思享工具箱

细说RESTful API安全之认证授权

摘要:
认证授权包括两个方面:访问资源时必须携带用户身份信息,例如登录时返回用户访问_令牌,访问资源时携带令牌。在REST架构中,access_ Token被定义为用户身份,用于授权对资源的访问。仅允许系统的合法用户访问资源。

细说RESTful API安全之认证授权第1张

认证授权包含2个方面:
(1)访问某个资源时必须携带用户身份信息,如:用户登录时返回用户access_token,访问资源时携带该参数。
(2)检查用户是否具备访问当前资源(url或数据)的权限:访问资源时检查用户权限。

在REST架构中,access_token被定义为用户身份标识,用于对资源访问授权,只允许系统合法用户访问资源。具体来说:
- 必须在每次访问时都携带access_token参数,参数位置可以位于HTTP消息头(HTTP Basic Authentication),也可放在请求参数列表中。
- 如果在访问请求中不存在access_token参数,或者验证access_token不合法(不存在或者不正确),拒绝访问,必须强制用户登录。

如何生成安全有效的用户access_token?
acces_token作为用户身份标识,必然与数据库中的用户一一对应,即:<access_token : user_id>。
在网络通信中,一切数据都是透明的,都能被抓包截获,所以必须保证access_token具备如下特性:
1. access_token需要满足分布式环境下的全局唯一性
2. access_token中不应该包含用户信息,如果将用户id编码到access_token中很容易泄露系统用户信息(通常用户id都是自增长的,很容易曝露系统当前用户规模等信息)。
3. access_token应该是动态变化的,即:用户每次登录时得到的access_token值都与上一次登录不同。这样保证参数没有规律性,避免被用于网络攻击。
4. access_token应该具备一定特征,用于参数合法性验证,如:长度必须满足30个字符。

参照如上需求,可以按照如下方式设计access_token:
(1)用户登录时,动态生成UUID作为该用户的access_token,同时以access_token为key,用户id为value存入redis。
(2)用户访问资源时携带access_token,解析验证请求参数。
(3)如果access_token在redis中不存在,则说明用户还未登录,强制用户登录;转到(1)。
(4)如果access_token不合法(如字符长度不满足),强制用户重新登录;转到(1)。
(5)验证access_token通过,继续其他权限验证或者资源访问。

此外,根据业务场景可以作如下约定以增强access_token安全性:
1. 设置access_token超时时间,即:超过一定时间之后就必须让access_token失效,强制用户重新登录。
2. 使用HTTP Basic Authentication,将access_token放在http消息头中而不是直接放在请求参数里,这样做更加规范。
3. 由于UUID会使用时间戳,所以需要对集群内服务器进行时钟同步

注意:
JDK提供的默认UUID实现是基于名字空间的UUID(UUID Version 3)和基于伪随机数的UUID(UUID Version 4),很难保证在分布式环境下是全局唯一的。一个可选的开源Java UUID实现组件:
https://github.com/cowtowncoder/java-uuid-generator Java Uuid Generator (JUG),提供基于时间和MAC地址的UUID Version 1实现

当然,如果在实际的业务系统中能保证名称唯一,比如用户手机或者邮箱,那么可以直接使用JDK基于名称空间的UUID V3实现。

之所以选择UUID作为access_token实现,基于如下考虑:
(1)性能:UUID生成在本地完成,高效。
(2)简单有效:只要保证access_token全局唯一即可,且可以动态变化。

实际上,实现认证最优雅的方式应该是使用JWT,这是一个Token标准。

【参考】
https://zh.wikipedia.org/wiki/%E9%80%9A%E7%94%A8%E5%94%AF%E4%B8%80%E8%AF%86%E5%88%AB%E7%A0%81 UUID
https://www.zhihu.com/question/34876910 UUID是如何保证唯一性的?
http://blog.csdn.net/fengshizty/article/details/48754609 App开放接口api安全性—Token签名sign的设计与实现
http://www.cnblogs.com/QLeelulu/archive/2009/11/22/1607898.html 访问需要HTTP Basic Authentication认证的资源的各种语言的实现
https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Authorization
https://zxc0328.github.io/2015/11/04/http-basic-auth/ Http Basic Authorization的使用

标签:#uuid#access#restful#token#access数据库 | 浏览:266 | 发布日期:

免责声明:文章转载自《细说RESTful API安全之认证授权》仅用于学习参考。如对内容有疑问,请及时联系本站处理。

上篇STM32CubeMx——串口收发单文件文件上传到服务器(HTML5+js+Java)下篇

宿迁高防,2C2G15M,22元/月;香港BGP,2C5G5M,25元/月 雨云优惠码:MjYwNzM=

相关文章

wifidog 认证

首先简介一下什么是Portal认证。Portal认证。通常也会叫Web认证。未认证用户上网时,设备强制用户登录到特定站点,用户能够免费訪问当中的服务。当用户须要使用互联网中的其他信息时,必须在门户站点进行认证。仅仅有认证通过后才干够使用互联网资源。 现金非常多中国移动CMCC、中国联通、中国电信ChinaNet的WIFI都使用这样的认证接入方式。...

幂等设计

最近做的项目的性能调优中关于幂等设计的一些总结 场景:假设有这样一个方法,包含了一些DB操作,check if existing then update else save. 如果两个线程同时去执行这个方法,并且他们处理的是同一条数据,期望应该是其中一个线程是save,另外一个是update。但是有可能线程的处理时间相当重合,线程A在check的时候,线程...

shiro身份验证

身份验证,即在应用中谁能证明他就是他本人。一般提供如他们的身份ID一些标识信息来表明他就是他本人,如提供身份证,用户名/密码来证明。 在shiro中,用户需要提供principals(身份)和credentials(证明)给shiro,从而应用能验证用户身份: principals:身份,即主体的标识属性,可以是任何东西,如用户名、邮箱等,唯一即可。一个主...

Java生成UUID

转自:http://www.cnblogs.com/hellojava/archive/2012/12/03/2799953.html UUID含义是通用唯一识别码(Universally Unique Identifier),这是一个软件建构的标准,也是被开源软件基金会 (Open Software Foundation, OSF) 的组织应用在分布式计...

django项目同一用户不能同时登陆

1、session认证 ..... login(request, user) #登录成功 # 登录之后获取获取最新的session_key session_key = request.session.session_key # 删除非当前用户session_key的记录 for session in Session.objects.filter(~Q(se...

一文梳理同源策略与跨域技术

1.同源策略 同源策略是一个重要的安全策略,它用于限制一个origin的文档或者它加载的脚本如何能与另一个源的资源进行交互。它能帮助阻隔恶意文档,减少可能被攻击的媒介。 1.1何谓同源? 如果两个 URL 的 protocol、port (如果有指定的话)和 host 都相同的话,则这两个 URL 是同源。这个方案也被称为“协议/主机/端口元组”,或者直接...

最新文章

随机推荐

思享工具箱导航