Spring Security 之不要太相信這個中文手冊

I. 前言
- 1. 準備開始
- 1. 介紹
  - 2.1. 什麼是 Spring Security
  - 2.2. 歷史
  - 2.3. 版本編號規則
  - 2.4. 取得 Spring Security
- 3. Spring Security 5.0 新增功能
- 4. 範例及指引 (由此開始)
- 5. Java 設定
  - 5.1. 初到貴寶地來用個 Java 設定
  - 5.2. HttpSecurity
  - 5.3. Java 設定及表單登入
  - 5.4. 設定授權請求
  - 5.5. 登出處理
  - 5.6. WebFlux 模組安全控制
  - 5.7. OAuth 2.0 登入
  - 5.8. 權限驗證
  - 5.9. 多重 HttpSecurity
  - 5.10. 方法層級安全
  - 5.11. 已設定物件的後處理
  - 5.12. 自訂 DSL 領域特定語言
- 1. Security 命名空間設定
  - 6.1. 介紹
  - 6.2. 開始使用安全命名空間設定
  - 6.3. 進階網路功能
  - 6.4. 方法安全
  - 6.5. 預設 AccessDecisionManager
  - 6.6. 驗證管理器與命名空間
- 1. 範例應用程式
  - 7.1. Tutorial 範例
  - 7.2. Contacts
  - 7.3. LDAP 範例
  - 7.4. OpenID 範例
  - 7.5. CAS 範例
  - 7.6. JAAS 範例
  - 7.7. 預先驗證範例
- 1. Spring Security 社群
  - 8.1. 問題追蹤
  - 8.2. 參與
  - 8.3. 未來資訊
II. 架構及實作
- 1. 技術概觀
  - 9.1. 運行環境
  - 9.2. 核心組件
  - 9.3. 權限驗證
  - 9.4. 網路應用程式的權限驗證
  - 9.5. 存取控制 (授權管理)
  - 9.6. 在地化
- 10. 核心服務
  - 10.1. AuthenticationManager、ProviderManager 及 AuthenticationProvider
  - 10.2. 實作 UserDetailsService
  - 10.3. 密碼編碼
  - 10.4. Jackson 支援
III. 測試
- 1. 測試方法安全
  - 11.1. 設定安全測試
  - 11.2. @WithMockUser
  - 11.3. @WithAnonymousUser
  - 11.4. @WithUserDetails
  - 11.5. @WithSecurityContext
  - 11.6. 測試元註解
- 1. Spring MVC 測試整合
  - 12.1. 設定 MockMvc 及 Spring Security
  - 12.2. SecurityMockMvcRequestPostProcessors
  - 12.3. SecurityMockMvcRequestBuilders
  - 12.4. SecurityMockMvcResultMatchers
IV. 網路應用程式安全
- 14. Security Filter Chain
  - 14.1. DelegatingFilterProxy
  - 14.2. FilterChainProxy
  - 14.3. Filter 排序
  - 14.4. 請求匹配與 HttpFirewall
  - 14.5. 與其他 filter 基礎的框架一起使用
  - 14.6. 進階命名空間設定
- 15. 核心 Security Filter
- 16. Servlet 介面整合
- 17. 基本及摘要驗證
  - 17.1. BasicAuthenticationFilter
  - 17.2. DigestAuthenticationFilter
- 1. 記得我驗證
- 1. CSRF
  - 19.1. CSRF 攻擊
  - 19.2. 同步 Token 樣式
  - 19.3. 何時使用 CSRF 保護機制
  - 19.4. 使用 CSRF 保護機制
  - 19.5. CSRF 注意事項
  - 19.6. Override 預設
- 1. CORS
- 1. 安全 HTTP 回應表頭
- 1. Session 管理
- 1. 匿名驗證
- 1. WebSocket 安全控制
V. 授權管理
- 1. 授權管理架構
  - 25.1. 權限
  - 25.2. 觸發前處理
  - 25.3. 觸發後處理
  - 25.4. 階層式腳色
- 1. 實作 Secure Object
  - 26.1. AOP Alliance (MethodInvocation) 安全攔截器
  - 26.2. AspectJ (JoinPoint) 安全攔截器
- 1. 表達式存取控制
  - 27.1. 總覽
  - 27.2. 網路安全表達式
  - 27.3. 方法安全表達式
VI. 其他主題
- 1. 整合 Spring MVC
  - 39.1. @EnableWebMvcSecurity
  - 39.2. MvcRequestMatcher
  - 39.3. @AuthenticationPricipal
  - 39.4. Spring MVC 非同步整合
  - 39.5. Spring MVC 與 CSRF 整合
VII. 整合 Spring Data
VIII. 附錄
- 1. FAQ
  - 46.1. 概括性問題
  - 46.2. 常見問題
  - 46.3. 架構問題
  - 46.4. 常見「如何」問題

18.2. 簡單雜湊 Token 方式

18.2. 簡單雜湊 Token 方式

這個方式使用雜湊來達到實用的記得我策略。簡單來說，在成功的驗證過後，一個 cookie 會被發送給瀏覽器，這個 cookie 會長得像這樣：

base64(username + ":" + expirationTime + ":" +
md5Hex(username + ":" + expirationTime + ":" password + ":" + key))

username:          可被 UserDetailsService 識別
password:          與取得的 UserDetails 相符
expirationTime:    以毫秒為單位，紀錄記得我 token 到期的日期及時間
key:               用來避免記得我 token 被修改的私有 key

這樣的記得我 token 只會依照設定的時間存活，前提是使用者名稱、密碼及 key 都不變。

要注意的是，這個機制有個安全問題，就是當記得我 token 被捕獲後，在 token 失效前，任何使用端都可以使用它，這與摘要驗證是同樣的問題。如果一個請求端取得一個 token，它就可以很容易地變更密碼，並立即讓其他記得我 token 全都失效。

所以如果你需要更加強的安全，你應該參考下一段的機制，或者根本不要使用記得我功能。

如果你對於命名空間設定還算熟悉，你可以加上 <remember-me> 元素就可以啟用記得我驗證：

<http>
    ...
    <remember-me key="myAppKey"/>
</http>

通常 UserDetailsService 會自動被選用，但如果應用程式裡有不止一個 UserDetailsService，你需要在 user-service-re 性質中註明要使用的是哪一個 UserDetailsService bean 的名稱。