内容简介:kisso = cookie sso 基于 Cookie 的 SSO 中间件,它是一把快速开发 java Web 登录系统(SSO)的瑞士军刀。欢迎大家使用 kisso !! 前后分离可选:请求 Header 票据模式, 请求 Cookie 模式 常见安全策略 Secure 标记...
kisso = cookie sso
基于 Cookie 的 SSO 中间件,它是一把快速开发 java Web 登录系统(SSO)的瑞士军刀。欢迎大家使用 kisso !!
前后分离可选:请求 Header 票据模式, 请求 Cookie 模式
常见安全策略
Secure
标记为 Secure 的 Cookie 只应通过被HTTPS协议加密过的请求发送给服务端。使用 HTTPS 安全协议,可以保护 Cookie 在浏览器和 Web 服务器间的传输过程中不被窃取和篡改。
HTTPOnly
设置 HTTPOnly 属性可以防止客户端脚本通过 document.cookie 等方式访问 Cookie,有助于避免 XSS 攻击。
SameSite
SameSite 也是这篇博客的主体,首先我们来看看这个参数的作用。
SameSite 属性可以让 Cookie 在跨站请求时不会被发送,从而可以阻止跨站请求伪造攻击(CSRF)。至于什么是CSRF这里就不具体说了。
SameSite 可以有下面三种值:
1、Strict仅允许一方请求携带 Cookie,即浏览器将只发送相同站点请求的 Cookie,即当前网页 URL 与请求目标 URL 完全一致。
2、Lax允许部分第三方请求携带 Cookie
3、None无论是否跨站都会发送 Cookie
造成现在无法获取cookie是因为之前默认是 None 的,Chrome80 后默认是 Lax
KISSO 安全配置
kisso: config: # 开启 https 有效,传输更安全 cookie-secure: true # 防止 XSS 防止脚本攻击 cookie-http-only: true # 防止 CSRF 跨站攻击 cookie-same-site: Lax # 加密算法 RSA sign-algorithm: RS512 ...
使用文档
// 生成 jwt 票据,访问请求头设置‘ accessToken=票据内容 ’ 适合前后分离模式单点登录
String jwtToken = SSOToken.create().setId(1).setIssuer("admin").setOrigin(TokenOrigin.HTML5).getToken();
// 解析票据
SSOToken ssoToken = SSOToken.parser(jwtToken);
// Cookie 模式设置
SSOHelper.setCookie(request, response, new SSOToken().setId(String.valueOf(1)).setIssuer("admin"));
// 登录权限拦截器类 SSOSpringInterceptor
// 注解不拦截 @LoginIgnore
// yml 配置 kisso.config....
- Spring Boot
@ControllerAdvice
@Configuration
public class WebConfig extends WebServiceConfigurer {
@Override
public void addInterceptors(InterceptorRegistry registry) {
// SSO 授权拦截器
SSOSpringInterceptor ssoInterceptor = new SSOSpringInterceptor();
ssoInterceptor.setHandlerInterceptor(new LoginHandlerInterceptor());
registry.addInterceptor(ssoInterceptor).addPathPatterns("/**").excludePathPatterns("/v1/sso/**");
}
}
切换 RS512 算法
- 1,配置算法 kisso.config.sign-algorithm = RS512
- 2,配置私钥公钥证书,默认放置 resources 目录即可
// RSA 密钥,配置参数 kisso.config.rsa-jks-store
// 其它参数 CN=Server,OU=Unit,O=Organization,L=City,S=State,C=US
// RSA 生成 jks 密钥
$ keytool -genkeypair -alias jwtkey -keyalg RSA -dname "CN=llt" -keypass keypassword -keystore key.jks -storepass jkspassword
// RSA 生成证书
// RSA 公钥,配置参数 kisso.config.rsa-cert-store
$ keytool -export -alias jwtkey -file public.cert -keystore key.jks -storepass jksp
// 生成 jwt 票据,访问请求头设置‘ accessToken=票据内容 ’ 适合前后分离模式单点登录 String jwtToken = SSOToken.create().setId(1).setIssuer("admin").setOrigin(TokenOrigin.HTML5).getToken(); // 解析票据 SSOToken ssoToken = SSOToken.parser(jwtToken); // Cookie 模式设置 SSOHelper.setCookie(request, response, new SSOToken().setId(String.valueOf(1)).setIssuer("admin")); // 登录权限拦截器类 SSOSpringInterceptor // 注解不拦截 @LoginIgnore // yml 配置 kisso.config....
@ControllerAdvice @Configuration public class WebConfig extends WebServiceConfigurer { @Override public void addInterceptors(InterceptorRegistry registry) { // SSO 授权拦截器 SSOSpringInterceptor ssoInterceptor = new SSOSpringInterceptor(); ssoInterceptor.setHandlerInterceptor(new LoginHandlerInterceptor()); registry.addInterceptor(ssoInterceptor).addPathPatterns("/**").excludePathPatterns("/v1/sso/**"); } }
- 1,配置算法 kisso.config.sign-algorithm = RS512
- 2,配置私钥公钥证书,默认放置 resources 目录即可
// RSA 密钥,配置参数 kisso.config.rsa-jks-store // 其它参数 CN=Server,OU=Unit,O=Organization,L=City,S=State,C=US // RSA 生成 jks 密钥 $ keytool -genkeypair -alias jwtkey -keyalg RSA -dname "CN=llt" -keypass keypassword -keystore key.jks -storepass jkspassword // RSA 生成证书 // RSA 公钥,配置参数 kisso.config.rsa-cert-store $ keytool -export -alias jwtkey -file public.cert -keystore key.jks -storepass jksp
以上所述就是小编给大家介绍的《kisso 3.8.1 发布新增 SameSite 防跨站 CSRF 攻击》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!
猜你喜欢:
- Novel 1.4.3 发布,新增 xss 攻击防护
- 永恒之蓝下载器木马升级更新没完没了,新增无文件攻击
- 什么是CSRF攻击、什么是XSS攻击、什么是SQL输入攻击,如何防御攻击
- 对比DoS攻击与DDoS攻击
- 攻击云计算环境的8种攻击矢量
- “黑客”必学攻击之“跨站脚本攻击”
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
Java程序员修炼之道
[英] Benjamin J. Evans、[荷兰] Martijn Verburg / 吴海星 / 人民邮电出版社 / 2013-7 / 89.00元
本书分为四部分,第一部分全面介绍Java 7 的新特性,第二部分探讨Java 关键编程知识和技术,第三部分讨论JVM 上的新语言和多语言编程,第四部分将平台和多语言编程知识付诸实践。从介绍Java 7 的新特性入手,本书涵盖了Java 开发中最重要的技术,比如依赖注入、测试驱动的开发和持续集成,探索了JVM 上的非Java 语言,并详细讲解了多语言项目, 特别是涉及Groovy、Scala 和Cl......一起来看看 《Java程序员修炼之道》 这本书的介绍吧!
