Endpointy do sign in i sign out w Spring Security

Endpointy do sign in i sign out w Spring Security
Sampeteq
SA
Sampeteq
SA
  • Rejestracja:ponad 3 lata
  • Ostatnio:ponad 2 lata
  • Postów:94
0

Mam 2 endpointy, jeden /sgin-in do logowania i drugi /sign-out to wylogowywania. Zastanawiam się, jak to sensownie zaimplementować w Spring Security od strony serwisów. Wiadomo, muszę mieć jakiś AuthService z tymi metodami, ale co powinno się w nich znajdować? Nie pytam o oczywiste rzeczy takie jak sprawdzanie czy dane z dto zgadzają się z tymi z bazy tylko o to co potem. Wiem, że tworzy się UsernamePasswordAuthenticationToken, tylko gdzie go potem przekazać, żeby user został zalogowany a potem wylogowany?

Pseudo kod do momentu gdzie wiem co robić mniej więcej:

Kopiuj
void signIn(LoginDto dto) {
var user = getUserOrThrow(dto.username())
if (!user.password().equal(dto.password() ) ) {
throw new AuthException(dto.password())
}
new UsernamePasswordAuthenticationToken(dto.username(), dto.password())
...
//Nie wiem co dalej.
}


void signOut() {
//Skądś trzeba wziąć zalogowane usera, tylko skąd (SecurityContextHolder?) i co dalej?
}
Udostępnij
Kopiuj link do postu Kopiuj link do postu jako Markdown
Komentuj
LitwinWileński
LitwinWileński
LitwinWileński
LitwinWileński
  • Rejestracja:prawie 3 lata
  • Ostatnio:około 18 godzin
  • Postów:734
0
SA
Widziałem to i nie do końca o to mi chodziło. Szukałem rozwiązania bez tych filtrów i innych cudów.
Udostępnij
Kopiuj link do postu Kopiuj link do postu jako Markdown
Komentuj
Sampeteq
SA
Sampeteq
SA
  • Rejestracja:ponad 3 lata
  • Ostatnio:ponad 2 lata
  • Postów:94
0

Znalazłem takie rozwiązanie na podstawie filmiku Hindusa na YT:

Kopiuj
package com.example.taskmanager.user;

import com.example.taskmanager.user.dto.SignInDTO;
import com.example.taskmanager.user.dto.UserDTO;
import com.example.taskmanager.user.exception.NotUniqueUserNameException;
import lombok.RequiredArgsConstructor;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.security.crypto.password.PasswordEncoder;

@RequiredArgsConstructor
class AuthService {

    private final PasswordEncoder passwordEncoder;
    private final UserRepository userRepository;

    private final AuthenticationManager authenticationManager;

    UserDTO signUp(String username, String password, UserRole role) {
        var correctUsername= Username.of(username);
        if (userRepository.existsByUsername(correctUsername)){
            throw new NotUniqueUserNameException(username);
        }
        var user = new User(
                correctUsername,
                Password.of(password).encoded(passwordEncoder),
                role,
                UserStatus.OPEN
        );
        return userRepository
                .save(user)
                .toDTO();
    }

    public void signIn(SignInDTO dto) {
        var token = new UsernamePasswordAuthenticationToken(dto.username(), dto.password());
        var correctToken= authenticationManager.authenticate(token);
        SecurityContextHolder.getContext().setAuthentication(correctToken);
    }

    public void signOut() {
        SecurityContextHolder.clearContext();
    }
}

Jest ok czy ktoś ma lepszy pomysł?

Charles_Ray
To jest jakieś dziwne. Nie dotykałem tego od paru lat, ale zwykle takie rzeczy ogarniały filtry, nie trzeba było używać SecurityContextHoldera. Nie jestem tez przekonany, że hasło powinno latać Stringiem. Poza tym naprawdę w 2022 trzeba z palca pisać rejestracje? :)
Udostępnij
Kopiuj link do postu Kopiuj link do postu jako Markdown
Komentuj
piotrpo
piotrpo
piotrpo
piotrpo
  • Rejestracja:ponad 7 lat
  • Ostatnio:około 5 godzin
  • Postów:3277
1

Jeżeli używasz JWT, to wylogowanie się zarządzane przez docelowy serwer staje się trochę mission impossible.
screenshot-20221004085414.jpg
Jak klient raz dostanie token, to ani AuthService, ani SecuredService nie mają nad nim kontroli.
Najprostszym sposobem wylogowania, jest "zapomnienie" tego tokena przez klienta. Jeżeli trzeba go unieważnić z poziomu zabezpieczanych usług, to nie ma możliwości zrobienia tego "prosto", bo jak widać SecuredService nie komunikuje się z AuthService w celu potwierdzenia ważności przesłanego tokena.
To co można zrobić, to:

  1. Nadawać krótki czas życia dla tokena i go odświeżać, wtedy np. po 5 minutach sam wygaśnie.
  2. Dodatkowo po stronie SecuredService można sobie zrobić (np. w pamięci) listę unieważnionych tokenów, i podczas sprawdzania weryfikować, czy dany token nie jest unieważniony.

Najprościej, tak jak pisałem, unieważnić token po stronie klienta, zwyczajnie wpisać token=null

Zobacz pozostałe 14 komentarzy
SO
No to czym to się różni od standardowej pary access i refresh token?
piotrpo
Zależy, w niektórych (coraz bardziej licznych) przypadkach niczym, bo access token z OAuth, może być w formacie JWT. Natomiast JWT nie musi być uzyskiwany OAuth (chociaż często jest), a OAuth nie musi zawsze wysyłać JWT.
SO
Na formacie token, tj. czy to JWT czy opaque bym się nie skupiał, bo to chyba tutaj nie ma znaczenia. Przejrzałem jeszcze raz ten RFC i to jest chyba generyczny endpoint do revoke tokenów, który może zrevokować albo access albo refresh token. Z tym, że dalej, jeśli użytkownik jest zalogowany na kilku urządzeniach i do przechowywania informacji o jego "sesji" używamy JWT to revoke nic nie da, bo albo revokujemy jeden access token (reszta dalej jest ważna) albo refresh token, czyli znowu tokeny przez X czasu są jeszcze ważne.
SO
Na początku myślałem, że @wartek01 to podlinkował jako mechanizm pozwalający definitywnie w danym momencie zrevokować wszystkie tokeny użytkownika. A znowu bez trzymania po stronie backendu wszystkich tokenów użytkownika ten mechanizm tego nie zapewni. A jak już chcemy trzymać wszystkie tokeny po stronie backendu to równie dobrze można użyć starej dobrej sesji po stronie backendu i ciasteczka sesyjnego na froncie :]
piotrpo
Dokładnie jak piszesz. Żeby odwołać jakikolwiek "selfcontaining token", trzeba mieć nad nim kontrolę, albo poinformować o fakcie jego odwołania wszystkich klientów. Jeżeli na wejściu do systemu mamy jakąś usługę, która łączy role API Gateway, z wystawcą refresh i access tokens, to teoretycznie może sobie trzymać w pamięci listę odwołanych i je na chama odrzucać. Tylko w takim przypadku cała idea istnienia takich tokenów bierze w łeb, bo po co się bawić, jak wystarczy sesja, gdzie nie ma problemu z jej unieważnieniem, albo wręcz basic auth.
Udostępnij
Kopiuj link do postu Kopiuj link do postu jako Markdown
Komentuj
Treść
Podgląd
Kliknij, aby dodać treść...
Kliknij, aby dodać załącznik lub wklej ze schowka.
Instrukcja obsługi Markdown
Pomoc 1.18.8

Typografia

Edytor obsługuje składnie Markdown, w której pojedynczy akcent *kursywa* oraz _kursywa_ to pochylenie. Z kolei podwójny akcent **pogrubienie** oraz __pogrubienie__ to pogrubienie. Dodanie znaczników ~~strike~~ to przekreślenie.

Możesz dodać formatowanie komendami , , oraz .

Ponieważ dekoracja podkreślenia jest przeznaczona na linki, markdown nie zawiera specjalnej składni dla podkreślenia. Dlatego by dodać podkreślenie, użyj <u>underline</u>.

Komendy formatujące reagują na skróty klawiszowe: Ctrl+B, Ctrl+I, Ctrl+U oraz Ctrl+S.

Linki

By dodać link w edytorze użyj komendy lub użyj składni [title](link). URL umieszczony w linku lub nawet URL umieszczony bezpośrednio w tekście będzie aktywny i klikalny.

Jeżeli chcesz, możesz samodzielnie dodać link: <a href="link">title</a>.

Wewnętrzne odnośniki

Możesz umieścić odnośnik do wewnętrznej podstrony, używając następującej składni: [[Delphi/Kompendium]] lub [[Delphi/Kompendium|kliknij, aby przejść do kompendium]]. Odnośniki mogą prowadzić do Forum 4programmers.net lub np. do Kompendium.

Wspomnienia użytkowników

By wspomnieć użytkownika forum, wpisz w formularzu znak @. Zobaczysz okienko samouzupełniające nazwy użytkowników. Samouzupełnienie dobierze odpowiedni format wspomnienia, zależnie od tego czy w nazwie użytkownika znajduje się spacja.

Znaczniki HTML

Dozwolone jest używanie niektórych znaczników HTML: <a>, <b>, <i>, <kbd>, <del>, <strong>, <dfn>, <pre>, <blockquote>, <hr/>, <sub>, <sup> oraz <img/>.

Skróty klawiszowe

Dodaj kombinację klawiszy komendą notacji klawiszy lub skrótem klawiszowym Alt+K.

Reprezentuj kombinacje klawiszowe używając taga <kbd>. Oddziel od siebie klawisze znakiem plus, np <kbd>Alt+Tab</kbd>.

Indeks górny oraz dolny

Przykład: wpisując H<sub>2</sub>O i m<sup>2</sup> otrzymasz: H2O i m2.

Składnia Tex

By precyzyjnie wyrazić działanie matematyczne, użyj składni Tex.

<tex>arcctg(x) = argtan(\frac{1}{x}) = arcsin(\frac{1}{\sqrt{1+x^2}})</tex>

Kod źródłowy

Krótkie fragmenty kodu

Wszelkie jednolinijkowe instrukcje języka programowania powinny być zawarte pomiędzy obróconymi apostrofami: `kod instrukcji` lub ``console.log(`string`);``.

Kod wielolinijkowy

Dodaj fragment kodu komendą . Fragmenty kodu zajmujące całą lub więcej linijek powinny być umieszczone w wielolinijkowym fragmencie kodu. Znaczniki ``` lub ~~~ umożliwiają kolorowanie różnych języków programowania. Możemy nadać nazwę języka programowania używając auto-uzupełnienia, kod został pokolorowany używając konkretnych ustawień kolorowania składni:

```javascript
document.write('Hello World');
```

Możesz zaznaczyć również już wklejony kod w edytorze, i użyć komendy  by zamienić go w kod. Użyj kombinacji Ctrl+`, by dodać fragment kodu bez oznaczników języka.

Tabelki

Dodaj przykładową tabelkę używając komendy . Przykładowa tabelka składa się z dwóch kolumn, nagłówka i jednego wiersza.

Wygeneruj tabelkę na podstawie szablonu. Oddziel komórki separatorem ; lub |, a następnie zaznacz szablonu.

nazwisko;dziedzina;odkrycie
Pitagoras;mathematics;Pythagorean Theorem
Albert Einstein;physics;General Relativity
Marie Curie, Pierre Curie;chemistry;Radium, Polonium

Użyj komendy by zamienić zaznaczony szablon na tabelkę Markdown.

Lista uporządkowana i nieuporządkowana

Możliwe jest tworzenie listy numerowanych oraz wypunktowanych. Wystarczy, że pierwszym znakiem linii będzie * lub - dla listy nieuporządkowanej oraz 1. dla listy uporządkowanej.

Użyj komendy by dodać listę uporządkowaną.

1. Lista numerowana
2. Lista numerowana

Użyj komendy by dodać listę nieuporządkowaną.

* Lista wypunktowana
* Lista wypunktowana
** Lista wypunktowana (drugi poziom)

Składnia Markdown

Edytor obsługuje składnię Markdown, która składa się ze znaków specjalnych. Dostępne komendy, jak formatowanie , dodanie tabelki lub fragmentu kodu są w pewnym sensie świadome otaczającej jej składni, i postarają się unikać uszkodzenia jej.

Dla przykładu, używając tylko dostępnych komend, nie możemy dodać formatowania pogrubienia do kodu wielolinijkowego, albo dodać listy do tabelki - mogłoby to doprowadzić do uszkodzenia składni.

W pewnych odosobnionych przypadkach brak nowej linii przed elementami markdown również mógłby uszkodzić składnie, dlatego edytor dodaje brakujące nowe linie. Dla przykładu, dodanie formatowania pochylenia zaraz po tabelce, mogłoby zostać błędne zinterpretowane, więc edytor doda oddzielającą nową linię pomiędzy tabelką, a pochyleniem.

Skróty klawiszowe

Skróty formatujące, kiedy w edytorze znajduje się pojedynczy kursor, wstawiają sformatowany tekst przykładowy. Jeśli w edytorze znajduje się zaznaczenie (słowo, linijka, paragraf), wtedy zaznaczenie zostaje sformatowane.

  • Ctrl+B - dodaj pogrubienie lub pogrub zaznaczenie
  • Ctrl+I - dodaj pochylenie lub pochyl zaznaczenie
  • Ctrl+U - dodaj podkreślenie lub podkreśl zaznaczenie
  • Ctrl+S - dodaj przekreślenie lub przekreśl zaznaczenie

Notacja Klawiszy

  • Alt+K - dodaj notację klawiszy

Fragment kodu bez oznacznika

  • Alt+C - dodaj pusty fragment kodu

Skróty operujące na kodzie i linijkach:

  • Alt+L - zaznaczenie całej linii
  • Alt+, Alt+ - przeniesienie linijki w której znajduje się kursor w górę/dół.
  • Tab/⌘+] - dodaj wcięcie (wcięcie w prawo)
  • Shit+Tab/⌘+[ - usunięcie wcięcia (wycięcie w lewo)

Dodawanie postów:

  • Ctrl+Enter - dodaj post
  • ⌘+Enter - dodaj post (MacOS)