需要注销时基本身份验证的替代方案?
Alternatives to Basic Authentication when logout is required?
如果未构建 BASIC 身份验证来处理注销,则存在哪些替代身份验证方法来验证需要能够注销的后端服务?
I found these references stating that BASIC auth is not able to do log
out without some hackiness:
How to log out user from web site using BASIC authentication?
我们使用 BASIC 身份验证登录后端应用程序,并使用 FORM 身份验证前端应用程序。在我们的团队在 FireFox/IE 上测试堆栈后,发现如果用户在这些浏览器上通过 BASIC 身份验证登录后端服务,将无法注销。我的团队无法接受黑客攻击和解决方法(要求用户输入不正确的凭据、让用户关闭浏览器、使用 javascript 发送不正确的凭据、要求用户清除浏览器缓存等),因此我们正在寻求替代方案的建议允许注销的身份验证方法
编辑- 我的注销临时解决方法:
我目前正在通过使用 FORM 身份验证解决这个问题。一个问题是我的后端服务依赖于共享前端 login.html 表单,另一个问题是 Postman 不支持通过重定向的 FORM 输入登录,我们的客户端 Arquillian 调用从登录表单爆炸。
FORM 身份验证解决了 "I can't log out with BASIC" 问题,但现在我无法直接进行身份验证。
我建议你看看 Apache Shiro,尤其是会话的管理方式 (https://shiro.apache.org/session-management.html)。
他们即抽象了会话的概念,以便它可以在各种情况下工作:在 webapp 中(在这种情况下,它只是 HTTP 会话的包装器),在独立的应用程序中,等等......
在您的特定情况下,前端可以打开和关闭(注销)与后端层共享的 Shiro 会话。
看句子:
异构客户端访问
(...)
For example, a (desktop) application could ‘see’ and ‘share’ the same physical session. We are unaware of any framework other than Shiro that can support this
基于表单的身份验证
如果可以在服务器上保留会话状态,您可以选择基于表单的身份验证。
发送表单中的凭据,如果凭据有效,服务器将发出一个cookie,该cookie将被来回发送以识别服务器上的会话。要注销,可以使会话无效:
session.invalidate();
您还可以将您的应用程序配置为因超时而使会话过期:
<session-config>
<session-timeout>60</session-timeout> <!-- minutes -->
</session-config>
基于令牌的身份验证
如果您想要无状态机制,请选择基于令牌的身份验证。
客户端交换硬凭据(例如用户名和密码)以获取称为令牌的一段数据。对于每个请求,客户端不会发送硬凭据,而是将令牌发送到服务器进行身份验证,然后进行授权。
对于令牌,您可以使用 JSON Web Token (JWT)。它是一个开放标准,定义了一种紧凑且独立的方式,用于在各方之间安全地传输信息作为 JSON 对象。
JWT 是以下令牌类型的通用名称:
JSON Web Signature (JWS):有效负载经过编码和签名,因此可以验证声明的完整性。
JSON Web Encryption (JWE):它们的有效负载是加密的,因此声明对其他方隐藏。
图像是从这个page中提取的。
令牌可以在 exp
声明中定义到期日期。对于注销,您可以从客户端删除令牌。
您还可以在服务器端的白名单中跟踪令牌,并根据需要使它们失效。不过,无需在服务器端存储整个令牌:仅在白名单中存储令牌标识符并使用 jti
声明将令牌标识符存储在令牌中。
如果未构建 BASIC 身份验证来处理注销,则存在哪些替代身份验证方法来验证需要能够注销的后端服务?
I found these references stating that BASIC auth is not able to do log out without some hackiness:
How to log out user from web site using BASIC authentication?
我们使用 BASIC 身份验证登录后端应用程序,并使用 FORM 身份验证前端应用程序。在我们的团队在 FireFox/IE 上测试堆栈后,发现如果用户在这些浏览器上通过 BASIC 身份验证登录后端服务,将无法注销。我的团队无法接受黑客攻击和解决方法(要求用户输入不正确的凭据、让用户关闭浏览器、使用 javascript 发送不正确的凭据、要求用户清除浏览器缓存等),因此我们正在寻求替代方案的建议允许注销的身份验证方法
编辑- 我的注销临时解决方法:
我目前正在通过使用 FORM 身份验证解决这个问题。一个问题是我的后端服务依赖于共享前端 login.html 表单,另一个问题是 Postman 不支持通过重定向的 FORM 输入登录,我们的客户端 Arquillian 调用从登录表单爆炸。
FORM 身份验证解决了 "I can't log out with BASIC" 问题,但现在我无法直接进行身份验证。
我建议你看看 Apache Shiro,尤其是会话的管理方式 (https://shiro.apache.org/session-management.html)。 他们即抽象了会话的概念,以便它可以在各种情况下工作:在 webapp 中(在这种情况下,它只是 HTTP 会话的包装器),在独立的应用程序中,等等...... 在您的特定情况下,前端可以打开和关闭(注销)与后端层共享的 Shiro 会话。
看句子:
异构客户端访问
(...)
For example, a (desktop) application could ‘see’ and ‘share’ the same physical session. We are unaware of any framework other than Shiro that can support this
基于表单的身份验证
如果可以在服务器上保留会话状态,您可以选择基于表单的身份验证。
发送表单中的凭据,如果凭据有效,服务器将发出一个cookie,该cookie将被来回发送以识别服务器上的会话。要注销,可以使会话无效:
session.invalidate();
您还可以将您的应用程序配置为因超时而使会话过期:
<session-config>
<session-timeout>60</session-timeout> <!-- minutes -->
</session-config>
基于令牌的身份验证
如果您想要无状态机制,请选择基于令牌的身份验证。
客户端交换硬凭据(例如用户名和密码)以获取称为令牌的一段数据。对于每个请求,客户端不会发送硬凭据,而是将令牌发送到服务器进行身份验证,然后进行授权。
对于令牌,您可以使用 JSON Web Token (JWT)。它是一个开放标准,定义了一种紧凑且独立的方式,用于在各方之间安全地传输信息作为 JSON 对象。
JWT 是以下令牌类型的通用名称:
JSON Web Signature (JWS):有效负载经过编码和签名,因此可以验证声明的完整性。
JSON Web Encryption (JWE):它们的有效负载是加密的,因此声明对其他方隐藏。
图像是从这个page中提取的。
令牌可以在 exp
声明中定义到期日期。对于注销,您可以从客户端删除令牌。
您还可以在服务器端的白名单中跟踪令牌,并根据需要使它们失效。不过,无需在服务器端存储整个令牌:仅在白名单中存储令牌标识符并使用 jti
声明将令牌标识符存储在令牌中。