1. 概述
在这个教程中,我们将实现使用软令牌的双因素认证功能,并集成到Spring Security中。我们将把新的功能添加到一个已有的简单登录流程中,并利用Google Authenticator应用生成令牌。
简单来说,双因素认证是一种验证过程,遵循用户“知道”的信息和“拥有”的物品这一熟知原则。因此,在用户进行身份验证时,他们需要提供额外的“验证令牌”——基于时间基一次性密码TOTP算法的一次性密码验证码。
2. Maven配置
首先,为了在我们的应用程序中使用Google Authenticator,我们需要:
- 生成密钥
- 通过二维码方式向用户提供密钥
- 使用这个密钥验证用户输入的令牌。
我们将使用一个简单的服务器端库https://github.com/aerogear/aerogear-otp-java,通过在pom.xml
中添加依赖来实现这一步:
<dependency>
<groupId>org.jboss.aerogear</groupId>
<artifactId>aerogear-otp-java</artifactId>
<version>1.0.0</version>
</dependency>
3. 用户实体
接下来,我们需要修改用户实体,以保存额外的信息,如下所示:
@Entity
public class User {
...
private boolean isUsing2FA;
private String secret;
public User() {
super();
this.secret = Base32.random();
...
}
}
注意:
- 我们为每个用户保存一个随机的秘密代码,用于稍后生成验证码。
- 我们的两步验证是可选的。
4. 登录参数
首先,我们需要调整安全配置,以接受额外的参数——验证令牌。我们可以通过自定义AuthenticationDetailsSource
来实现这一点:
这是我们的CustomWebAuthenticationDetailsSource
:
@Component
public class CustomWebAuthenticationDetailsSource implements
AuthenticationDetailsSource<HttpServletRequest, WebAuthenticationDetails> {
@Override
public WebAuthenticationDetails buildDetails(HttpServletRequest context) {
return new CustomWebAuthenticationDetails(context);
}
}
以及CustomWebAuthenticationDetails
:
public class CustomWebAuthenticationDetails extends WebAuthenticationDetails {
private String verificationCode;
public CustomWebAuthenticationDetails(HttpServletRequest request) {
super(request);
verificationCode = request.getParameter("code");
}
public String getVerificationCode() {
return verificationCode;
}
}
这是我们的安全配置:
@Configuration
@EnableWebSecurity
public class LssSecurityConfig {
@Autowired
private CustomWebAuthenticationDetailsSource authenticationDetailsSource;
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
http.formLogin()
.authenticationDetailsSource(authenticationDetailsSource)
...
}
}
最后,我们需要在登录表单中添加额外的参数:
<labelth:text="#{label.form.login2fa}">
Google Authenticator Verification Code
</label>
<input type='text' name='code'/>
注意:我们需要在安全配置中设置自定义的AuthenticationDetailsSource
。
5. 自定义认证提供者
接下来,我们需要一个自定义的AuthenticationProvider
来处理额外参数的验证:
public class CustomAuthenticationProvider extends DaoAuthenticationProvider {
@Autowired
private UserRepository userRepository;
@Override
public Authentication authenticate(Authentication auth)
throws AuthenticationException {
String verificationCode
= ((CustomWebAuthenticationDetails) auth.getDetails())
.getVerificationCode();
User user = userRepository.findByEmail(auth.getName());
if ((user == null)) {
throw new BadCredentialsException("Invalid username or password");
}
if (user.isUsing2FA()) {
Totp totp = new Totp(user.getSecret());
if (!isValidLong(verificationCode) || !totp.verify(verificationCode)) {
throw new BadCredentialsException("Invalid verfication code");
}
}
Authentication result = super.authenticate(auth);
return new UsernamePasswordAuthenticationToken(
user, result.getCredentials(), result.getAuthorities());
}
private boolean isValidLong(String code) {
try {
Long.parseLong(code);
} catch (NumberFormatException e) {
return false;
}
return true;
}
@Override
public boolean supports(Class<?> authentication) {
return authentication.equals(UsernamePasswordAuthenticationToken.class);
}
}
注意:在验证了一次性密码验证码后,我们只是将身份验证过程下游委托给其他处理。
这是我们的认证提供者的bean:
@Bean
public DaoAuthenticationProvider authProvider() {
CustomAuthenticationProvider authProvider = new CustomAuthenticationProvider();
authProvider.setUserDetailsService(userDetailsService);
authProvider.setPasswordEncoder(encoder());
return authProvider;
}
6. 注册过程
为了让用户能够使用应用生成令牌,他们在注册时需要正确设置。因此,我们需要对注册过程做一些简单修改,以便选择使用两步验证的用户可以扫描他们后续登录所需的二维码。
首先,我们在注册表单中添加一个简单的输入:
Use Two step verification <input type="checkbox" name="using2FA" value="true"/>
然后,在RegistrationController
中,我们在确认注册后根据用户的选项重定向他们:
@GetMapping("/registrationConfirm")
public String confirmRegistration(@RequestParam("token") String token, ...) {
String result = userService.validateVerificationToken(token);
if(result.equals("valid")) {
User user = userService.getUser(token);
if (user.isUsing2FA()) {
model.addAttribute("qr", userService.generateQRUrl(user));
return "redirect:/qrcode.html?lang=" + locale.getLanguage();
}
model.addAttribute(
"message", messages.getMessage("message.accountVerified", null, locale));
return "redirect:/login?lang=" + locale.getLanguage();
}
...
}
下面是generateQRUrl()
方法:
public static String QR_PREFIX =
"https://chart.googleapis.com/chart?chs=200x200&chld=M%%7C0&cht=qr&chl=";
@Override
public String generateQRUrl(User user) {
return QR_PREFIX + URLEncoder.encode(String.format(
"otpauth://totp/%s:%s?secret=%s&issuer=%s",
APP_NAME, user.getEmail(), user.getSecret(), APP_NAME),
"UTF-8");
}
这是qrcode.html
:
<html>
<body>
<div id="qr">
<p>
Scan this Barcode using Google Authenticator app on your phone
to use it later in login
</p>
<img th:src="${param.qr[0]}"/>
</div>
<a href="/login" class="btn btn-primary">Go to login page</a>
</body>
</html>
注意:
generateQRUrl()
方法用于生成二维码URL。- 用户将使用Google Authenticator应用扫描此二维码。
- 应用会生成一个有效期仅为30秒的6位验证码,即所需的验证代码。
- 在登录时,我们将使用自定义的
AuthenticationProvider
验证这个验证码。
7. 启用两步验证
接下来,我们要确保用户随时可以更改他们的登录偏好,如下所示:
@PostMapping("/user/update/2fa")
public GenericResponse modifyUser2FA(@RequestParam("use2FA") boolean use2FA)
throws UnsupportedEncodingException {
User user = userService.updateUser2FA(use2FA);
if (use2FA) {
return new GenericResponse(userService.generateQRUrl(user));
}
return null;
}
这是updateUser2FA()
方法:
@Override
public User updateUser2FA(boolean use2FA) {
Authentication curAuth = SecurityContextHolder.getContext().getAuthentication();
User currentUser = (User) curAuth.getPrincipal();
currentUser.setUsing2FA(use2FA);
currentUser = repository.save(currentUser);
Authentication auth = new UsernamePasswordAuthenticationToken(
currentUser, currentUser.getPassword(), curAuth.getAuthorities());
SecurityContextHolder.getContext().setAuthentication(auth);
return currentUser;
}
这是前端界面:
<div th:if="${#authentication.principal.using2FA}">
You are using Two-step authentication
<a href="#" onclick="disable2FA()">Disable 2FA</a>
</div>
<div th:if="${! #authentication.principal.using2FA}">
You are not using Two-step authentication
<a href="#" onclick="enable2FA()">Enable 2FA</a>
</div>
<br/>
<div id="qr" style="display:none;">
<p>Scan this Barcode using Google Authenticator app on your phone </p>
</div>
<script src="http://ajax.googleapis.com/ajax/libs/jquery/1.11.2/jquery.min.js"></script>
<script type="text/javascript">
function enable2FA(){
set2FA(true);
}
function disable2FA(){
set2FA(false);
}
function set2FA(use2FA){
$.post( "/user/update/2fa", { use2FA: use2FA } , function( data ) {
if(use2FA){
$("#qr").append('<img src="'+data.message+'" />').show();
}else{
window.location.reload();
}
});
}
</script>
8. 总结
在这篇快速教程中,我们演示了如何使用Spring Security实现软令牌的双因素认证功能。完整的源代码如往常一样,可以在GitHub上找到。