1. casa
  2. Domanda e risposta
  3. Come implementare il Single Sign-On su più applicazioni basate su JVM utilizzando Spring Security

Come implementare il Single Sign-On su più applicazioni basate su JVM utilizzando Spring Security

2012-10-23 1 views
5

Attualmente sto cercando di implementare una soluzione single sign on su più applicazioni Web basate su JVM (Grails, Servlet) attualmente distribuite nello stesso contenitore servlet (attualmente Tomcat , ma non voglio limitare la mia soluzione solo a Tomcat). Tutte le applicazioni Web condividono un database comune.Come implementare il Single Sign-On su più applicazioni basate su JVM utilizzando Spring Security

Ho esaminato varie opzioni dall'utilizzo di CAS o altre librerie di terze parti per creare un nuovo servizio Web per gestire Single Sign On, ma nessuno sembra davvero soddisfare il business. La mia attuale implementazione prevede la creazione di una nuova libreria jar con un'implementazione comune di AuthenticationProviders e Pre-Authentication Filters basata su Spring Security.

In questo approccio sono presenti più AuthenticationProvider (attualmente Active Directory e Database) per l'autenticazione dell'applicazione. In caso di autenticazione riuscita, una riga verrà inserita in una tabella di sessione che contiene l'utente, una scadenza e un token. Il token verrebbe inoltre memorizzato come cookie sul computer dell'utente e utilizzato per convalidare la presenza di una sessione corrente nei filtri di pre-autenticazione.

Non averlo mai fatto prima voglio essere sicuro di non creare un enorme problema di sicurezza, e mi piacerebbe anche sapere cosa avrei bisogno di creare il token? A questo punto un semplice GUID sembra essere sufficiente?

Attualmente stiamo lavorando su Spring Security 3.0.x e non abbiamo ancora eseguito l'aggiornamento a 3.1.

Grazie in anticipo.

fonte

2012-10-23 Patrick McDaniel

+2

Direi di sì al guid di essere un id sufficiente per la sessione. Per quanto riguarda i problemi di sicurezza, quali sono le tue preoccupazioni? –

+0

I miei dubbi sarebbero eventuali attacchi comuni, ad esempio lo spoofing della sessione, che potrei non essere in grado di gestire. Nel caso di spoofing della sessione si potrebbe fare copiando il cookie dal computer dell'utente a un altro, ma credo che impostando il tempo di timeout a un livello ragionevole questo attacco sia mitigato. –

+0

Una buona fonte per le falle di sicurezza delle app Web sarebbe https://www.owasp.org/index.php/Main_Page –

risposta

2

ho finito per risolvere questo problema nel modo seguente:

ho creato un AuthenticationSuccessHandler che aggiungerebbe un cookie al sessione dell'utente che aveva informazioni di identificazione come così come il nome host per cercare di proteggerlo il più possibile. (L'applicazione funzionava internamente nella maggior parte dei siti dei clienti, quindi i rischi erano minimi, ma fai attenzione ai cookie.)

Quindi su ogni applicazione che doveva avere SSO ho implementato uno AbstractPreAuthenticatedProcessingFilter e inserito prima il filtro di autenticazione che estrae il cookie e crea un oggetto di autenticazione. Infine ho creato un AuthenticationProvider che ha convalidato le informazioni dal cookie.

Speriamo che questo aiuti qualcun altro in futuro per questo tipo di richiesta.

fonte

2013-05-21 13:35:41

2

Sono disponibili estensioni per KERBEROS, OAuth e SAML disponibili sul sito Web Spring Security Extensions. Ecco il post di blog che fornisce un esempio: SpringSource Blog

Se si utilizza NTLM come provider SSO, dare un'occhiata al progetto jespa-spring.

Oppure si potrebbe desiderare di guardare il Java Open Single Sign-On Project

fonte

2012-10-28 15:16:55 dube

+0

Anche questo non soddisfa il mio requisito poiché implica l'impostazione di server aggiuntivi come autorità. Ho più applicazioni che voglio condividere l'autenticazione, ma non voglio richiedere alcun server aggiuntivo al di fuori della mia applicazione. –

 Problemi correlati

  • Nessun problema correlato^_^