एस्केप स्टूडियो, सिम्फनी 2 से wsse- ऑथेंटिकेशन-बंडल में Sha512 सपोर्ट

हाल ही में, कार्य एक टोकन बनाते समय सुरक्षा बढ़ाने के साथ-साथ sha512 समर्थन भी था। यह लेख संकीर्ण रूप से केंद्रित था, लेकिन मुझे यकीन है कि मैं इसका सामना करने वाला एकमात्र व्यक्ति नहीं हूं।

Symfony2 पर ऑनलाइन स्टोर के एपीआई की प्रोग्रामिंग करते समय वर्तमान समस्याओं को हल करने के लिए, उसने दोस्तों को F5UserBundle और WSSEAuthenticationBundle को sha512 एल्गोरिथ्म के साथ बनाने का फैसला किया और जल्द ही पता चला कि इसके लिए थोड़ा परिश्रम की आवश्यकता होगी। इस पर मेरे लेख में चर्चा की जाएगी।

मूल सेटिंग्स:

app/config/config.yml fos_user: db_driver: orm firewall_name: wsse_secured user_class: Acme\DemoBundle\Entity\User # Escape WSSE authentication configuration escape_wsse_authentication: authentication_provider_class: Escape\WSSEAuthenticationBundle\Security\Core\Authentication\Provider\Provider authentication_listener_class: Escape\WSSEAuthenticationBundle\Security\Http\Firewall\Listener authentication_entry_point_class: Escape\WSSEAuthenticationBundle\Security\Http\EntryPoint\EntryPoint authentication_encoder_class: Symfony\Component\Security\Core\Encoder\MessageDigestPasswordEncoder app/config/security.yml security: providers: fos_userbundle: id: fos_user.user_provider.username encoders: FOS\UserBundle\Model\UserInterface: sha512 firewalls: wsse_secured: pattern: ^/api/.* wsse: lifetime: 300 #lifetime of nonce realm: "Secured API" #identifies the set of resources to which the authentication information will apply (WWW-Authenticate) profile: "UsernameToken" #WSSE profile (WWW-Authenticate) encoder: #digest algorithm algorithm: sha512 encodeHashAsBase64: true iterations: 1 anonymous: true 

नियंत्रक में टोकन पीढ़ी कोड:

 src\Acme\DemoBundle\Controller\SecurityController.php //... $created = date('c'); $nonce = substr(md5(uniqid('nonce_', true)), 0, 16); $nonceHigh = base64_encode($nonce); $salted = $nonce . $created . $user->getPassword() . "{" . $user->getSalt() . "}"; $passwordDigest = hash('sha512', $salted, true); $header = "UsernameToken Username=\"{$username}\", PasswordDigest=\"{$passwordDigest}\", Nonce=\"{$nonceHigh}\", Created=\"{$created}\""; $view->setHeader("Authorization", 'WSSE profile="UsernameToken"'); $view->setHeader("X-WSSE", "UsernameToken Username=\"{$username}\", PasswordDigest=\"{$passwordDigest}\", Nonce=\"{$nonceHigh}\", Created=\"{$created}\""); $data = array('WSSE' => $header); //... 

मैं वास्तव में इस कॉन्फ़िगरेशन को बॉक्स से बाहर काम करना चाहता था, लेकिन यह नहीं किया। आइए जानें इसका कारण। यह पता चला है कि Escapestudios से मानक प्रदाता में ऐसी लाइनें हैं:

 WSSEAuthenticationBundle/Security/Core/Authentication/Provider/Provider.php //... //validate secret $expected = $this->encoder->encodePassword( sprintf( '%s%s%s', base64_decode($nonce), $created, $secret ), "" ); 

प्रायद्वीपीय रेखा में उद्धरण चिह्न रुचि के हैं; यदि नमक को उनके स्थान पर जोड़ा जाता है, तो सब कुछ चमत्कारिक रूप से काम करना शुरू कर देता है। आइए इस प्रदाता को हमारे बंडल में फिर से लिखें और स्थिति को ठीक करें:

 src\Acme\DemoBundle\Security\Authentication\Provider\WsseProvider.php namespace Acme\DemoBundle\Security\Authentication\Provider; use Escape\WSSEAuthenticationBundle\Security\Core\Authentication\Provider\Provider; use Symfony\Component\Security\Core\Authentication\Provider\AuthenticationProviderInterface; use Symfony\Component\Security\Core\Exception\CredentialsExpiredException; use Symfony\Component\Security\Core\Exception\NonceExpiredException; /** * Class WsseProvider * @package Acme\DemoBundle\Security\Authentication\Provider */ class WsseProvider extends Provider implements AuthenticationProviderInterface { /** * @param $user \Symfony\Component\Security\Core\User\UserInterface * @param $digest * @param $nonce * @param $created * @param $secret * * @return bool * @throws \Symfony\Component\Security\Core\Exception\CredentialsExpiredException * @throws \Symfony\Component\Security\Core\Exception\NonceExpiredException */ protected function validateDigest($user, $digest, $nonce, $created, $secret) { //check whether timestamp is not in the future if (strtotime($created) > time()) { throw new CredentialsExpiredException('Future token detected.'); } //expire timestamp after specified lifetime if (time() - strtotime($created) > $this->getLifetime()) { throw new CredentialsExpiredException('Token has expired.'); } //validate that nonce is unique within specified lifetime //if it is not, this could be a replay attack if ($this->getNonceCache()->contains($nonce)) { throw new NonceExpiredException('Previously used nonce detected.'); } $this->getNonceCache()->save($nonce, time(), $this->getLifetime()); //validate secret $expected = $this->getEncoder()->encodePassword( sprintf( '%s%s%s', base64_decode($nonce), $created, $secret ), $user->getSalt() ); return $digest === $expected; } } 

मैं यह नोट करना चाहता हूं कि आखिरी में, लेखन के समय, बंडल का संस्करण, कॉन्फ़िगरेशन में नॉन के उपयोग को अक्षम करना संभव नहीं है, और प्राप्त टोकन केवल एक बार मान्य है। इस चेक लाइनों को बदलने और गैर जोड़ने के लिए बस हटाया जा सकता है।

इस वर्ग को सेटिंग्स में जोड़ें:

 app/config/config.yml # Escape WSSE authentication configuration escape_wsse_authentication: authentication_provider_class: Acme\DemoBundle\Security\Authentication\Provider\WsseProvider authentication_listener_class: Escape\WSSEAuthenticationBundle\Security\Http\Firewall\Listener authentication_entry_point_class: Escape\WSSEAuthenticationBundle\Security\Http\EntryPoint\EntryPoint authentication_encoder_class: Symfony\Component\Security\Core\Encoder\MessageDigestPasswordEncoder 

अब हम डिफेंस को थोड़ा सुधारें। एनकोडर की सेटिंग में ऐसा पुनरावृत्तियों पैरामीटर है:

 app/config/security.yml security: firewalls: wsse_secured: wsse: encoder: #digest algorithm iterations: 1 

यह पैरामीटर टोकन के एन्कोडिंग / डिकोडिंग के दौरान हैश पुनरावृत्तियों की संख्या के लिए जिम्मेदार है। डिफ़ॉल्ट रूप से, यह "1" है। तुलना के लिए, जब Symfony2 में एक पासवर्ड हैशिंग, यह "5000" (सिम्फनी \ घटक \ सुरक्षा \ कोर \ एनकोडर \ MessageDigestPasswordEncoder) है।

इस कार्यक्षमता को लागू करने के लिए, हम नियंत्रक और विन्यास में कुछ बदलाव करेंगे:

 app/config/security.yml parameters: wsse_iterations: 300 security: firewalls: wsse_secured: wsse: encoder: #digest algorithm iterations: %wsse_iterations% src\Acme\DemoBundle\Controller\SecurityController.php //... $created = date('c'); $nonce = substr(md5(uniqid('nonce_', true)), 0, 16); $nonceHigh = base64_encode($nonce); $container = $this->get('service_container'); $iterations = $container->getParameter('wsse_iterations'); $salted = $nonce . $created . $user->getPassword() . "{" . $user->getSalt() . "}"; $passwordDigest = hash('sha512', $salted, true); for ($i = 1; $i < $iterations; $i++) { $passwordDigest = hash('sha512', $passwordDigest . $salted, true); } $passwordDigest = base64_encode($passwordDigest); $header = "UsernameToken Username=\"{$username}\", PasswordDigest=\"{$passwordDigest}\", Nonce=\"{$nonceHigh}\", Created=\"{$created}\""; $view->setHeader("Authorization", 'WSSE profile="UsernameToken"'); $view->setHeader( "X-WSSE", "UsernameToken Username=\"{$username}\", PasswordDigest=\"{$passwordDigest}\", Nonce=\"{$nonceHigh}\", Created=\"{$created}\"" ); $data = array('WSSE' => $header); //... 

वास्तव में, इस लेख में मुख्य बिंदु प्रदाता में एक पंक्ति को बदलने के लिए कम किए गए हैं, हालांकि, कुछ जोड़ और उनका विवरण भी काफी है, मेरी राय में, जगह से बाहर। मुझे उम्मीद है कि कोई काम आएगा।

मैं आपको डिजिटोव बिजनेस स्कूल से वेब विकास के पाठ्यक्रमों के लिए आमंत्रित करता हूं, जो मैं सिखाता हूं : मैं एक जूनियर PHP डेवलपर बनना चाहता हूं! (शुरुआती के लिए), सिम्फनी 2. लचीले विकास (विशेषज्ञों के लिए), साथ ही साथ मेरे सहयोगियों द्वारा किए गए: पायथन / Django (शुरुआती के लिए) और रूबी पर पटरियों में वेब अनुप्रयोग विकास । पेशेवर विकास के लिए रेल पर (शुरुआती के लिए)। अभी पाठ्यक्रमों की सदस्यता लें और आप उन्हें छूट पर खरीद सकते हैं

सर्गेई हार्लानचुक, वरिष्ठ PHP डेवलपर / टीम लीड, एसईसीएल ग्रुप / इंटरनेट सेल्स टेक्नोलॉजीज द्वारा पोस्ट किया गया