SpringSecurity支持WebAuthn认证

最新推荐文章于 2024-11-27 13:51:52 发布
最新推荐文章于 2024-11-27 13:51:52 发布
阅读量1.1k 收藏 1
点赞数
分类专栏: SpringSecurity 文章标签: 前端 angular.js javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/xsgnzb/article/details/129379762
版权

WebAuthn是无密码身份验证技术,解决了密码泄露的风险,主流的浏览器都支持。有很多开源的类库实现了WebAuthn规范,Java下流行的类库有:

Spring Security官方暂时未支持WebAuthn,可以用webauthn4jwebauthn4j-spring-security项目,它将webauthn4j和Spring Security打通,项目还处于开发阶段,设计上可能还会调整。但我们可以通过项目里的demo,很好的学习怎么实现WebAuthn。简单介绍一下webauthn4j-spring-security中例子的打开方式。

demo启动流程

  1. 克隆项目

git clone git@github.com:webauthn4j/webauthn4j-spring-security.git

  1. 打包前端资源

cd webauthn4j-spring-security/samples/lib/spa-angular-client
npm install

PS: 这里可能会碰到打包异常,是@angular/cdk包版本和其他模块版本冲突了,将@angular/cdk改成“13.3.9”就能正常打包

npm ERR! code ERESOLVE
npm ERR! ERESOLVE unable to resolve dependency tree
npm ERR! 
npm ERR! While resolving: sample-angular-client@0.0.0
npm ERR! Found: @angular/common@13.3.12
npm ERR! node_modules/@angular/common
npm ERR!   @angular/common@"^13.3.11" from the root project
npm ERR! 
npm ERR! Could not resolve dependency:
npm ERR! peer @angular/common@"^15.0.0 || ^16.0.0" from @angular/cdk@15.2.1
npm ERR! node_modules/@angular/cdk
npm ERR!   @angular/cdk@"^15.1.2" from the root project
npm ERR! 
npm ERR! Fix the upstream dependency conflict, or retry
npm ERR! this command with --force, or --legacy-peer-deps
npm ERR! to accept an incorrect (and potentially broken) dependency resolution.

  1. 启动项目

cd webauthn4j-spring-security
./gradlew build
./gradlew samples:spa:bootRun

  1. 查看登录页

  1. 访问:http://localhost:8080/,就会自动跳转到[http://localhost:8080/angular/login](http://localhost:8080/angular/login)

HttpSecurity核心配置

@Bean
public SecurityFilterChain filterChain(HttpSecurity http, AuthenticationManager authenticationManager) throws Exception {
    // WebAuthn Login
    http.apply(WebAuthnLoginConfigurer.webAuthnLogin())
            .usernameParameter("username")
            .passwordParameter("password")
            .credentialIdParameter("credentialId")
            .clientDataJSONParameter("clientDataJSON")
            .authenticatorDataParameter("authenticatorData")
            .signatureParameter("signature")
            .clientExtensionsJSONParameter("clientExtensionsJSON")
            .loginProcessingUrl("/login")
            .attestationOptionsEndpoint()
            .rp()
            .name("WebAuthn4J Spring Security Sample")
            .and()
            .pubKeyCredParams(
                    new PublicKeyCredentialParameters(PublicKeyCredentialType.PUBLIC_KEY, COSEAlgorithmIdentifier.RS256), // Windows Hello
                    new PublicKeyCredentialParameters(PublicKeyCredentialType.PUBLIC_KEY, COSEAlgorithmIdentifier.ES256) // FIDO U2F Key, etc
            )
            .extensions()
            .credProps(true)
            .and()
            .assertionOptionsEndpoint()
            .and()
            .successHandler(authenticationSuccessHandler)
            .failureHandler(authenticationFailureHandler)
            .and()
            .authenticationManager(authenticationManager);

    http.headers(headers -> {
        // 'publickey-credentials-get *' allows getting WebAuthn credentials to all nested browsing contexts (iframes) regardless of their origin.
        headers.permissionsPolicy(config -> config.policy("publickey-credentials-get *"));
        // Disable "X-Frame-Options" to allow cross-origin iframe access
        headers.frameOptions().disable();
    });

    // Logout
    http.logout()
            .logoutUrl("/logout")
            .logoutSuccessHandler(logoutSuccessHandler);

    // Authorization
    http.authorizeRequests()
            .mvcMatchers("/").permitAll()
            .mvcMatchers("/static/**").permitAll()
            .mvcMatchers("/angular/**").permitAll()
            .mvcMatchers("/webjars/**").permitAll()
            .mvcMatchers("/favicon.ico").permitAll()
            .mvcMatchers("/api/auth/status").permitAll()
            .mvcMatchers(HttpMethod.GET, "/login").permitAll()
            .mvcMatchers(HttpMethod.POST, "/api/profile").permitAll()
            .mvcMatchers("/health/**").permitAll()
            .mvcMatchers("/info/**").permitAll()
            .mvcMatchers("/h2-console/**").denyAll()
            .mvcMatchers("/api/admin/**").access("hasRole('ADMIN_ROLE') and isAuthenticated()")
            .anyRequest().access("@webAuthnSecurityExpression.isWebAuthnAuthenticated(authentication) || hasAuthority('SINGLE_FACTOR_AUTHN_ALLOWED')");

    http.sessionManagement()
            .sessionAuthenticationFailureHandler(authenticationFailureHandler);

    http.exceptionHandling()
            .authenticationEntryPoint(authenticationEntryPoint)
            .accessDeniedHandler(accessDeniedHandler);

    // As WebAuthn has its own CSRF protection mechanism (challenge), CSRF token is disabled here
    http.csrf().csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse());
    http.csrf().ignoringAntMatchers("/webauthn/**");

    return http.build();
}

这个方法将SpringSecurity需要的配置基本都说清楚了,除了#1、#2跟WebAuthn直接相关,其他几点都是SpringSecurity常规配置。

  1. 添加了自定义的WebAuthnLoginConfigurer描述登录页面的URL、字段名等信息

  1. 通过pubKeyCredParams描述服务器可接受的公钥类型的对象数组。

  1. 设置自定义的authenticationManager、successHandler、failureHandler等

  1. 设置http的header

  1. 设置authorizeRequests控制权限

  1. 设置session和exceptionHandling

  1. 设置Csrf配置

引用

体验WebAuthn登录: https://webauthn.io/
Spring Security 6.x 系列【59】认证篇之集成Apereo CAS
记录知识、锤炼自我
06-20 1137
Central Authentication Service中央认证服务简称为CAS ,是一种基于票据的单点登录、单点注销协议,有CAS 1.0、2.0和3.0三个版本。 CAS协议的最新版本为3.0.3,各版本的认证流程基本一致,主要是在上一版本的基础上提供了一些增强功能。
webauthn4j-spring-security:WebAuthn4J扩展,用于Spring Security
04-01
WebAuthn4JSpring安全 WebAuthn4J Spring Security通过使用为您的Spring应用程序提供支持。 用户可以使用符合WebAuthn的身份验证器登录。 项目状态 该项目正在积极开发中。 API签名可能会更改。 文献资料 您可以从找到更多详细信息。 从Maven Central出发 如果您使用的是Maven,只需添加webauthn4j-spring-security作为依赖项: < properties> ... <!-- Use the latest version whenever possible. --> < webauthn4j>0.7.0.RELEASE</ webauthn4j> ... </ properties>
火狐和chrome_Firefox,Chrome和Edge都将支持WebAuthn的硬件两因素身份验证
cum43546的博客
09-18 338
火狐和chromeLogging into Gmail or Facebook could soon mean plugging in a USB device, potentially making phishing a thing of the past. 登录Gmail或Facebook可能很快就意味着要插入USB设备,这可能使网络钓鱼成为过去。 That’s thanks to WebAu...
spring-security
小黑的博客
09-17 210
地址:https://gitee.com/education-note/spring-security.git
WebAuthn4J Spring Security 使用教程
gitblog_00565的博客
08-16 577
WebAuthn4J Spring Security 使用教程 项目地址:https://gitcode.com/gh_mirrors/we/webauthn4j-spring-security 项目介绍 WebAuthn4J Spring Security 是一个为 Spring 应用程序提供 Web Authentication 规范支持的扩展模块。它使用 WebAuthn4J 库,允许用户通...
Web开发教程14-Spring Security
lchxcl的博客
12-03 118
  转自:   http://www.bluedash.net/spaces/Web%E5%BC%80%E5%8F%91%E6%95%99%E7%A8%8B14%EF%BC%8DSpring%20Security  
spring:springboot3使用Spring Security,以及和springboot2的区别
分享前端开发工程师的一些日常生活、前端知识点、职业发展、对一些问题的看法、感悟等等
10-12 688
Spring Security 是一个强大且高度可定制的安全框架,专为保护基于 Java 的应用程序而设计,尤其是 Spring 应用。它提供了一系列功能,帮助开发者实现身份验证(Authentication)、授权(Authorization)、防止常见安全漏洞(如 CSRF 攻击、Session Fixation 等)以及加密等安全措施。
webauthndemo:WebAuthn规范的Java依赖方实现示例
02-06
1. **security**:WebAuthn的核心就是提高网络安全,通过提供一种强认证机制,防止密码泄露和其他身份验证攻击。 2. **authentication**:WebAuthn是一种认证机制,它允许用户使用多种生物特征或物理设备进行身份...
基于Spring Security和MySQL的JWT认证实现与管理
该项目使用Spring Security提供了完整的安全配置,包括用户认证和授权。它基于电子邮件或用户名进行用户注册,并利用Spring Security的框架来处理登录请求,并生成相应的JWT令牌。此外,它还支持管理员角色的用户,...
安全守护神:Spring Security全方位深度解析
Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架,它是专门为Java应用程序而设计的。它被广泛应用于企业级应用的安全控制,提供了全面的安全解决方案,包括认证和授权两大核心功能。
webauthn-demo:示例项目,显示如何使用WebAuthn对privacyIDEA进行身份验证
05-04
webauthn-demo 示例项目,显示了如何使用WebAuthn对privacyIDEA进行身份验证。 重要提示:这是一个演示。 许多事情都得到了简化。 在根据您自己构建实施方案之前,请仔细查看标有FIXME的注释。 请勿在生产环境中使用此代码! 获取代码 要获取此存储库,只需运行以下命令: $ git clone --recursive https://github.com/privacyidea/privacyidea.git 重要提示:请注意上面使用的--recursive标志。 需要获取驻留在子模块中的webauthn-client 。 没有此选项,代码将无法工作! 如果您不久前检出了此存储库,并且想从上游获取最新更改,则可以运行: $ git pull --recurse-submodules 配置 您必须通过在环境中传递选项,或将其放置在名为.env的文件中,并使
webauthn4j:用于WebAuthn和Apple App Attest服务器端验证的可移植Java
04-01
WebAuthn4J 用于WebAuthn和Apple App Attest服务器端验证的可移植Java库 符合标准 的所有强制性测试用例和可选的Android Key证明测试用例。 支持的证明声明格式 支持所有证明声明格式。 包装证明 FIDO U2F认证 Android Key证明 Android SafetyNet认证 TPM证明 苹果匿名证明 无证明 Apple App Attest证明 Kotlin友好 尽管WebAuthn4J是用Java编写的,但公共成员仍通过NonNull或Nullable批注进行标记,以明确声明可空性。 使用WebAuthn4J的项目 文献资料 您可以从找到更多详细信息。 从Maven Central出发 如果您使用的是Maven,只需将webauthn4j添加为依赖项: < properties> ... <!-- Use the lat
webauthn_fido_java_react:使用React.js和Spring Boot的Webauthn演示
04-16
Java React WebAuthn演示 介绍 简单的Webauthn演示,具有: 服务器端组件使用java Spring引导。 使用React.js的客户端组件。 该演示应支持: TouchId 打包式自我吸引 包装的全通气 设置 当前,仅支持本地主机 服务器 cd server mvn spring-boot:run 客户 cd client npm install npm run-script dev 图片 身份验证者注册 有用和有趣的链接
推荐一款安全认证神器:WebAuthn4J Spring Security
gitblog_00051的博客
06-06 444
推荐一款安全认证神器:WebAuthn4J Spring Security webauthn4j-spring-securityWebAuthn4J Extension for Spring Security项目地址:https://gitcode.com/gh_mirrors/we/webauthn4j-spring-security 项目介绍 WebAuthn4J Spring Securi...
webauthn
qq_31650157的博客
02-08 1914
webauthn
WebAuthn4j:Java语言实现的WebAuthn服务器端验证库
最新发布
gitblog_01014的博客
11-27 626
WebAuthn4j:Java语言实现的WebAuthn服务器端验证库 webauthn4j A portable Java library for WebAuthn and Apple App Attest server side verification ...
WebAuthn4J Spring Security 项目使用教程
gitblog_00273的博客
08-16 280
WebAuthn4J Spring Security 项目使用教程 webauthn4j-spring-securityWebAuthn4J Extension for Spring Security项目地址:https://gitcode.com/gh_mirrors/we/webauthn4j-spring-security 1. 项目的目录结构及介绍 WebAuthn4J Spring S...
FIDO与WebAuthn
qq_45756062的博客
12-12 3647
WebAuthn 是“一个用于访问公钥凭证的 API”,网站可以通过这个 API 进行一些高安全性的身份验证。WebAuthn 一个最常见的应用就是用于网站登录时的 2FA(双重因素验证)甚至是无密码登录。通过网页调用 WebAuthn,在不同平台下,我们可以实现通过 USB Key、指纹、面部甚至虹膜扫描来认证身份,同时确保安全和隐私。图一:是window1903以上版本提供的window Hello图二三:是浏览器调用WebAuthn API拉起的访问认证器的交互页面。
WebAuthn 的实施步骤
AI智能涌现深度研究
09-28 976
WebAuthn 的实施步骤 1. 背景介绍 1.1 问题的由来 在互联网时代,身份验证是网络安全的基石。传统的用户名和密码验证方式存在诸多安全隐患,例如容易被盗取、用户密码设置过于简单等。为了解决这些问题,WebAuthn 应运而生,它是一种基于
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

李昂的数字之旅

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值