Q&A
前提・実現したいこと
表題の通りなのですが、あるアプリケーションサーバー内でログインを行なうwarと、そこで認証された情報を利用していろいろするwarにアプリケーションを分割したいと考えています。
(ようするにシングルサインオンのようなことがやりたいです)
こういったことを実現する場合、どのようなアプローチが考えられるでしょうか
この際、認証方法はSpring Securityを使ったIDとパスワードの認証を利用します。
試したこと
サーブレットコンテキスト内にログイン情報を置き、それを利用する
https://teratail.com/questions/138777
上記の内容で試してみたのですが値を取得できませんでした。
https://stackoverflow.com/questions/22128150/spring-and-cross-context-webasyncmanager-cannot-be-cast-to-webasyncmanager
https://stackoverflow.com/questions/665941/any-way-to-share-session-state-between-different-applications-in-tomcat
調べてみるとできないという記述を良く見かけるので別のアプローチ方法を検討しています。
#そもそもの話
また、そもそもこういった設計(異なるコンテキスト間でログイン情報を共有する)に問題があるのではないかとも考えているのですが、これこれこういった問題があるという話にたどり着けませんでした。
この設計にセキュリティ的な問題などがあればご指摘をいただきたいです。
回答1件
0
ベストアンサー
セキュリティ的な部分は門外漢なのでコメントできないのですが、SSO的な機能の実装にはJWT(JSON Web Token)を検討されてはいかがでしょうか。
JWTについては、認証におけるJWTの利用について - Qiitaが詳しいですが、簡単に説明すると
”認証サーバーでIDとパスワードでユーザーを認証し、認証できればシークレットキーを使ってJWTを発行します。以降はこのJWTをリクエストヘッダーにセットして、それぞれのアプリケーションへアクセスします。それぞれのアプリケーションではリクエストヘッダーのトークンをシークレットキーで検証(verify)します。”
注意点としては
- トークンのペイロードと呼ばれる部分に持つデータは誰にでもデコードできるので、外部に露出してはいけない情報は格納してはいけないという点
- 発行したトークンを無効化する手段がないという点(トークンには有効期限が設定できますが、任意のタイミングで無効にすることはできません。)
- たとえば、ログアウトした場合にそのトークンを無効にするといったことはできないです。(たぶん)なので対応するとすればブラックリストのようなものを作って無効化したいトークンを登録し、認証時にブラックリストと照合するといった実装が必要です。
参考
投稿2018/07/31 11:23
総合スコア1752
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2018/08/20 11:58