問題タブ [authentication-flows]

春のセキュリティを備えたアプリで、群衆の組み込みのパスワードを忘れた機能を使用しようとしていますが、この問題については、独自の実装が必要だと思います。また、認証フローを使用して、動的な自動期限切れリンクの電子メール + データベースのものですべての複雑さを回避できるというこの議論にも出くわしました。誰もそれをやったことがありますか？今後の最善の道は何ですか？これらについてあなたの経験を共有できますか？

https://github.com/OhadR/Authentication-Flowsから同じコードを開発しています(基本的に、パスワードをリセットする、パスワードを忘れた、またはパスワード機能をロックするための Spring MVC アプリケーションを探しています)

調査の結果、この素晴らしい URL を見つけましたが、Tomcat Web サーバーでコードをコンパイルしてデプロイしようとすると、次のエラーが発生します。

私が使用した pom.xml ? それでも OhadR は pom.xml を更新する必要があります

「client.properties」(ohadR の提案による)

私は試しました：https://github.com/OhadR/Authentication-Flows.git を構築するための
mvn clean install -DskipTests -DdownloadSources=true と私は持っています：

...プロジェクト クライアントで目標を実行できませんでした: プロジェクト com.ohadr.auth-flows:client:war:1.0.0-SNAPSHOT の依存関係を解決できませんでした: アーティファクト com.ohadr:authentication-flows:jar:1.6 が見つかりませんでした.2-SNAPSHOT... com.ohadr:authentication-flows:jar:1.6.2-SNAPSHOT の POM がありません。依存関係の情報がありません...

次に、このリポジトリを追加してみました:

jar ( http://central.maven.org/maven2/com/ohadr/authentication-flows/1.6.0-RELEASE/authentication-flows-1.6.2-RELEASE.jar ) をダウンロードし、手動でインストールします。

今私が持っています：

...プロジェクト クライアントで目標 org.apache.maven.plugins:maven-compiler-plugin:3.1:compile (default-compile) を実行できませんでした: コンパイルの失敗: コンパイルの失敗:... impl/CustomCreateAccountEndpoint.java:[6 ,38] パッケージ com.ohadr.auth_flows.endpoints が存在しません

私は何を間違っていますか？ありがとうございました。

ここでプロジェクトを複製しましたhttps://github.com/OhadR/oAuth2-sample

oauth2-client、oauth2-auth-server、resource-sercer の 3 つのプロジェクトすべての pom.xml で、親の適切なバージョンを設定します。

3 つのプロジェクトを auth-parent のモジュール セクションに追加しました。を使用してwarファイルを作成しましたmvn install.

3 つの生成された war ファイルを jetty/webapps に配置しました。Client と Resource-server は正常にロードされるようですが、oauth2-auth-server はロードされません。localhost:8080UNAVAILABLEで oauth2-auth-server を取得します。

oauth2-auth-server にmaven-jetty pluginandを追加してデバッグを試みました。mvn jetty:runしかし、私は得る

https://github.com/OhadR/Authentication-Flows

クライアント プロジェクトには依存関係があります

これは、オンラインの Maven リポジトリから取得されます。この依存関係のソース コードはこちらです。

このソース コードに変更を加え、そのソース コードをクライアント プロジェクトの依存関係として使用したいと考えています。

オンラインの Maven リポジトリからフェッチするのではなく、クライアント アプリケーションの依存関係として Maven プロジェクトを認証フローするにはどうすればよいですか?

認証フローをいじっていて、Web サーバーを再起動すると URL が機能しなくなり、それらがすべて無効になっていることに気付きました。デバッグについて説明しましたが、正確な理由についてはまだ少し迷っていますが、それが発生する理由はたくさんあります (そして、あなたもそうだと確信しています)。

複数のコンテナーに分散されるサービスを作成したいのですが、要求が届いたときにそれらのいずれかがそれを提供できます。解決策は現在のところ、可能にするために変更を加える必要があるようです。

URL を無効にしているのは正確には何ですか? また、提案したソリューションを実現するためにどのような変更を加えることができますか?

前もって感謝します。

オハードのコメントに応えて：

1. URL が無効な理由

エラーが発生する方法を教えてください。戦争を展開し、忘れたパスワードを送信します。メールを受け取ってパスワードをリセットし、戦争を止めてください。それが発生すると、パスワードのリセット ページで enc が抽出されます。次に、戦争を停止して再展開します。/rest/setNewPassword マッピングへの enc と新しいパスワードを含む REST 要求を送信した後、次を受け取ります。

2016 年 1 月 9 日 03:50:48,799 [http-nio-8082-exec-1] エラー web.rest.UserActionRestController - URL コンテンツ aX8uaOWkqAUQN2xOzlPAOHJjPZaxBwho7.yoMeUtMnJA の復号化に失敗しました

ohadr \crypto\service\CryptoService.javaの 261 行目に例外があります。

throw new CryptoException("URL コンテンツの復号化に失敗しました" + based64EncryptedContent, e);

次に、ブレークポイントを使用して次を見つけます。

java aes javax.crypto.BadPaddingException: 指定された最終ブロックが適切にパディングされていない

この問題を再現しようとすると、同じ結果が得られると確信しています...

注: 再デプロイせずにこれを行うと、すべてがうまく機能します!

2. auth-flows を SaaS として機能させる方法

このサービスで満たしてほしい 3 つのユース ケースがあります。

1. 現在、私がサービスをホストしていて、それがフェイルオーバーせずにダウンした場合、URL を持っている人は、サービスが復旧したときにリンクを使用できなくなります。関係なくリンクを使用できるようにしてほしい。

2. (テストされていませんが、すぐに実行されます) 2 番目と同様に、このサービスを複数の Docker コンテナーでホストする場合、元はそのコンテナーから取得されたものではないリンクを受け取ることができないため、コンテナーは並べ替えられていない負荷を共有できませんでした。 . enc のいずれかを読み取って処理できる必要があります。

編集：

1. URL が無効な理由

これをテストするさらに簡単な方法は、忘れたパスワードを送信し、電子メールを取得して戦争を停止することです。再デプロイしてから、リンクをクリックします。私はこのスタックトレースを得ました:

https://drive.google.com/file/d/0Bwa-JXbjFUDueXVMWWJibjY2Zm8/view?usp=sharing

csrf が有効になっていないことを心配する必要はありません。