整合營銷服務商
電腦端+手機端+微信端=數據同步管理
免費咨詢熱線:
電腦端+手機端+微信端=數據同步管理
免費咨詢熱線:
面介紹了Spring Boot 使用JWT實現Token驗證,其實Spring Boot 有完整的安全認證框架:Spring Security。接下來我們介紹如何集成Security 實現安全驗證。
安全對于企業來說至關重要,必要的安全認證為企業阻擋了外部非正常的訪問,保證了企業內部數據的安全。
當前,數據安全問題越來越受到行業內公司的重視。數據泄漏很大一部分原因是非正常權限訪問導致的,于是使用合適的安全框架保護企業服務的安全變得非常緊迫。在Java領域,Spring Security無疑是最佳選擇之一。
Spring Security 是 Spring 家族中的一個安全管理框架,能夠基于 Spring 的企業應用系統提供聲明式的安全訪問控制解決方案。它提供了一組可以在Spring應用系統中靈活配置的組件,充分利用了 Spring的IoC、DI和AOP等特性,為應用系統提供聲明式的安全訪問控制功能,減少了為企業系統安全控制編寫大量重復代碼的工作。
雖然,在Spring Boot出現之前,Spring Security已經發展多年,但是使用并不廣泛。安全管理這個領域一直是Shiro的天下,因為相對于Shiro,在項目中集成Spring Security還是一件麻煩的事情,所以Spring Security雖然比Shiro強大,但是卻沒有Shiro受歡迎。
隨著Spring Boot的出現,Spring Boot 對Spring Security 提供了自動化配置方案,可以零配置使用 Spring Security。這使得Spring Security重新煥發新的活力。
Spring Boot 提供了集成 Spring Security 的組件包 spring-boot-starter-security,方便我們在 Spring Boot 項目中使用 Spring Security進行權限控制。
在Spring Boot 項目中集成Spring Boot Security 非常簡單,只需在項目中增加Spring Boot Security的依賴即可。下面通過示例演示Spring Boot中基礎Security的登錄驗證。
1. 添加依賴
Spring Boot 提供了集成 Spring Security 的組件包 spring-boot-starter-security,方便我們在 Spring Boot 項目中使用 Spring Security。
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-thymeleaf</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>上面除了引入Security組件外,因為我們要做Web系統的權限驗證,所以還添加了Web和Thymeleaf組件。
2. 配置登錄用戶名和密碼
用戶名和密碼在application.properties中進行配置。
# security
spring.security.user.name=admin
spring.security.user.password=admin在application.properties配置文件中增加了管理員的用戶名和密碼。
3. 添加Controller
創建SecurityController 類,在類中添加訪問頁面的入口。
@Controller
public class SecurityController {
@RequestMapping("/")
public String index() {
return "index";
}
}4. 創建前端頁面
在resources/templates 目錄下創建頁面 index.html,這個頁面就是具體的需要增加權限控制的頁面,只有登錄了才能進入此頁。
<!DOCTYPE html>
<html xmlns="http://www.w3.org/1999/xhtml" xmlns:th="http://www.thymeleaf.org">
<body>
<h1>Hello</h1>
<p>我是登錄后才可以看的頁面</p>
</body>
</html>5. 測試驗證
配置完成后,重啟項目,訪問地址:http://localhost:8080/,頁面會自動彈出一個登錄框,如下圖所示。
系統自動跳轉到Spring Security默認的登錄頁面,輸入之前配置的用戶名和密碼就可以登錄系統,登錄后的頁面如下圖所示。
通過上面的示例,我們看到Spring Security自動給所有訪問請求做了登錄保護,實現了頁面權限控制。
前面演示了在Spring Boot項目中集成Spring Security 實現簡單的登錄驗證功能,在實際項目使用過程中,可能有的功能頁面不需要進行登錄驗證,而有的功能頁面只有進行登錄驗證才能訪問。下面通過完整的示例程序演示如何實現Security的登錄認證。
1. 創建頁面content.html
先創建頁面content.html,此頁面只有登錄用戶才可查看,否則會跳轉到登錄頁面,登錄成功后才能訪問。示例代碼如下:
<!DOCTYPE html>
<html xmlns="http://www.w3.org/1999/xhtml" xmlns:th="http://www.thymeleaf.org">
<body>
<h1>content</h1>
<p>我是登錄后才可以看的頁面</p>
<form method="post" action="/logout">
<button type="submit">退出</button>
</form>
</body>
</html>在上面的示例中,我們看到退出使用post請求,因為Security退出請求默認只支持post 。
2. 修改index.html 頁面
修改之前的index.html頁面,增加登錄按鈕。
<p>點擊 <a th:href="@{/content}">這里</a>進入管理頁面</p>在上面的示例中,index頁面屬于公共頁面,無權限驗證,從index頁面進入content頁面時需要登錄驗證。
3. 修改Controller控制器
修改之前的SecurityController控制器,增加content頁面路由地址,示例代碼如下:
@RequestMapping("/")
public String index() {
return "index";
}
@RequestMapping("/content")
public String content() {
return "content";
}4. 創建 SecurityConfig 類
創建 Security的配置文件SecurityConfig類,它繼承于 WebSecurityConfigurerAdapter,現自定義權限驗證配置。示例代碼如下:
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http.authorizeRequests()
.antMatchers("/", "/home").permitAll()
.anyRequest().authenticated()
.and()
.formLogin()
.permitAll()
.and()
.logout()
.permitAll()
.and()
.csrf()
.ignoringAntMatchers("/logout");
}
}在上面的示例程序中,SecurityConfig類中配置 index.html 可以直接訪問,但 content.html 需要登錄后才可以查看,沒有登錄的自動跳轉到登錄頁面。
5. 測試驗證
修改完成之后重啟項目,訪問地址http://localhost:8080/可以看到 index 頁面的內容,單擊鏈接跳轉到content頁面時會自動跳轉到登錄頁面,登錄成功后才會自動跳轉到http://localhost:8080/content,在 content 頁面單擊“退出”按鈕,會退出登錄狀態,跳轉到登錄頁面并提示已經退出。
登錄、退出、請求受限頁面退出后跳轉到登錄頁面是常用的安全控制案例,也是賬戶系統基本的安全保障。
以上,我們就把Spring Boot如何集成Security實現安全認證介紹完了。
電商行業,線上的營銷活動特別多。在移動互聯網時代,一般為了活動的快速上線和內容的即時更新,大部分的業務場景仍然通過 Web 頁面來承載。但由于 Web 頁面天生“環境透明”,相較于移動客戶端頁面在安全性上存在更大的挑戰。本文主要以移動端 Web 頁面為基礎來講述如何提升頁面安全性。
活動 Web 頁面的安全挑戰
對于營銷活動類的 Web 頁面,領券、領紅包、抽獎等活動方式很常見。此類活動對于普通用戶來說大多數時候就是“拼手氣”,而對于非正常用戶來說,可以通過直接刷活動 API 接口的“作弊”方式來提升“手氣”。這樣的話,對普通用戶來說,就變得很不公平。
對于活動運營的主辦方來說,如果風控措施做的不好,這類刷接口的“拼手氣”方式可能會對企業造成較大的損失。如本來計劃按 7 天發放的紅包,在上線 1 天就被刷光了,活動的營銷成本就會被意外提升。主辦方想發放給用戶的滿減券、紅包,卻大部分被黃牛使用自動腳本刷走,而真正想參與活動的用戶,卻無法享受活動優惠。
終端用戶到底是人還是機器,網絡請求是否為真實用戶發起,是否存在安全漏洞并且已被“羊毛黨”惡意利用等等,這些都是運營主辦方要擔心的問題。
安全防范的基本流程
為了提升活動 Web 頁面的安全性,通常會引入專業的風控服務。引入風控服務后,安全防護的流程大致如圖所示。
對于活動 Web 頁面來說,加入的風控服務主要為了做人機識別驗證。在人機識別驗證的專業領域上,我們可以先看看業界實踐,比如Google 是怎么做的。
業界人機驗證實踐
Google 使用的人機驗證服務是著名的 reCAPTCHA(Completely Automated Public Turing Test To Tell Computers and Humans Apart,區分人機的全自動圖靈測試系統),也是應用最廣的驗證碼系統。早年的 reCAPTCHA 驗證碼是這樣的:
如今的 reCAPTCHA 已經不再需要人工輸入難以識別的字符,它會檢測用戶的終端環境,追蹤用戶的鼠標軌跡,只需用戶點擊“我不是機器人”就能進行人機驗證(reCAPTCHA騙用戶進行數據標注而進行AI訓練的驗證另說)。
reCAPTCHA 的驗證方式從早先的輸入字符到現在的輕點按鈕,在用戶體驗上,有了較大的提升。
而在活動場景中引入人機識別驗證,如果只是簡單粗暴地增加驗證碼,或者只是像 reCAPTCHA 那樣增加點擊“我不是機器人”的驗證,都會犧牲用戶體驗,降低用戶參加活動的積極性。
Google 的普通 Web 頁面的瀏覽和有強交互的活動 Web 頁面雖是不同的業務場景,但對于活動 Web 頁面來說,強交互恰好為人機識別驗證提供了用戶交互行為數據收集的契機。
人機識別驗證的技術挑戰
理想的方案是在用戶無感知的情況下做人機識別驗證,這樣既確保了安全又對用戶體驗無損傷。
從實際的業務場景出發再結合 Web 本身的環境,如果想實現理想的方案,可能會面臨如下的技術挑戰:
(1)需要根據用戶的使用場景來定制人機識別驗證的算法:Web 前端負責收集、上報用戶交互行為數據,風控服務端校驗上報的數據是否符合正常的用戶行為邏輯。
(2)確保 Web 前端和風控服務端之間通信和數據傳輸的安全性。
(3)確保上述兩大挑戰中提到的邏輯和算法不會被代碼反編譯來破解。
在上述的三個挑戰中,(1)已經實現了人機識別驗證的功能,而(2)和(3)都是為了確保人機識別驗證不被破解而做的安全防范。接下來,本文會分別針對這三個技術挑戰來說明如何設計技術方案。
挑戰一:根據用戶使用場景來定制人機識別驗證算法
先來分析一下用戶的使用場景,正常用戶參與活動的步驟是用戶進入活動頁面后,會有短暫的停留,然后點擊按鈕參與活動。這里所說的“參與活動”,最終都會在活動頁面發起一個接口的請求。如果是非正常用戶,可以直接跳過以上的實際動作而去直接請求參與活動的接口。
那么區別于正常用戶和非正常用戶就是那些被跳過的動作,對實際動作進一步歸納如下:
(1)進入頁面。
(2)短暫的停留。
(3)滾動頁面。
(4)點擊按鈕。
以上的動作又可以分為必需的操作和可選的操作。對這一連串動作產生的日志數據進行收集,在請求參與活動的接口時,將這些數據提交至后端,驗證其合法性。這就是一個簡單的人機識別驗證。
在驗證動作的合法性時,需要考慮到這些動作數據是不是能被輕易模擬。另外,動作的發生應該有一條時間線,可以給每個動作都增加一個時間戳,比如點擊按鈕肯定是在進入頁面之后發生的。
一些特定的動作的日志數據也會有合理的區間,進入頁面的動作如果以 JS 資源加載的時間為基準,那么加載時間可能大于 100 毫秒,小于 5 秒。而對于移動端的按鈕點擊,點擊時記錄的坐標值也會有對應的合理區間,這些合理的區間會根據實際的環境和情況來進行設置。
除此之外,設備環境的數據也可以進行收集,包括用戶參與活動時使用的終端類型、瀏覽器的類型、瀏覽器是否為客戶端的容器等,如果使用了客戶端,客戶端是否會攜帶特殊的標識等。
最后,還可以收集一些“無效”的數據,這些數據用于障人耳目,驗證算法會將其忽略。盡管收集數據的動作是透明的,但是驗證數據合法性不是透明的,攻擊者無法知道,驗證的算法中怎么區分哪些是有效、哪些是無效。這已經有點“蜜罐數據”的意思了。
挑戰二:確保通信的安全性
收集的敏感數據要發送給風控服務端,進而確保通信過程的安全。
Token 的設計
Token 是一個簡短的字符串,主要為了確保通信的安全。用戶進入活動 Web 頁面后,請求參與活動的接口之前,會從服務端獲取 Token。該 Token 的生成算法要確保 Token 的唯一性,通過接口或 Cookie 傳遞給前端,然后,前端在真正請求參與活動的接口時需要帶上該 Token,風控服務端需要驗證 Token 的合法性。也就是說,Token 由服務端生成,傳給前端,前端再原封不動的回傳給服務端。一旦加入了 Token 的步驟,攻擊者就不能直接去請求參與活動的接口了。
Token 由風控服務端基于用戶的身份,根據一定的算法來生成,無法偽造,為了提升安全等級,Token 需要具有時效性,比如 10 分鐘。可以使用 Redis 這類緩存服務來存儲 Token,使用用戶身份標識和 Token 建立 KV 映射表,并設置過期時間為 10 分鐘。
雖然前端在 Cookie 中可以獲取到 Token,但是前端不能對 Token 做持久化的緩存。一旦在 Cookie 中獲取到了 Token,那么前端可以立即從 Cookie 中刪除該 Token,這樣能盡量確保 Token 的安全性和時效性。Token 存儲在 Redis 中,也不會因為用戶在參與活動時頻繁的切換頁面請求,而對服務造成太大的壓力。
另外,Token 還可以有更多的用處:
敏感數據加密
通信時,傳遞的敏感數據可以使用常見的對稱加密算法進行加密。
為了提升加密的安全等級,加密時的密鑰可以動態生成,前端和風控服務端約定好動態密鑰的生成規則即可。加密的算法和密鑰也要確保不被暴露。
通過對敏感數據加密,攻擊者在不了解敏感數據內容的前提下就更別提模擬構造請求內容了。
挑戰三:化解紙老虎的尷尬
有經驗的 Web 開發者看到這里,可能已經開始質疑了:在透明的前端環境中折騰安全不是白折騰嗎?這就好比費了很大的勁卻只是造了一個“紙老虎”,質疑是有道理的,但是且慢,通過一些安全機制的加強是可以讓“紙老虎”盡可能的逼真。
本文一再提及的 Web 環境的透明性,是因為在實際的生產環境中的問題:前端的代碼在壓縮后,通過使用瀏覽器自帶的格式化工具和斷點工具,仍然具備一定的可讀性,花點時間仍然可以理解代碼的邏輯,這就給攻擊者提供了大好的代碼反編譯機會。
如果要化解“紙老虎”的尷尬,就要對前端的代碼進行混淆。
前端代碼混淆
前端的 JS 代碼壓縮工具基本都是對變量、函數名稱等進行縮短,壓縮對于混淆的作用是比較弱。除了對代碼進行壓縮,還需要進行專門的混淆。
對代碼進行混淆可以降低可讀性,混淆工具有條件的話最好自研,開源的工具要慎用。或者基于 Uglify.js 來自定義混淆的規則,混淆程度越高可讀性就越低。
代碼混淆也需要把握一個度,太復雜的混淆可能會讓代碼無法運行,也有可能會影響本身的執行效率。同時還需要兼顧混淆后的代碼體積,混淆前后的體積不能有太大的差距,合理的混淆程度很重要。
斷點工具的防范會更麻煩些。在使用斷點工具時通常都會導致代碼延遲執行,而正常的業務邏輯都會立即執行,這是一個可以利用的點,可以考慮在代碼執行間隔上來防范斷點工具。
通過代碼混淆和對代碼進行特殊的處理,可以讓格式化工具和斷點工具變得沒有用武之地。唯一有些小遺憾,就是處理后的代碼也不能正常使用 Source Map 的功能了。
有了代碼混淆,反編譯的成本會非常高,這樣“紙老虎”已經變得很逼真了。
技術方案設計
在講解完如何解決關鍵的技術挑戰后,就可以把相應的方案串起來,然后設計成一套可以實施的技術方案了。相對理想的技術方案架構圖如下:
下面會按步驟來講解技術方案的處理流程:
Step 0 基礎風控攔截
基礎風控攔截是上面提到的頻次、名單等的攔截限制,在 Nginx 層就能直接實施攔截。如果發現是惡意請求,直接將請求過濾返回 403,這是初步的攔截,用戶在請求 Web 頁面的時候就開始起作用了。
Step 1 風控服務端生成 Token 后傳給前端
Step 0 可能還沒進入到活動 Web 頁面,進入活動 Web 頁面后才真正開始人機識別驗證的流程,前端會先開始獲取 Token。
Step 2 前端生成敏感數據
敏感數據應包含用戶交互行為數據、設備環境數據、活動業務邏輯數據以及無效數據。
Step 3 使用 HTTPS 的簽名接口發送數據
Token 可以作為 Authorization 的值添加到 Header 中,數據接口的簽名可以有效防止 CSRF 的攻擊。
Step 4 數據接口的校驗
風控服務端收到請求后,會先驗證數據接口簽名中的 Token 是否有效。驗證完 Token,才會對敏感數據進行解密。數據解密成功,再進一步對人機識別的數據合法性進行校驗。
Step 5 業務邏輯的處理
前面的步驟為了做人機識別驗證,這些驗證不涉及到業務邏輯。在所有這些驗證都通過后,后端業務服務才會開始處理實際的活動業務邏輯。處理完活動業務邏輯,最終才會返回用戶參與活動的結果。
總結
為了提升活動 Web 頁面的安全性,使用了各種各樣的技術方案,我們將這些技術方案組合起來才能發揮安全防范的作用,如果其中某個環節處理不當,都可能會被當作漏洞來利用,從而導致整個驗證方案被攻破。
為了驗證技術方案的有效性,可以持續觀察活動 API 接口的請求成功率。從請求成功率的數據中進一步分析“誤傷”和“攔截”的數據,以進一步確定是否要對方案進行調優。
通過上述的人機識別驗證的組合方案,可以大幅提升活動 Web 頁面的安全性。在活動 Web 頁面應作為一個標準化的安全防范流程,除了美團,像淘寶和天貓也有類似的流程。由于活動運營的環節和方法多且復雜,僅僅提升了 Web 頁面也不敢保證就是鐵板一塊,安全需要關注的環節還很多,安全攻防是一項長期的“拉鋸升級戰”,安全防范措施也需要持續地優化升級。
參考資料
作者簡介
益國,美團點評 Web 前端開發工程師。2015年加入美團,曾先后負責過風控前端SDK和活動運營平臺的研發,現負責大數據平臺的研發工作。
閱讀更多技術干貨,歡迎關注美團技術團隊微信公眾號
歡迎加入美團Web前端技術交流群,跟作者零距離交流。進群方式:請加美美同學微信(微信號:MTDPtech02),回復:人機識別,美美會自動拉你進群。
個和 JWT 沒有什么關系,「JWT(Json Web Token)」是 token 的其中一種實現方式,是用來雙方信任的情況下作為身份令牌的。它只能保證信息沒有被篡改,無法保證信息是否被偽造、盜用。
【jwt 被盜用冒充】 和 【別人知道你的賬戶名和密碼】 是沒有什么區別的,服務端又無法確定用這個賬號的是不是你。
如果是在網頁傳輸中,現在有 HTTPS 情況下,像是中間人攻擊這種通過抓包獲取信息比較困難。就竊取 jwt 來說,如果是在系統儲存中,那就是操作系統和應用程序的權限和安全防護問題;如果是對服務器的攻擊,那就是屬于服務器的漏洞了,算是另一個層面了。
所以,如果要安全,可以參考一下大家主流的登錄系統方案,添加雙重認證,比如手機驗證碼、手機令牌、郵箱驗證碼等等。
例如使用 Authing 提升登錄過程中的安全性和便捷性。
關于安全問題,Authing 通過 可視化安全審計、多因素登錄、密碼管理、加密傳輸與存儲 等方式進行保障。 它可以實現 賬號密碼/手機驗證碼/APP 掃碼/小程序掃碼/企業身份源/社會化登錄、內置了忘記密碼的交互 UI、多因素認證(MFA)功能。
而在前端的 Guard 組件能幫助你快速構建登錄界面,還支持遠程控制具體配置,覆蓋前端主流框架。用戶無需編寫任何額外代碼,即可使用該組件完成任務。不僅完美兼容移動端和 PC 端,還可以用 CSS 輕松自定義登錄框樣式。
也就是說,僅需幾步就能快速接入 SDK,在前端自定義用戶登錄操作,在后端管理用戶、組織、權限,一網打盡。
點擊「鏈接」,立刻了解 Authing!
*請認真填寫需求信息,我們會在24小時內與您取得聯系。
