构建安全的Mobile API

最近和小伙伴鼓捣一个APP, 没想到一开始在登陆注册这块就卡住了, 卡住的原因在于 如何对接口进行访问控制 , 大家都知道, 在传统的web开发中由于有session/cookie的存在,请求可以保持状态, 但一般来讲,APP用到的API都是被设计成无状态的, 那应该如何解决问题呢?

解决思路

  • 对于平台类API来说,其目标用户一般是开发者, 诸如饿了么OpenApi或者 Pusher.com 这类服务,每次调用都是独立的, 无需保存状态信息, 数据权限和功能权限可以通过 AppId 这类唯一标识符来进行区分。安全上通过 auth_signature 的方式来进行校验。具体算法可以参见上面提到的两个文档。

  • 如果目标对象是那些APP, 怎么办呢? , 刚工作那会解决这种需求的方法十分暴力:把用户名密码保存在app本地,调用接口的时候把用户名密码传过去做校验, 没有优雅性可言。目前来讲,在写Mobile API时, 直接使用 Oauth2 来处理权限问题是一种比较常用的方法。Oauth2 看起来略复杂,但其最终目的是获取一个 访问令牌 , 获取令牌的模式一共有四种.

  1. 授权码: 例子有微博第三方登陆,流程为: 第三方网站 -> 跳转到微博让用户选择是否授权 -> 用户授权并通过回调返回第三方一个授权码 -> 第三方根据授权码向微博申请访问令牌 -> 微博返回访问令牌
  2. 隐式授权: 流程为: 跳转到授权页面 -> 授权成功之后回调返回访问令牌
  3. 密码模式: 流程为: 发送一个带用户名密码参数的请求(并附带Http Basic Authorization) -> 返回一个访问令牌
  4. 客户端模式: 这个方式很有意思,在这种模式下, 是以客户端的名义而不是以用户的名义进行令牌申请, 权限上并没有区分,也就不存在授权问题了, 流程为: 向认证服务器发起请求 -> 以某种方式验证客户端的方式(比如根据appId,appSecret) -> 返回访问令牌

如果是编写Mobile API, 密码模式是一种比较简单的选择: 这样,登录过程就变成了获取令牌的过程,登录成功之后把令牌存到本地,之后的API调用带上令牌即可。

工程实践

对于NodeJs开发者来说, 由于有 passport.js及一众package的存在, 编写一个 受不记名访问令牌保护的API 十分的简单, 可以参考 这篇教程 搭建基础环境。 下面的内容是在java环境中使用spring-security-oauth2+springmvc的工程实践。

不得不说,采用 Annotation 方式配置spring是一种非常好的实践, 可读性上比XML强太多, 详细配置请参考 示例项目

  • 配置spring-security
@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth
                .inMemoryAuthentication()
                .withUser("user").password("password").roles("USER").and()
                .withUser("stackbox").password("123456").roles("ADMIN");
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
                .csrf().disable();
    }

    /**
     * 这个Bean用于oauth2的密码授权模式的配置
     */
    @Override
    @Bean
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }
}

一般来讲spring-security还要加个过滤器,通过加入下面这个类,就能够不配置web.xml来加入过滤器了。

public class SpringSecurityInitializer extends AbstractSecurityWebApplicationInitializer{

}
  • 配置oauth2

项目文档 里讲了几个核心接口,参照例子, 我们同样采用注解的方式进行配置。在代码里可以通过 @EnableResourceServer 来配置资源服务器, 资源服务器的配置和spring-security的权限配置十分类似,@EnableAuthorizationServer 来配置认证服务器。注意在文档中有这么一句话。

The grant types supported by the AuthorizationEndpoint can be configured via the AuthorizationServerEndpointsConfigurer. By default all grant types are supported except password (see below for details of how to switch it on). The following properties affect grant types:

也就是说,如果要用密码授权方式的话,需要注入一个 authenticationManagerBean , 它就是在上面spring-security配置中的那个bean。

@Configuration
public class Oauth2ServerConfig {

    protected static final String RESOURCE_ID = "STACKBOX";

    @Configuration
    @EnableResourceServer
    protected static class ResourceServer extends ResourceServerConfigurerAdapter {
        @Override
        public void configure(HttpSecurity http) throws Exception {
            http
                    .requestMatchers().antMatchers("/admin/**").and()
                    .authorizeRequests()
                    .anyRequest().access("#oauth2.hasScope('read')");
        }

        @Override
        public void configure(ResourceServerSecurityConfigurer resources) throws Exception {
            resources.resourceId(RESOURCE_ID);
        }
    }

    @Configuration
    @EnableAuthorizationServer
    protected static class AuthorizationServer extends AuthorizationServerConfigurerAdapter {

        private TokenStore tokenStore = new InMemoryTokenStore();

        @Autowired
        @Qualifier("authenticationManagerBean")
        private AuthenticationManager authenticationManager;

        @Override
        public void configure(AuthorizationServerSecurityConfigurer oauthServer) throws Exception {

            /**
             * allow表示允许在认证的时候把参数放到url之中传过去
             * @see org.springframework.security.oauth2.provider.client.ClientCredentialsTokenEndpointFilter
             */
            oauthServer.allowFormAuthenticationForClients();
        }

        @Override
        public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
            //endpoints.tokenStore(tokenStore).authenticationManager(authenticationManager);
            endpoints.tokenStore(tokenStore).authenticationManager(authenticationManager);
        }

        @Override
        public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
            clients.inMemory().withClient("client")
                    .authorizedGrantTypes("password","refresh_token")
                    .authorities("ROLE_USER")
                    .scopes("read")
                    .resourceIds(RESOURCE_ID)
                    .secret("secret").accessTokenValiditySeconds(3600);
        }
    }
}

其他策略

  • JWT(Json Web Tokens) 目前还是一份草案, 与Oauth2项目在服务器端配置上更简单些,目前在一些使用 Angular, Ember的单页面应用中已经被使用。JWT在passport和spring-security中都能够支持。

  • CAS for Mobile, CAS是一个在写web项目时常用的单点登录服务器, 它也能够支持Rest API ,不过在客户端的处理比较麻烦,不过已经有了第三方的repo能够支持移动端CAS Android / iOS

参考资料

  1. http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html
  2. http://www.cnblogs.com/smarterplanet/p/4088479.html?utm_source=tuicool
  3. http://www.cnblogs.com/pengyingh/articles/2377968.html
  4. http://haomou.net/2014/08/13/2014_web_token/

最后再次感慨下NodeJS开发者真幸福!!!

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 人面猴
    序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 216,001评论 6 498
  • 死咒
    序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 92,210评论 3 392
  • 救了他两次的神仙让他今天三更去死
    文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 161,874评论 0 351
  • 道士缉凶录:失踪的卖姜人
    文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 58,001评论 1 291
  • 港岛之恋(遗憾婚礼)
    正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 67,022评论 6 388
  • 恶毒庶女顶嫁案:这布局不是一般人想出来的
    文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 51,005评论 1 295
  • 城市分裂传说
    那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,929评论 3 416
  • 双鸳鸯连环套:你想象不到人心有多黑
    文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 38,742评论 0 271
  • 万荣杀人案实录
    序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 45,193评论 1 309
  • 护林员之死
    正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 37,427评论 2 331
  • 白月光启示录
    正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 39,583评论 1 346
  • 活死人
    序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 35,305评论 5 342
  • 日本核电站爆炸内幕
    正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,911评论 3 325
  • 男人毒药:我在死后第九天来索命
    文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 31,564评论 0 21
  • 一桩弑父案,背后竟有这般阴谋
    文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,731评论 1 268
  • 情欲美人皮
    我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 47,581评论 2 368
  • 代替公主和亲
    正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 44,478评论 2 352

推荐阅读更多精彩内容