在當今的數位環境中,提供安全且使用者友好的身份驗證方法至關重要。一種越來越流行的方法是一次性令牌 (OTT) 身份驗證,通常以透過電子郵件發送的「魔術連結」的形式實現。 Spring Security 6.4.0 為 OTT 身份驗證提供強大的內建支持,包括即用型實現。在這份綜合指南中,我們將探討如何使用內建解決方案和自訂實作來實現安全的 OTT 身份驗證。
了解一次性令牌與一次性密碼
在深入實施之前,了解一次性令牌 (OTT) 與一次性密碼 (OTP) 的差異非常重要。雖然 OTP 系統通常需要初始設定並依賴外部工具來產生密碼,但從使用者角度來看,OTT 系統更簡單 - 它們會收到可用於身份驗證的唯一令牌(通常透過電子郵件)。
主要差異包括:
- OTT 不需要初始使用者設定
- 令牌由您的應用程式產生和交付
- 每個令牌通常只能使用一次,並在設定時間後過期
可用的內建實現
Spring Security 提供了 OneTimeTokenService 的兩種實作:
-
InMemoryOneTimeTokenService:
- 將令牌儲存在記憶體中
- 非常適合開發和測試
- 不適合生產或叢集環境
- 應用程式重新啟動時令牌會遺失
-
JdbcOneTimeTokenService:
- 將令牌儲存在資料庫中
- 適合生產使用
- 在叢集環境中工作
- 具有自動清理功能的持久性儲存
使用 InMemoryOneTimeTokenService
以下是如何實現更簡單的記憶體解決方案:
@Configuration
@EnableWebSecurity
public class SecurityConfig {
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
http
.authorizeHttpRequests(auth -> auth
.requestMatchers("/login/**", "/ott/**").permitAll()
.anyRequest().authenticated()
)
.formLogin(Customizer.withDefaults())
.oneTimeTokenLogin(Customizer.withDefaults()); // Uses InMemoryOneTimeTokenService by default
return http.build();
}
}
使用 JdbcOneTimeTokenService
對於生產環境,使用 JDBC 實作:
@Configuration
@EnableWebSecurity
public class SecurityConfig {
@Autowired
JdbcTemplate jdbcTemplate;
@Bean
public OneTimeTokenService oneTimeTokenService() {
return new JdbcOneTimeTokenService(jdbcTemplate);
}
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
http
.authorizeHttpRequests(auth -> auth
.requestMatchers("/login/**", "/ott/**").permitAll()
.anyRequest().authenticated()
)
.formLogin(Customizer.withDefaults())
.oneTimeTokenLogin(Customizer.withDefaults());
return http.build();
}
}
JdbcOneTimeTokenService 所需的表格結構:
CREATE TABLE one_time_tokens (
token_value VARCHAR(255) PRIMARY KEY,
username VARCHAR(255) NOT NULL,
issued_at TIMESTAMP NOT NULL,
expires_at TIMESTAMP NOT NULL,
used BOOLEAN NOT NULL
);
客製化實施
為了更好地控制令牌產生和驗證過程,您可以建立自訂實作:
1. Token實體和儲存庫
@Entity
@Table(name = "one_time_tokens")
public class OneTimeToken {
@Id
@GeneratedValue
private Long id;
private String tokenValue;
private String username;
private LocalDateTime createdAt;
private LocalDateTime expiresAt;
private boolean used;
// Getters and setters omitted for brevity
}
@Repository
public interface OneTimeTokenRepository extends JpaRepository<onetimetoken long> {
Optional<onetimetoken> findByTokenValueAndUsedFalse(String tokenValue);
void deleteByExpiresAtBefore(LocalDateTime dateTime);
}
</onetimetoken></onetimetoken>
2. 自訂令牌服務
@Service
@Transactional
public class PersistentOneTimeTokenService implements OneTimeTokenService {
private static final int TOKEN_VALIDITY_MINUTES = 15;
@Autowired
private OneTimeTokenRepository tokenRepository;
@Override
public OneTimeToken generate(GenerateOneTimeTokenRequest request) {
String tokenValue = UUID.randomUUID().toString();
LocalDateTime now = LocalDateTime.now();
OneTimeToken token = new OneTimeToken();
token.setTokenValue(tokenValue);
token.setUsername(request.getUsername());
token.setCreatedAt(now);
token.setExpiresAt(now.plusMinutes(TOKEN_VALIDITY_MINUTES));
token.setUsed(false);
return return new DefaultOneTimeToken(token.getTokenValue(),token.getUsername(), Instant.now());
}
@Override
public Authentication consume(ConsumeOneTimeTokenRequest request) {
OneTimeToken token = tokenRepository.findByTokenValueAndUsedFalse(request.getTokenValue())
.orElseThrow(() -> new BadCredentialsException("Invalid or expired token"));
if (token.getExpiresAt().isBefore(LocalDateTime.now())) {
throw new BadCredentialsException("Token has expired");
}
token.setUsed(true);
tokenRepository.save(token);
UserDetails userDetails = loadUserByUsername(token.getUsername());
return new UsernamePasswordAuthenticationToken(
userDetails, null, userDetails.getAuthorities());
}
}
實施令牌交付
Spring Security 不處理令牌傳遞,因此您需要實現它:
@Component
public class EmailMagicLinkHandler implements OneTimeTokenGenerationSuccessHandler {
@Autowired
private JavaMailSender mailSender;
private final OneTimeTokenGenerationSuccessHandler redirectHandler =
new RedirectOneTimeTokenGenerationSuccessHandler("/ott/check-email");
@Override
public void handle(HttpServletRequest request, HttpServletResponse response,
OneTimeToken token) throws IOException, ServletException {
String magicLink = UriComponentsBuilder.fromHttpUrl(UrlUtils.buildFullRequestUrl(request))
.replacePath(request.getContextPath())
.replaceQuery(null)
.fragment(null)
.path("/login/ott")
.queryParam("token", token.getTokenValue())
.toUriString();
SimpleMailMessage message = new SimpleMailMessage();
message.setTo(getUserEmail(token.getUsername()));
message.setSubject("Your Sign-in Link");
message.setText("Click here to sign in: " + magicLink);
mailSender.send(message);
redirectHandler.handle(request, response, token);
}
}
自訂 URL 和頁面
Spring Security 提供了多種自訂選項:
@Configuration
@EnableWebSecurity
public class SecurityConfig {
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
http
.authorizeHttpRequests(auth -> auth
.requestMatchers("/login/**", "/ott/**").permitAll()
.anyRequest().authenticated()
)
.formLogin(Customizer.withDefaults())
.oneTimeTokenLogin(Customizer.withDefaults()); // Uses InMemoryOneTimeTokenService by default
return http.build();
}
}
生產注意事項
在生產中部署 OTT 驗證時:
-
選出正確的實作
- 使用 JdbcOneTimeTokenService 或自訂實作進行生產
- InMemoryOneTimeTokenService 只能用於開發/測試
設定電子郵件傳送
@Configuration
@EnableWebSecurity
public class SecurityConfig {
@Autowired
JdbcTemplate jdbcTemplate;
@Bean
public OneTimeTokenService oneTimeTokenService() {
return new JdbcOneTimeTokenService(jdbcTemplate);
}
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
http
.authorizeHttpRequests(auth -> auth
.requestMatchers("/login/**", "/ott/**").permitAll()
.anyRequest().authenticated()
)
.formLogin(Customizer.withDefaults())
.oneTimeTokenLogin(Customizer.withDefaults());
return http.build();
}
}
-
安全最佳實務
- 設定適當的令牌過期時間(建議 15 分鐘)
- 對代幣產生實施速率限制
- 對所有端點使用 HTTPS
- 監控失敗的驗證嘗試
- 確保代幣是一次性的,使用後立即失效
- 實現過期令牌的自動清理
- 使用安全隨機令牌產生來防止猜測
它是如何運作的
- 使用者透過提交電子郵件地址請求令牌
- 系統產生安全令牌並透過電子郵件發送魔法連結
- 使用者點擊連結並被重新導向到令牌提交頁面
- 系統驗證令牌並驗證使用者(如果有效)
結論
Spring Security 的 OTT 支援為實現安全、用戶友好的身份驗證提供了堅實的基礎。無論您選擇內建實作還是建立自訂解決方案,您都可以為使用者提供無密碼登入選項,同時保持高安全標準。
實作 OTT 驗證時,請記住:
- 選擇適合您環境的實作
- 實施安全令牌交付
- 配置正確的令牌過期時間
- 遵循安全最佳實務
- 建立使用者友善的錯誤處理和重定向
- 實作適當的電子郵件範本以獲得專業外觀
透過遵循本指南,您可以實現安全且使用者友好的 OTT 身份驗證系統,滿足您的應用程式的需求,同時利用 Spring Security 強大的安全功能。
參考:https://docs.spring.io/spring-security/reference/servlet/authentication/onetimetoken.html
以上是使用 Spring Security 實現一次性令牌身份驗證的詳細內容。更多資訊請關注PHP中文網其他相關文章!
平台獨立性如何使企業級的Java應用程序受益?May 03, 2025 am 12:23 AMJava在企業級應用中被廣泛使用是因為其平台獨立性。 1)平台獨立性通過Java虛擬機(JVM)實現,使代碼可在任何支持Java的平台上運行。 2)它簡化了跨平台部署和開發流程,提供了更大的靈活性和擴展性。 3)然而,需注意性能差異和第三方庫兼容性,並採用最佳實踐如使用純Java代碼和跨平台測試。
考慮到平台獨立性,Java在物聯網(物聯網)設備的開發中扮演什麼角色?May 03, 2025 am 12:22 AMJavaplaysigantroleiniotduetoitsplatFormentence.1)itallowscodeTobewrittenOnCeandrunonVariousDevices.2)Java'secosystemprovidesuseusefidesusefidesulylibrariesforiot.3)
描述一個方案,您在Java中遇到了一個特定於平台的問題以及如何解決。May 03, 2025 am 12:21 AMThesolutiontohandlefilepathsacrossWindowsandLinuxinJavaistousePaths.get()fromthejava.nio.filepackage.1)UsePaths.get()withSystem.getProperty("user.dir")andtherelativepathtoconstructthefilepath.2)ConverttheresultingPathobjecttoaFileobjectifne
Java平台獨立對開發人員有什麼好處?May 03, 2025 am 12:15 AMJava'splatFormIndenceistificantBecapeitAllowSitallowsDevelostWriTecoDeonCeandRunitonAnyPlatFormwithAjvm.this“ writeonce,runanywhere”(era)櫥櫃櫥櫃:1)交叉plat formcomplibility cross-platformcombiblesible,enablingDeploymentMentMentMentMentAcrAptAprospOspOspOssCrossDifferentoSswithOssuse; 2)
將Java用於需要在不同服務器上運行的Web應用程序的優點是什麼?May 03, 2025 am 12:13 AMJava適合開發跨服務器web應用。 1)Java的“一次編寫,到處運行”哲學使其代碼可在任何支持JVM的平台上運行。 2)Java擁有豐富的生態系統,包括Spring和Hibernate等工具,簡化開發過程。 3)Java在性能和安全性方面表現出色,提供高效的內存管理和強大的安全保障。
JVM如何促進Java的'寫作一次,在任何地方運行”(WORA)功能?May 02, 2025 am 12:25 AMJVM通過字節碼解釋、平台無關的API和動態類加載實現Java的WORA特性:1.字節碼被解釋為機器碼,確保跨平台運行;2.標準API抽像操作系統差異;3.類在運行時動態加載,保證一致性。
Java的較新版本如何解決平台特定問題?May 02, 2025 am 12:18 AMJava的最新版本通過JVM優化、標準庫改進和第三方庫支持有效解決平台特定問題。 1)JVM優化,如Java11的ZGC提升了垃圾回收性能。 2)標準庫改進,如Java9的模塊系統減少平台相關問題。 3)第三方庫提供平台優化版本,如OpenCV。
說明JVM執行的字節碼驗證的過程。May 02, 2025 am 12:18 AMJVM的字節碼驗證過程包括四個關鍵步驟:1)檢查類文件格式是否符合規範,2)驗證字節碼指令的有效性和正確性,3)進行數據流分析確保類型安全,4)平衡驗證的徹底性與性能。通過這些步驟,JVM確保只有安全、正確的字節碼被執行,從而保護程序的完整性和安全性。
熱AI工具
Undresser.AI Undress
人工智慧驅動的應用程序,用於創建逼真的裸體照片
AI Clothes Remover
用於從照片中去除衣服的線上人工智慧工具。
Undress AI Tool
免費脫衣圖片
Clothoff.io
AI脫衣器
Video Face Swap
使用我們完全免費的人工智慧換臉工具,輕鬆在任何影片中換臉!
熱門文章
熱工具
Dreamweaver Mac版
視覺化網頁開發工具
MinGW - Minimalist GNU for Windows
這個專案正在遷移到osdn.net/projects/mingw的過程中,你可以繼續在那裡關注我們。 MinGW:GNU編譯器集合(GCC)的本機Windows移植版本,可自由分發的導入函式庫和用於建置本機Windows應用程式的頭檔;包括對MSVC執行時間的擴展,以支援C99功能。 MinGW的所有軟體都可以在64位元Windows平台上運作。
PhpStorm Mac 版本
最新(2018.2.1 )專業的PHP整合開發工具
SublimeText3 英文版
推薦:為Win版本,支援程式碼提示!
SAP NetWeaver Server Adapter for Eclipse
將Eclipse與SAP NetWeaver應用伺服器整合。
