Spring Security を使用したワンタイムトークン認証の実装
今日のデジタル環境では、安全でユーザーフレンドリーな認証方法を提供することが非常に重要です。このような方法の 1 つとして人気が高まっているのが、ワンタイム トークン (OTT) 認証であり、多くの場合、電子メールで送信される「マジック リンク」として実装されます。 Spring Security 6.4.0 は、すぐに使用できる実装を含む、OTT 認証の強力な組み込みサポートを提供します。この包括的なガイドでは、組み込みソリューションとカスタム実装の両方を使用して安全な OTT 認証を実装する方法を説明します。
ワンタイムトークンとワンタイムパスワードについて理解する
実装に入る前に、ワンタイム トークン (OTT) がワンタイム パスワード (OTP) とは異なることを理解することが重要です。 OTP システムは通常、初期設定が必要で、パスワード生成には外部ツールに依存しますが、OTT システムはユーザーの観点から見るとよりシンプルです。つまり、認証に使用できる一意のトークン (通常は電子メール経由) を受け取ります。
主な違いは次のとおりです:
- OTT はユーザーによる初期設定を必要としません
- トークンはアプリケーションによって生成され、配信されます
- 各トークンは通常 1 回のみ有効で、設定された時間が経過すると期限切れになります
利用可能な組み込み実装
Spring Security は、OneTimeTokenService の 2 つの実装を提供します。
-
InMemoryOneTimeTokenService:
- トークンをメモリに保存します
- 開発とテストに最適
- 実稼働環境やクラスター環境には適していません
- アプリケーションの再起動時にトークンが失われます
-
JdbcOneTimeTokenService:
- トークンをデータベースに保存します
- 本番環境での使用に適しています
- クラスター環境で動作します
- 自動クリーンアップを備えた永続ストレージ
InMemoryOneTimeTokenService の使用
よりシンプルなインメモリ ソリューションを実装する方法は次のとおりです。
@Configuration
@EnableWebSecurity
public class SecurityConfig {
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
http
.authorizeHttpRequests(auth -> auth
.requestMatchers("/login/**", "/ott/**").permitAll()
.anyRequest().authenticated()
)
.formLogin(Customizer.withDefaults())
.oneTimeTokenLogin(Customizer.withDefaults()); // Uses InMemoryOneTimeTokenService by default
return http.build();
}
}
ログイン後にコピー
ログイン後にコピー
JdbcOneTimeTokenService の使用
実稼働環境の場合は、JDBC 実装を使用します。
@Configuration
@EnableWebSecurity
public class SecurityConfig {
@Autowired
JdbcTemplate jdbcTemplate;
@Bean
public OneTimeTokenService oneTimeTokenService() {
return new JdbcOneTimeTokenService(jdbcTemplate);
}
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
http
.authorizeHttpRequests(auth -> auth
.requestMatchers("/login/**", "/ott/**").permitAll()
.anyRequest().authenticated()
)
.formLogin(Customizer.withDefaults())
.oneTimeTokenLogin(Customizer.withDefaults());
return http.build();
}
}
ログイン後にコピー
ログイン後にコピー
JdbcOneTimeTokenService に必要なテーブル構造:
CREATE TABLE one_time_tokens (
token_value VARCHAR(255) PRIMARY KEY,
username VARCHAR(255) NOT NULL,
issued_at TIMESTAMP NOT NULL,
expires_at TIMESTAMP NOT NULL,
used BOOLEAN NOT NULL
);
ログイン後にコピー
カスタム実装
トークンの生成と検証プロセスをさらに制御するには、カスタム実装を作成できます。
1. トークンエンティティとリポジトリ
@Entity
@Table(name = "one_time_tokens")
public class OneTimeToken {
@Id
@GeneratedValue
private Long id;
private String tokenValue;
private String username;
private LocalDateTime createdAt;
private LocalDateTime expiresAt;
private boolean used;
// Getters and setters omitted for brevity
}
@Repository
public interface OneTimeTokenRepository extends JpaRepository<OneTimeToken, Long> {
Optional<OneTimeToken> findByTokenValueAndUsedFalse(String tokenValue);
void deleteByExpiresAtBefore(LocalDateTime dateTime);
}
ログイン後にコピー
2. カスタムトークンサービス
@Service
@Transactional
public class PersistentOneTimeTokenService implements OneTimeTokenService {
private static final int TOKEN_VALIDITY_MINUTES = 15;
@Autowired
private OneTimeTokenRepository tokenRepository;
@Override
public OneTimeToken generate(GenerateOneTimeTokenRequest request) {
String tokenValue = UUID.randomUUID().toString();
LocalDateTime now = LocalDateTime.now();
OneTimeToken token = new OneTimeToken();
token.setTokenValue(tokenValue);
token.setUsername(request.getUsername());
token.setCreatedAt(now);
token.setExpiresAt(now.plusMinutes(TOKEN_VALIDITY_MINUTES));
token.setUsed(false);
return return new DefaultOneTimeToken(token.getTokenValue(),token.getUsername(), Instant.now());
}
@Override
public Authentication consume(ConsumeOneTimeTokenRequest request) {
OneTimeToken token = tokenRepository.findByTokenValueAndUsedFalse(request.getTokenValue())
.orElseThrow(() -> new BadCredentialsException("Invalid or expired token"));
if (token.getExpiresAt().isBefore(LocalDateTime.now())) {
throw new BadCredentialsException("Token has expired");
}
token.setUsed(true);
tokenRepository.save(token);
UserDetails userDetails = loadUserByUsername(token.getUsername());
return new UsernamePasswordAuthenticationToken(
userDetails, null, userDetails.getAuthorities());
}
}
ログイン後にコピー
トークン配信の実装
Spring Security はトークンの配信を処理しないため、トークンの配信を実装する必要があります。
@Component
public class EmailMagicLinkHandler implements OneTimeTokenGenerationSuccessHandler {
@Autowired
private JavaMailSender mailSender;
private final OneTimeTokenGenerationSuccessHandler redirectHandler =
new RedirectOneTimeTokenGenerationSuccessHandler("/ott/check-email");
@Override
public void handle(HttpServletRequest request, HttpServletResponse response,
OneTimeToken token) throws IOException, ServletException {
String magicLink = UriComponentsBuilder.fromHttpUrl(UrlUtils.buildFullRequestUrl(request))
.replacePath(request.getContextPath())
.replaceQuery(null)
.fragment(null)
.path("/login/ott")
.queryParam("token", token.getTokenValue())
.toUriString();
SimpleMailMessage message = new SimpleMailMessage();
message.setTo(getUserEmail(token.getUsername()));
message.setSubject("Your Sign-in Link");
message.setText("Click here to sign in: " + magicLink);
mailSender.send(message);
redirectHandler.handle(request, response, token);
}
}
ログイン後にコピー
URL とページのカスタマイズ
Spring Security はいくつかのカスタマイズ オプションを提供します。
@Configuration
@EnableWebSecurity
public class SecurityConfig {
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
http
.authorizeHttpRequests(auth -> auth
.requestMatchers("/login/**", "/ott/**").permitAll()
.anyRequest().authenticated()
)
.formLogin(Customizer.withDefaults())
.oneTimeTokenLogin(Customizer.withDefaults()); // Uses InMemoryOneTimeTokenService by default
return http.build();
}
}
ログイン後にコピー
ログイン後にコピー
生産上の考慮事項
本番環境に OTT 認証を導入する場合:
-
適切な実装を選択してください
- 本番環境には JdbcOneTimeTokenService またはカスタム実装を使用します
- InMemoryOneTimeTokenService は開発/テストにのみ使用してください
メール配信の設定
@Configuration
@EnableWebSecurity
public class SecurityConfig {
@Autowired
JdbcTemplate jdbcTemplate;
@Bean
public OneTimeTokenService oneTimeTokenService() {
return new JdbcOneTimeTokenService(jdbcTemplate);
}
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
http
.authorizeHttpRequests(auth -> auth
.requestMatchers("/login/**", "/ott/**").permitAll()
.anyRequest().authenticated()
)
.formLogin(Customizer.withDefaults())
.oneTimeTokenLogin(Customizer.withDefaults());
return http.build();
}
}
ログイン後にコピー
ログイン後にコピー
-
セキュリティのベストプラクティス
- 適切なトークンの有効期限を設定します (15 分を推奨)
- トークン生成のレート制限を実装します
- すべてのエンドポイントに HTTPS を使用します
- 失敗した認証試行を監視する
- トークンが使い捨てであり、使用後すぐに無効になることを確認します
- 期限切れのトークンの自動クリーンアップを実装します
- 安全なランダムトークン生成を使用して推測を防ぎます
仕組み
- ユーザーは電子メール アドレスを送信してトークンをリクエストします
- システムは安全なトークンを生成し、電子メール経由でマジック リンクを送信します
- ユーザーがリンクをクリックすると、トークン送信ページにリダイレクトされます
- システムはトークンを検証し、有効であればユーザーを認証します
結論
Spring Security の OTT サポートは、安全でユーザーフレンドリーな認証を実装するための堅牢な基盤を提供します。組み込みの実装を選択するか、カスタム ソリューションを作成するかに関係なく、高いセキュリティ基準を維持しながら、ユーザーにパスワードなしのログイン オプションを提供できます。
OTT 認証を実装する場合は、次の点に注意してください。
- 環境に適した実装を選択してください
- 安全なトークン配信を実装する
- 適切なトークンの有効期限を構成する
- セキュリティのベストプラクティスに従います
- ユーザーフレンドリーなエラー処理とリダイレクトを作成する
- プロフェッショナルな外観を実現する適切な電子メール テンプレートを実装します
このガイドに従うことで、Spring Security の堅牢なセキュリティ機能を活用しながら、アプリケーションのニーズを満たす安全でユーザーフレンドリーな OTT 認証システムを実装できます。
参考: https://docs.spring.io/spring-security/reference/servlet/authentication/onetimetoken.html
以上がSpring Security を使用したワンタイムトークン認証の実装の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。
このウェブサイトの声明
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。
ホットAIツール
Undresser.AI Undress
リアルなヌード写真を作成する AI 搭載アプリ
AI Clothes Remover
写真から衣服を削除するオンライン AI ツール。
Undress AI Tool
脱衣画像を無料で
Clothoff.io
AI衣類リムーバー
AI Hentai Generator
AIヘンタイを無料で生成します。
人気の記事
R.E.P.O.説明されたエネルギー結晶と彼らが何をするか(黄色のクリスタル)
2週間前
By 尊渡假赌尊渡假赌尊渡假赌
レポ:チームメイトを復活させる方法
4週間前
By 尊渡假赌尊渡假赌尊渡假赌
ハローキティアイランドアドベンチャー:巨大な種を手に入れる方法
3週間前
By 尊渡假赌尊渡假赌尊渡假赌
スプリットフィクションを打ち負かすのにどれくらい時間がかかりますか?
3週間前
By DDD
R.E.P.O.ファイルの保存場所:それはどこにあり、それを保護する方法は?
3週間前
By DDD
ホットツール
メモ帳++7.3.1
使いやすく無料のコードエディター
SublimeText3 中国語版
中国語版、とても使いやすい
ゼンドスタジオ 13.0.1
強力な PHP 統合開発環境
ドリームウィーバー CS6
ビジュアル Web 開発ツール
SublimeText3 Mac版
神レベルのコード編集ソフト(SublimeText3)
ホットトピック
Gmailメールのログイン入り口はどこですか?
7315
9
7315
9
Java チュートリアル
1625
14
1625
14
CakePHP チュートリアル
1348
46
1348
46
Laravel チュートリアル
1260
25
1260
25
PHP チュートリアル
1207
29
1207
29
2025年のトップ4 JavaScriptフレームワーク:React、Angular、Vue、Svelte
Mar 07, 2025 pm 06:09 PM
2025年のトップ4 JavaScriptフレームワーク:React、Angular、Vue、Svelte
カフェインやグアバキャッシュなどのライブラリを使用して、Javaアプリケーションにマルチレベルキャッシュを実装するにはどうすればよいですか?
Mar 17, 2025 pm 05:44 PM
カフェインやグアバキャッシュなどのライブラリを使用して、Javaアプリケーションにマルチレベルキャッシュを実装するにはどうすればよいですか?
Javaのクラスロードメカニズムは、さまざまなクラスローダーやその委任モデルを含むどのように機能しますか?
Mar 17, 2025 pm 05:35 PM
Javaのクラスロードメカニズムは、さまざまなクラスローダーやその委任モデルを含むどのように機能しますか?
Spring Boot Snakeyaml 2.0 CVE-2022-1471問題修正
Mar 07, 2025 pm 05:52 PM
Spring Boot Snakeyaml 2.0 CVE-2022-1471問題修正
キャッシュや怠zyなロードなどの高度な機能を備えたオブジェクトリレーショナルマッピングにJPA(Java Persistence API)を使用するにはどうすればよいですか?
Mar 17, 2025 pm 05:43 PM
キャッシュや怠zyなロードなどの高度な機能を備えたオブジェクトリレーショナルマッピングにJPA(Java Persistence API)を使用するにはどうすればよいですか?
高度なJavaプロジェクト管理、自動化の構築、依存関係の解像度にMavenまたはGradleを使用するにはどうすればよいですか?
Mar 17, 2025 pm 05:46 PM
高度なJavaプロジェクト管理、自動化の構築、依存関係の解像度にMavenまたはGradleを使用するにはどうすればよいですか?
