使用 Token 保护 REST api

Question

过去几天我一直在努力解决这个问题，但在网络上没有找到可靠、易于理解的解决方案。

我有一个 web 应用程序，它由一个 rest api 和一个使用它的表示层组成。表示层有一个登录表单，用户引入的数据被发送到 REST api，然后使用第三方服务对用户进行身份验证。这部分我已经设置好了。

我现在想要的是为每个后续请求引入基于令牌的身份验证，这样我就不必在每个请求上发送凭据，然后再次针对第三方服务进行身份验证。

所以基本上，使用 Spring Security (v. 3.1.3)，我不知道如何创建可靠、安全的令牌，将其返回给请求者，然后根据所述令牌对请求进行身份验证。

你能指出我正确的方向吗？或者网上的一些例子？

• 如何生成令牌？如何将令牌返回给 客户？
• 您将如何在后续请求中发送令牌？
• 如何设置整个事情，以便第一次可以 以某种方式发送凭据（用户/通行证）然后是后续 请求只发送令牌？
• 如何根据令牌进行身份验证？
• 我见过令牌包含一些到期时间的实现。那么expiryTime用完后会发生什么？用户必须再次登录，即使他一直在发出请求？我应该在“幕后”更新令牌吗？

Answer 1

服务器端 REST 应用程序是有状态的还是无状态的？如果是有状态的，则不需要使用常规 HTTP 会话做任何特别的事情。只需开始使用 Spring Security，如果客户端和服务器已经在交换会话信息，受保护的 API 端点将开箱即用。唯一需要注意的是，如果您启用了 CSRF 保护，在这种情况下，您需要稍微调整客户端。详细信息在 Spring Security 文档中。

另一方面，如果 REST 应用程序是无状态的，您将不得不使用您提出的基于令牌的方法。有关详细信息，请参阅my answer to a similar post。如果您确实选择按照该答案中的步骤进行操作，那么您的问题的答案是：

• 令牌必须在服务器端生成。如果您浏览链接到我的答案的示例代码，您会看到我已经用基于缓存的基础架构替换了 Spring Security 的默认 HTTP 会话相关基础架构。在基于会话的实现中，唯一的会话标识符，即会话 ID，由 servlet 容器生成，而在自定义实现中，标识符，即令牌，是在应用程序中生成的。具体来说，我使用了SecureRandom 实例来生成强标记。
• 客户端将令牌作为 HTTP 标头发回。这可以保护 SSL 通道上的内容。
• 诀窍是从 Spring Security 实现四个非常简单的接口。我的示例应用程序包含完整的详细信息。整个过程不到一个小时。
• 对令牌的身份验证由 Spring Security 自动完成。我们只需要提供一个用于存储和检索令牌的实现，这很简单，只需要几行代码。
• 在我的示例应用程序中，我使用了具有滑动到期功能的可到期缓存来存储令牌。如果客户端定期发送请求，服务器会继续访问缓存以获取身份验证令牌，从而使令牌在缓存中保持活动状态。只有在不活动时间等于或超过缓存到期期限后，令牌才会从缓存中清除。

总体而言，基于令牌的身份验证/授权方法可以通过 Spring Security 轻松实现，并利用 EHCACHE 等缓存库。