Как настроить базовую авторизацию для не-web клиентов / Java

ReSQL.ru

Мобильная версия Контакт Правила FAQ Помощь

Гость

Войти | Регистрация | Профиль | Очистить

Новые сообщения | Избранное

Форумы | Пользователи | Статистика | Мод. лог | Поиск

Доб. в избранное | Игнор. тему | Прикреп. тему | Пометить прочит. / непрочит. | Фильтр

Форумы / Java [игнор отключен] [закрыт для гостей] / Как настроить базовую авторизацию для не-web клиентов

22 сообщений из 22, страница 1 из 1

Как настроить базовую авторизацию для не-web клиентов

#39797651

bobo96

Гость

Пытаюсь прикрутить авторизацию к скелету сервера, получается не особо)) Подскажите куда копать дальше. В интернетах все примеры для web клиентов, ввод логина с паролем идет через форму, а как сделать авторизацию для клиента на том же андроиде не понятно.
Суть в чем: отправляем с клиента запрос типа http://?dress%:8081/auth?login=login&password=pass , авторизируемся (или получаем сообщение об ошибке) и далее уже получаем доступ к тем запросам, которые требуют авторизации.

Контроллер:

Код: java

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.
27.
28.

@RestController
public class ApiController {

    @Autowired
    private CityRepository cityRepository;

    @GetMapping(path="/auth")
    public @ResponseBody
    BaseResponse userLogin(@RequestParam String email, @RequestParam String password) {
        // ???????
        return new BaseResponse("User not found", BaseResponse.CODE_ERROR);
    }

    @GetMapping(path="/auth/getCities")
    public @ResponseBody
    BaseResponse getCities(@RequestParam String name) {
        return new BaseResponse<>(cityRepository.findCityByName(name), BaseResponse.CODE_SUCCESS);

    }

    @GetMapping(path="/auth/getAllCities")
    public @ResponseBody
    BaseResponse getAllCities() {
        return new BaseResponse<>(cityRepository.findAllCites(), BaseResponse.CODE_SUCCESS);

    }
    
}

Конфиг:

Код: java

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.

@Configuration
@EnableWebSecurity
public class SecurityConfig
    extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
                .csrf().disable()
                .authorizeRequests().antMatchers("/auth").permitAll()
            .and()
                .authorizeRequests().antMatchers("/auth/**").authenticated()
            .and()
                .httpBasic()
            .and()
                .sessionManagement().disable();
    }

}

Что нужно реализовать в методе userLogin() ?
Или я туплю и оно не так в принципе делается ?

...

Рейтинг:

0 / 0

06.04.2019, 15:54

| Ответить | Цитировать | Написать

Как настроить базовую авторизацию для не-web клиентов

#39797656

Tsyklop

Гость

1. НИКОГДА, НИКОГДА!!! не используйте для авторизации GET запросы и тем более не передавайте логины и пароли в URL. Этот запрос может закешироваться и могут утянуть злоумышленники. То бишь безопасности НОЛЬ.

2. Используйте JWT авторизацию. Тот же OAuth от сприга. Можете авторизовываться откуда угодно.

3. В методе userLogin нужно проверить полученные данные на корректность - не null и не пустые ли. Далее. нужно сходить в бд и глянуть а есть ли такой юзверь по логину и проверить пароль, подходит ли он тому что пришло. ПАРОЛИ хранить в зашифрованном виде!!! не повторяйте ошибок Лицокниги.

...

Рейтинг:

0 / 0

06.04.2019, 16:28

| Ответить | Цитировать | Написать

Как настроить базовую авторизацию для не-web клиентов

#39797659

bobo96

Гость

Tsyklop1. НИКОГДА, НИКОГДА!!! не используйте для авторизации GET запросы и тем более не передавайте логины и пароли в URL. Этот запрос может закешироваться и могут утянуть злоумышленники. То бишь безопасности НОЛЬ.
Это понятно, спасибо, тут все в качестве примера, не более. Я саму цепочку пока уловить не могу, как, что и где нужно вызвать.

Tsyklop3. В методе userLogin нужно проверить полученные данные на корректность - не null и не пустые ли. Далее. нужно сходить в бд и глянуть а есть ли такой юзверь по логину и проверить пароль, подходит ли он тому что пришло. ПАРОЛИ хранить в зашифрованном виде!!! не повторяйте ошибок Лицокниги.
Это тоже все понятно, оно даже есть, вопрос в том, как авторизировать пользователя, если все ок, с помощью каких механизмов ?

...

Рейтинг:

0 / 0

06.04.2019, 16:59

| Ответить | Цитировать | Написать

Как настроить базовую авторизацию для не-web клиентов

#39797661

Tsyklop

Гость

bobo96Это тоже все понятно, оно даже есть, вопрос в том, как авторизировать пользователя, если все ок, с помощью каких механизмов ?

Если OAuth или JWT то через токен. Клиенту отдайтся токен и при каждом запросе клиент шлет этот токен. Сервер его проверяет и т.д.
Если без этого то: через сессию, но тогда будет проблема на других девайсах, тех же андроидах ибо нужно будет сохранять куку JSESSIONID. Можно через куки токеном. Принцип тот же что и через сессию, но на дольший срок

...

Рейтинг:

0 / 0

06.04.2019, 17:11

| Ответить | Цитировать | Написать

Как настроить базовую авторизацию для не-web клиентов

#39797668

bobo96

Гость

Tsyklopbobo96Это тоже все понятно, оно даже есть, вопрос в том, как авторизировать пользователя, если все ок, с помощью каких механизмов ?

Если OAuth или JWT то через токен. Клиенту отдайтся токен и при каждом запросе клиент шлет этот токен. Сервер его проверяет и т.д.
А можно пример ? Какую-нибудь элементарщину, что б был откуда плясать.

...

Рейтинг:

0 / 0

06.04.2019, 17:55

| Ответить | Цитировать | Написать

Как настроить базовую авторизацию для не-web клиентов

#39797684

Tsyklop

Гость

bobo96,
https://www.baeldung.com/spring-security-oauth-jwt
https://www.callicoder.com/spring-boot-spring-security-jwt-mysql-react-app-part-2/

...

Рейтинг:

0 / 0

06.04.2019, 19:32

| Ответить | Цитировать | Написать

Как настроить базовую авторизацию для не-web клиентов

#39797689

bobo96

Гость

Tsyklopbobo96,
https://www.baeldung.com/spring-security-oauth-jwt
https://www.callicoder.com/spring-boot-spring-security-jwt-mysql-react-app-part-2/
Спасибо!)

...

Рейтинг:

0 / 0

06.04.2019, 19:51

| Ответить | Цитировать | Написать

Как настроить базовую авторизацию для не-web клиентов

#39797726

Petro123

Участник

Откуда: Загрузочный сектор Москвы (AutoPOI.ru)

Сообщения: 39 476

Рейтинг: 0 / 0

TsyklopЕсли без этого то: через сессию, но тогда будет проблема на других девайсах, тех же андроидах ибо нужно будет сохранять куку JSESSIONID.
У вас не работают на сотовом сайты? Какая проблема с андроидом?

...

Рейтинг:

0 / 0

06.04.2019, 22:50

| Ответить | Цитировать | Написать

Как настроить базовую авторизацию для не-web клиентов

#39797732

Petro123

Участник

Откуда: Загрузочный сектор Москвы (AutoPOI.ru)

Сообщения: 39 476

Рейтинг: 0 / 0

bobo96Я саму цепочку пока уловить не могу, как, что и где нужно вызвать.
Вы сделайте сначала для веб клиентов. а потом уже для не веб клиентов.
Потому что не веб клиент это не http а например сокет\UDP\TCP\FTP.
Поэтому не трогайте пока андроид. Клиент эксплорер там один в один как на компе.
...
Самая простая аутентификация "базовая" включается галкой в web.xml. Это без спринга.
Потом идёт forms, потом пошли на основе токенов.
Потом с помощью специального ПО - spring security.
Потом керберос и так бесконечно.

...

Рейтинг:

0 / 0

06.04.2019, 23:16

| Ответить | Цитировать | Написать

Как настроить базовую авторизацию для не-web клиентов

#39798513

bobo96

Гость

Здравствуйте!
Продолжу, если никто не против))
С авторизацией разобрался, правда пока не с oauth2, а с базовой, но тем не менее. Еще раз спасибо за ссылки!
Несколько тупых вопросов:
1. Те токены, которые выдает сервер клиенту, хранятся где-то на сервере ? Как ими управлять ? Т.е. сегодня я выдал токен, а завтра хочу забрать (удалить), как это сделать ? Погуглил, вроде-как каких-то стандартных механизмов нет, варинтов много. Как делать это правильно ?
2. Вопрос по самому токену. Понятно, что с его помощью сервер понимает, что запрос делает проверенный источник. Но запросы же можно перехватить, а потом плевать их серверу и так же получать ответы, не ?)) То-есть проще говоря как сервер определяет, что запрос делает тот клиент, которому он выдавал токен ?

з.ы. Вот эти статьи помогли разобраться, если кому вдруг будет интересно)

...

Рейтинг:

0 / 0

09.04.2019, 08:24

| Ответить | Цитировать | Написать

Как настроить базовую авторизацию для не-web клиентов

#39798543

Petro123

Участник

Откуда: Загрузочный сектор Москвы (AutoPOI.ru)

Сообщения: 39 476

Рейтинг: 0 / 0

bobo96а с базовойэто не базовая. Это на основе токенов. Противоположная на основе сессий и куков проще для новичка и проектов корпоративных (чтобы отобрать в любой момент)

...

Рейтинг:

0 / 0

09.04.2019, 09:53

| Ответить | Цитировать | Написать

Как настроить базовую авторизацию для не-web клиентов

#39798569

Озверин

Участник

Откуда: Ростов-на-Дону

Сообщения: 3 646

Рейтинг: 0 / 0

bobo96,

1. Почему бы токены и не хранить в базе, если вам хочется вдруг все сделать их невалидными? Другой вопрос, какая такая потребность у вас возникает, чтобы токены инвалидами сделать? Уменьшайте время жизни токена и либо пишите свои костыли для обновления токена, либо запрашивайте авторизацию каждые полчаса ;)

2. Чтобы перехватить было сложнее, все коммуникации с сервером только через https. Никак не определяет, сейчас распространена автоиазция oauth2 - где выдается 2 токена. Первый, который используется для запроса ресурсов, второй(refresh token) - когда сервер возвращает invalid token. С помощью refresh токена идет запрос на получение новой пары токенов и все идет дальше.

У основного токена обычно довольно короткое время жизни(вот, к примеру, в вашем коде время жизни чето довольно больше jwtExpirationInMs - параметр..60480000 мс).

...

Рейтинг:

0 / 0

09.04.2019, 10:15

| Ответить | Цитировать | Написать

Как настроить базовую авторизацию для не-web клиентов

#39798582

bobo96

Гость

Понял, спасибо!

...

Рейтинг:

0 / 0

09.04.2019, 10:31

| Ответить | Цитировать | Написать

Как настроить базовую авторизацию для не-web клиентов

#39798614

bobo96

Гость

А по https подскажите: создал сертификат, положил его в resources, изменил application.properties
server.port = 5001
server.ssl.key-store= tomcat_demo.keystore
server.ssl.key-store-password= pass
server.ssl.keyStoreType= PKCS12
server.ssl.keyAlias= tomcat_demo
server.ssl.enabled = true
server.ssl.protocol = TLS
Приложение запускается нормально, без ошибок:
2019-04-09 13:07:49.257 INFO 10984 --- [ main] o.s.b.w.embedded.tomcat.TomcatWebServer : Tomcat initialized with port(s): 5001 (https)
Но при запросе https://localhost:5001/api/auth/signin postman говорит Could not get any response
Что не так делаю ?

...

Рейтинг:

0 / 0

09.04.2019, 11:11

| Ответить | Цитировать | Написать

Как настроить базовую авторизацию для не-web клиентов

#39798631

bobo96

Гость

Отбой, настройках postman'а выключил верификацию сертификата и все заработало.

...

Рейтинг:

0 / 0

09.04.2019, 11:42

| Ответить | Цитировать | Написать

Как настроить базовую авторизацию для не-web клиентов

#39798656

bobo96

Гость

Еще вопрос: тот вариант развертывания сервера, который "из коробки", spring boot, можно использовать в конечных продуктах или нужно все это хозяйство как-то по-другому разворачивать ?

...

Рейтинг:

0 / 0

09.04.2019, 12:09

| Ответить | Цитировать | Написать

Как настроить базовую авторизацию для не-web клиентов

#39798666

Tsyklop

Гость

bobo96, одна из пфич бута это быстрое развертывание. ответ -да

...

Рейтинг:

0 / 0

09.04.2019, 12:17

| Ответить | Цитировать | Написать

Как настроить базовую авторизацию для не-web клиентов

#39798675

bobo96

Гость

Спасибо!

...

Рейтинг:

0 / 0

09.04.2019, 12:28

| Ответить | Цитировать | Написать

Как настроить базовую авторизацию для не-web клиентов

#39798746

bobo96

Гость

Непонятки с expiration time токена.
Выставил время жизни 15 минут
При входе создаем токен:

Код: java

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.

    public String generateToken(Authentication authentication) {

        UserPrincipal userPrincipal = (UserPrincipal) authentication.getPrincipal();

        Date now = new Date();
        Date expiryDate = new Date(now.getTime() + jwtExpirationInMs);
        System.out.println("Curent time: " + new Date(new Date().getTime()));
        System.out.println("expiryDate: " + expiryDate);

        return token = Jwts.builder()
                .setSubject(Long.toString(userPrincipal.getId()))
                .setIssuedAt(new Date())
                .setExpiration(expiryDate)
                .signWith(SignatureAlgorithm.HS512, jwtSecret)
                .claim("TEST", "lololo")
                .compact();
    }

Вроде все ок:

Код: java

1.
2.

Curent time: Tue Apr 09 10:34:34 UTC 2019
expiryDate: Tue Apr 09 10:49:34 UTC 2019

Беру токен, который прилетел в ответ, иду с ним в закрытый раздел попутно вытаскивая id пользователя:

Код: java

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.

    Long getUserIdFromJWT(String token) {
        Claims claims = Jwts.parser()
                .setSigningKey(jwtSecret)
                .parseClaimsJws(token)
                .getBody();

        System.out.println("Curent time: " + new Date(new Date().getTime()));
        System.out.println("Expiration time: " + claims.getExpiration());
        System.out.println("IssuedAt exp: " + claims.getIssuedAt());

        return Long.parseLong(claims.getSubject());
    }

И вот тут начинается какая-то дичь:

Код: java

1.
2.
3.

Curent time: Tue Apr 09 10:35:01 UTC 2019
Expiration time: Mon Apr 15 09:46:31 UTC 2019
IssuedAt exp: Mon Apr 08 09:46:31 UTC 2019

Почему claims.getExpiration() на 6 дней перескочил ??

...

Рейтинг:

0 / 0

09.04.2019, 13:43

| Ответить | Цитировать | Написать

Как настроить базовую авторизацию для не-web клиентов

#39798763

Petro123

Участник

Откуда: Загрузочный сектор Москвы (AutoPOI.ru)

Сообщения: 39 476

Рейтинг: 0 / 0

bobo96,
Не надо в одной теме писать как у тебя дела на работе.
Разбивай на темы.

...

Рейтинг:

0 / 0

09.04.2019, 14:04

| Ответить | Цитировать | Написать

Как настроить базовую авторизацию для не-web клиентов

#39798792

bobo96

Гость

Petro123bobo96,
Не надо в одной теме писать как у тебя дела на работе.
Разбивай на темы.
Да не вопрос.
По последнему вопросу есть мысли ?

...

Рейтинг:

0 / 0

09.04.2019, 14:42

| Ответить | Цитировать | Написать

Как настроить базовую авторизацию для не-web клиентов

#39798816

Petro123

Участник

Откуда: Загрузочный сектор Москвы (AutoPOI.ru)

Сообщения: 39 476

Рейтинг: 0 / 0

bobo96,
Мысль есть - заводи тему)

...

Рейтинг:

0 / 0

09.04.2019, 14:58

| Ответить | Цитировать | Написать

22 сообщений из 22, страница 1 из 1

Форумы / Java [игнор отключен] [закрыт для гостей] / Как настроить базовую авторизацию для не-web клиентов

Цитировать

Написать

Автор*:

Ввести пароль для входа

Тема*:

Сообщение

Данное сообщение тематическое

Сообщение содержит картинки или видео 18+

Автор:

ВНИМАНИЕ! На данном подфоруме действуют строгие правила. Удостоверьтесь, что ваше сообщение соответствует им!

Форум или тема закрыты для гостей. Необходима авторизация!

Загрузить последнюю сохраненную версию

Вложение:

Вставить как галерею

Максимальный размер вложений: 4,0 МБ, аудио/видео: 8,0 МБ. Картинки большего размера ужимаются, если возможно.

Введите код, изображенный на картинке. Если код нечитаемый, кликните картинку, чтобы загрузить другой вариант.

Отправляя сообщение, я выражаю свое согласие с правилами форума и принимаю пользовательское соглашение.

Читали тему (0):

Читали форум (0):

Пользователи онлайн (0):

start [/forum/topic.php?fid=59&fpage=29&tid=2121380]:	0ms
get settings:	11ms
get forum list:	15ms
check forum access:	4ms
check topic access:	4ms
track hit:	73ms
get topic data:	14ms
get forum data:	3ms
get page messages:	59ms
get tp. blocked users:	2ms
others:	241ms

total:	426ms