbcOneTimeTokenService
對於生產環境,使用 JDBC 實作:
@Configuration
@EnableWebSecurity
public class SecurityConfig {
@Autowired
JdbcTemplate jdbcTemplate;
@Bean
public OneTimeTokenService oneTimeTokenService() {
return new JdbcOneTimeTokenService(jdbcTemplate);
}
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
http
.authorizeHttpRequests(auth -> auth
.requestMatchers("/login/**", "/ott/**").permitAll()
.anyRequest().authenticated()
)
.formLogin(Customizer.withDefaults())
.oneTimeTokenLogin(Customizer.withDefaults());
return http.build();
}
}
JdbcOneTimeTokenService 所需的表格結構:
CREATE TABLE one_time_tokens (
token_value VARCHAR(255) PRIMARY KEY,
username VARCHAR(255) NOT NULL,
issued_at TIMESTAMP NOT NULL,
expires_at TIMESTAMP NOT NULL,
used BOOLEAN NOT NULL
);
客製化實施
為了更好地控制令牌產生和驗證過程,您可以建立自訂實作:
1. Token實體和儲存庫
@Entity
@Table(name = "one_time_tokens")
public class OneTimeToken {
@Id
@GeneratedValue
private Long id;
private String tokenValue;
private String username;
private LocalDateTime createdAt;
private LocalDateTime expiresAt;
private boolean used;
// Getters and setters omitted for brevity
}
@Repository
public interface OneTimeTokenRepository extends JpaRepository<onetimetoken long> {
Optional<onetimetoken> findByTokenValueAndUsedFalse(String tokenValue);
void deleteByExpiresAtBefore(LocalDateTime dateTime);
}
</onetimetoken></onetimetoken>
2. 自訂令牌服務
@Service
@Transactional
public class PersistentOneTimeTokenService implements OneTimeTokenService {
private static final int TOKEN_VALIDITY_MINUTES = 15;
@Autowired
private OneTimeTokenRepository tokenRepository;
@Override
public OneTimeToken generate(GenerateOneTimeTokenRequest request) {
String tokenValue = UUID.randomUUID().toString();
LocalDateTime now = LocalDateTime.now();
OneTimeToken token = new OneTimeToken();
token.setTokenValue(tokenValue);
token.setUsername(request.getUsername());
token.setCreatedAt(now);
token.setExpiresAt(now.plusMinutes(TOKEN_VALIDITY_MINUTES));
token.setUsed(false);
return return new DefaultOneTimeToken(token.getTokenValue(),token.getUsername(), Instant.now());
}
@Override
public Authentication consume(ConsumeOneTimeTokenRequest request) {
OneTimeToken token = tokenRepository.findByTokenValueAndUsedFalse(request.getTokenValue())
.orElseThrow(() -> new BadCredentialsException("Invalid or expired token"));
if (token.getExpiresAt().isBefore(LocalDateTime.now())) {
throw new BadCredentialsException("Token has expired");
}
token.setUsed(true);
tokenRepository.save(token);
UserDetails userDetails = loadUserByUsername(token.getUsername());
return new UsernamePasswordAuthenticationToken(
userDetails, null, userDetails.getAuthorities());
}
}
實施令牌交付
Spring Security 不處理令牌傳遞,因此您需要實現它:
@Component
public class EmailMagicLinkHandler implements OneTimeTokenGenerationSuccessHandler {
@Autowired
private JavaMailSender mailSender;
private final OneTimeTokenGenerationSuccessHandler redirectHandler =
new RedirectOneTimeTokenGenerationSuccessHandler("/ott/check-email");
@Override
public void handle(HttpServletRequest request, HttpServletResponse response,
OneTimeToken token) throws IOException, ServletException {
String magicLink = UriComponentsBuilder.fromHttpUrl(UrlUtils.buildFullRequestUrl(request))
.replacePath(request.getContextPath())
.replaceQuery(null)
.fragment(null)
.path("/login/ott")
.queryParam("token", token.getTokenValue())
.toUriString();
SimpleMailMessage message = new SimpleMailMessage();
message.setTo(getUserEmail(token.getUsername()));
message.setSubject("Your Sign-in Link");
message.setText("Click here to sign in: " + magicLink);
mailSender.send(message);
redirectHandler.handle(request, response, token);
}
}
自訂 URL 和頁面
Spring Security 提供了多種自訂選項:
@Configuration
@EnableWebSecurity
public class SecurityConfig {
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
http
.authorizeHttpRequests(auth -> auth
.requestMatchers("/login/**", "/ott/**").permitAll()
.anyRequest().authenticated()
)
.formLogin(Customizer.withDefaults())
.oneTimeTokenLogin(Customizer.withDefaults()); // Uses InMemoryOneTimeTokenService by default
return http.build();
}
}
生產注意事項
在生產中部署 OTT 驗證時:
-
選出正確的實作
- 使用 JdbcOneTimeTokenService 或自訂實作進行生產
- InMemoryOneTimeTokenService 只能用於開發/測試
設定電子郵件傳送
@Configuration
@EnableWebSecurity
public class SecurityConfig {
@Autowired
JdbcTemplate jdbcTemplate;
@Bean
public OneTimeTokenService oneTimeTokenService() {
return new JdbcOneTimeTokenService(jdbcTemplate);
}
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
http
.authorizeHttpRequests(auth -> auth
.requestMatchers("/login/**", "/ott/**").permitAll()
.anyRequest().authenticated()
)
.formLogin(Customizer.withDefaults())
.oneTimeTokenLogin(Customizer.withDefaults());
return http.build();
}
}
-
安全最佳實務
- 設定適當的令牌過期時間(建議 15 分鐘)
- 對代幣產生實施速率限制
- 對所有端點使用 HTTPS
- 監控失敗的驗證嘗試
- 確保代幣是一次性的,使用後立即失效
- 實現過期令牌的自動清理
- 使用安全隨機令牌產生來防止猜測
它是如何運作的
- 使用者透過提交電子郵件地址請求令牌
- 系統產生安全令牌並透過電子郵件發送魔法連結
- 使用者點擊連結並被重新導向到令牌提交頁面
- 系統驗證令牌並驗證使用者(如果有效)
結論
Spring Security 的 OTT 支援為實現安全、用戶友好的身份驗證提供了堅實的基礎。無論您選擇內建實作還是建立自訂解決方案,您都可以為使用者提供無密碼登入選項,同時保持高安全標準。
實作 OTT 驗證時,請記住:
- 選擇適合您環境的實作
- 實施安全令牌交付
- 配置正確的令牌過期時間
- 遵循安全最佳實務
- 建立使用者友善的錯誤處理和重定向
- 實作適當的電子郵件範本以獲得專業外觀
透過遵循本指南,您可以實現安全且使用者友好的 OTT 身份驗證系統,滿足您的應用程式的需求,同時利用 Spring Security 強大的安全功能。
參考:https://docs.spring.io/spring-security/reference/servlet/authentication/onetimetoken.html
以上是使用 Spring Security 實現一次性令牌身份驗證的詳細內容。更多資訊請關注PHP中文網其他相關文章!
如何使用咖啡因或Guava Cache等庫在Java應用程序中實現多層緩存?Mar 17, 2025 pm 05:44 PM本文討論了使用咖啡因和Guava緩存在Java中實施多層緩存以提高應用程序性能。它涵蓋設置,集成和績效優勢,以及配置和驅逐政策管理最佳PRA
如何在Java中實施功能編程技術?Mar 11, 2025 pm 05:51 PM本文使用lambda表達式,流API,方法參考和可選探索將功能編程集成到Java中。 它突出顯示了通過簡潔性和不變性改善代碼可讀性和可維護性等好處
Java的類負載機制如何起作用,包括不同的類載荷及其委託模型?Mar 17, 2025 pm 05:35 PMJava的類上載涉及使用帶有引導,擴展程序和應用程序類負載器的分層系統加載,鏈接和初始化類。父代授權模型確保首先加載核心類別,從而影響自定義類LOA
如何將JPA(Java持久性API)用於具有高級功能(例如緩存和懶惰加載)的對象相關映射?Mar 17, 2025 pm 05:43 PM本文討論了使用JPA進行對象相關映射,並具有高級功能,例如緩存和懶惰加載。它涵蓋了設置,實體映射和優化性能的最佳實踐,同時突出潛在的陷阱。[159個字符]
如何將Maven或Gradle用於高級Java項目管理,構建自動化和依賴性解決方案?Mar 17, 2025 pm 05:46 PM本文討論了使用Maven和Gradle進行Java項目管理,構建自動化和依賴性解決方案,以比較其方法和優化策略。
如何將Java的Nio(新輸入/輸出)API用於非阻滯I/O?Mar 11, 2025 pm 05:51 PM本文使用選擇器和頻道使用單個線程有效地處理多個連接的Java的NIO API,用於非阻滯I/O。 它詳細介紹了過程,好處(可伸縮性,性能)和潛在的陷阱(複雜性,
如何使用適當的版本控制和依賴項管理創建和使用自定義Java庫(JAR文件)?Mar 17, 2025 pm 05:45 PM本文使用Maven和Gradle之類的工具討論了具有適當的版本控制和依賴關係管理的自定義Java庫(JAR文件)的創建和使用。
如何使用Java的插座API進行網絡通信?Mar 11, 2025 pm 05:53 PM本文詳細介紹了用於網絡通信的Java的套接字API,涵蓋了客戶服務器設置,數據處理和關鍵考慮因素,例如資源管理,錯誤處理和安全性。 它還探索了性能優化技術,我
熱AI工具
Undresser.AI Undress
人工智慧驅動的應用程序,用於創建逼真的裸體照片
AI Clothes Remover
用於從照片中去除衣服的線上人工智慧工具。
Undress AI Tool
免費脫衣圖片
Clothoff.io
AI脫衣器
AI Hentai Generator
免費產生 AI 無盡。
熱門文章
熱工具
SublimeText3 英文版
推薦:為Win版本,支援程式碼提示!
MantisBT
Mantis是一個易於部署的基於Web的缺陷追蹤工具,用於幫助產品缺陷追蹤。它需要PHP、MySQL和一個Web伺服器。請查看我們的演示和託管服務。
mPDF
mPDF是一個PHP庫,可以從UTF-8編碼的HTML產生PDF檔案。原作者Ian Back編寫mPDF以從他的網站上「即時」輸出PDF文件,並處理不同的語言。與原始腳本如HTML2FPDF相比,它的速度較慢,並且在使用Unicode字體時產生的檔案較大,但支援CSS樣式等,並進行了大量增強。支援幾乎所有語言,包括RTL(阿拉伯語和希伯來語)和CJK(中日韓)。支援嵌套的區塊級元素(如P、DIV),
SublimeText3 Mac版
神級程式碼編輯軟體(SublimeText3)
SublimeText3 Linux新版
SublimeText3 Linux最新版
