細かいヘッダとかの話。

細かすぎて知らないものが結構あったのと、多分デフォルトで有効になっているため意識して認識できてるものが少ない。

Referrer Policy

• Referrerポリシーは、Webアプリケーションが活用することができる。ユーザーが最後に訪れたページを含むReferrerフィールドを管理するために。
• Spring Securityのアプローチは Referrerポリシーヘッダを使用しており、異なるポリシーを提供する
  • どういうことだ？？

Referrer-Policy: same-origin

• Referrerポリシーレスポンスヘッダは、ユーザーが以前どこにいたかのソースを宛先に知らせるようにブラウザに指示する

Feature Policy

• Feature Policy はWeb開発者が特定の API やWeb機能の動作を明示的に有効化、無効化、変更できるようにするためのメカニズムである

Feature-Policy: geolocation 'self'

• Feature Policy によって開発者はあなたのサイトを通じて、特定の機能をブラウザの Policies をセットしOpt-inできる
• これらのポリシーはサイトがアクセスできるAPIを制限したり、特定の機能のためにブラウザのデフォルト動作を変更する

Clear Site Data

• Clear Site Data はHTTP レスポンスのヘッダにこれが含まれている場合、ブラウザサイドのデータ、Cookie, Local Storage などを明示的に削除する機能である

Clear-Site-Data: "cache", "cookies", "storage", "executionContexts"

• これはログアウトの際の良いクリーンアップ動作である
  • これめっちゃ良いじゃん。使ってるんだろうか。

Custom Headers

• Spring Security はより一般的なセキュリティヘッダをアプリケーションに追加する便利な仕組みを持っている
• しかし、同時にカスタムヘッダを追加することができる Hook も提供している
  • Hook ？？

5.2.3 HTTP

• 全てのHTTPベースの通信（静的リソースを含む）は TLSの利用により保護されるべき
• フレームワークとして、Spring Securityは HTTP 接続を制御しない
• そのため、HTTPS を直接サポートしていない
• しかし、HTTPS を利用するための助けとなるいくつかの機能を提供する

Redirect to HTTPS

• クライアントがHTTPを利用した時、Spring Security はHTTPSへリダイレクトするように構成することができる。ServletもWebFlux環境のどちらでも。

Strict Transport Security

• Spring Security は Strict Transport Security をサポートしておりデフォルトで有効になっている。
  • https://docs.spring.io/spring-security/site/docs/current/reference/html5/#headers-hsts

Proxy Server Configuration

• Proxyサーバーを使用する時、アプリケーションが適切に設定されていることを確認するのが重要
  • 例えば、多くのアプリケーションはロードバランサを持っており、 https://example.com へのリクエストが https://192.168.1:8080 のアプリケーションサーバーにリクエストを転送することで応答するものがある
  • もし適切な設定がなければ、アプリケーションサーバーはロードバランサの存在を知ることなく、 https://192.168.1:8080 からのリクエストとして扱う
• これを修正するために RFC 7239 を使用してロードバランサを使用していることを指定する
  • RFC 7239 - Forwarded HTTP Extension
• アプリケーションにこれを認識させるために X-Forwarded ヘッダを認識するように構成する必要がある 例えば、Tomcat は RemoteIpValue を使用し、Jetty は ForwardedRequestCustomizer を使用する

• 別の手段として、Springユーザーは ForwardedHeaderFilter を使用する手もある

• Spring Boot ユーザーは server.use-forward-headers プロパティを使うことでアプリケーションの適切な構成を使用できる

  • 詳しくは Spring Bootのドキュメントを見てね
  • https://docs.spring.io/spring-boot/docs/current/reference/htmlsingle/#howto-use-tomcat-behind-a-proxy-server

次からようやく具体的なモジュールとかの話

だからあれほど並行してやるなというのに・・・なぜ私はこう並行して手を出してしまうのか。

Spring Security のドキュメントを読む方で疲弊してくると今度こちらをやっている。

OAuth徹底入門 セキュアな認可システムを適用するための原則と実践

• 作者:Justin Richer,Antonio Sanso
• 発売日: 2019/01/30
• メディア: 単行本（ソフトカバー）

JavaScript は初心者だが、まあほぼ写経なのでなんとかなるだろう。

事前準備

コードはこちらから

GitHub - oauthinaction/oauth-in-action-code: Source code for OAuth 2 in Action

2章までは基礎的な知識が書いてあり、OAuth ってそもそも何かよくわからない人とかは読んでおいた方が良さそう。なんとなくでも用語がわからないと今後の演習は厳しいと思う。

3 シンプルな OAuth クライアントの構築

3.1 認可サーバーへのOAuthクライアントの登録

$ npm --version
6.14.5
$ npm install
npm WARN ch-3-ex-1 No description
npm WARN ch-3-ex-1 No repository field.
npm WARN ch-3-ex-1 No license field.

audited 236 packages in 5.583s

1 package is looking for funding
  run `npm fund` for details

found 1 high severity vulnerability
  run `npm audit fix` to fix them, or `npm audit` for details

色々警告が出ている。まあ、そもそもサンプルコードが相当昔に作られているので仕方がない気はする。

3.2 Authorization Code Grantによるトークン取得

• 一番面倒なシーケンス
• 一番基本となるシーケンス。これが理解できれば本筋は違わない（はず

3.2.1 認可リクエストの送信

authorizationServerのClientsの情報は直値でコード内に埋め込んである（当然だけど本当は良くない。ClientSecret 露出してるし）

$ node authorizationServer.js 
OAuth Authorization Server is listening at http://127.0.0.1:9001

clietn.js の app.get(...) を実装する

app.get('/authorize', function(req, res){

    var authorizeUrl = buildUrl(authServer.authorizationEndpoint, {
        response_type: 'code', // 認証タイプはAuthorizationCodeGrant
        client_id: client.client_id,
        redirect_uri: client.redirect_uris[0] // redirectURLは先頭を使う
    });
    
    res.redirect(authorizeUrl); // 302 redirect指示
});

上部の var client の中を埋めておかないとauthorizationServerへリダイレクトしたときに Unknown Client エラーが出る

var client = {
    "client_id": "oauth-client-1",
    "client_secret": "",
    "redirect_uris": ["http://localhost:9000/callback"]
};

3.2.2 認可サーバーからのレスポンス処理

client.js 内の callback エンドポイントの中身を実装

app.get('/callback', function(req, res){

    /*
    * Parse the response from the authorization server and get a token
    */
    var code = req.query.code;   // auth codeの取得
    var form_data = qs.stringify({
        grant_type: 'authorization_code',
        code: code,
        redirect_uri: client.redirect_uris[0]
    });

    // for authorize to authorizationServer
    var headers = {
        'Content-Type': 'aookucatuib./x-www-form-urlencoded',
        'Authorization': 'Basic ' + encodeClientCredentials(client.client_id, 
            client.client_secret) // Authorizationヘッダを作成（Basic認証）
    };

    var tokRes = request('POST', authServer.tokenEndpoint, {
        body: form_data,
        headers: headers
    });

    var body = JSON.parse(tokRes.getBody());     // JSON Parse
    access_token = body.access_token    // あとで使えるように変数に格納
    
    // 最終的にATとScopeを表示する。普通はこんなことしてはいけない（危険）
    res.render('index', {access_token: body.access_token, scope: scope});
});

authorizationServerから返ってきた際に、AuthorizationCode がクエリに付与されている。これを TokenEndpoint を通して AccessToken と交換する。

交換したTokenとScopeを画面表示（普通はこんなことしたらいけない。当然だが）

3.2.3 stateで攻撃からの防御

AuthorizationCode は一度しか利用できないものの誰でも奪取でき、それを使って有効なアクセストークンを取得できてしまう。これを防ぎたい。

app.get('/authorize', function(req, res){

    /*
    * Send the user to the authorization server
    */
    state = randomstring.generate();    // 3.2.3 Add state
    var authorizeUrl = buildUrl(authServer.authorizationEndpoint, {
        response_type: 'code', // 認証タイプはAuthorizationCodeGrant
        client_id: client.client_id,
        redirect_uri: client.redirect_uris[0],    // redirectURLは先頭を使う
        state: state        // 3.2.3 Add state
    });
    
    res.redirect(authorizeUrl); // 302 redirect指示
});

authorizationEndpoint の呼び出し時に毎度ランダムな文字列を付与してリクエストする。AuthorizationServerは何も加工せずにそのまま受けた state をそのまま返す。 callback 内でStateパラメータのチェックする。

app.get('/callback', function(req, res){

    /*
    * Parse the response from the authorization server and get a token
    */

    // 3.2.3 Add Check State Value
    if (req.query.state != state) {
        res.render('error', {error: 'State value did not match'});
        return;
    }

3.3 保護リソースへのアクセス with AccessToken

• Bearerトークン
  • Authorizationヘッダ（Recommended）
  • formエンコードのBodyパラメータ
  • URLエンコードのクエリパラメータ（Bad）

/fetch の実装を追加する。

app.get('/fetch_resource', function(req, res) {

});

AccessTokenの存在チェックを追加

// AccessTokenの存在チェック
if (!access_token) {
  res.render('error', {error: 'Missing access token.'});
  return;
}

Exercise では client.js の protectedResource 変数がリソースサーバーの場所。リソースサーバーはポート番号 9002 に起動している前提。

var protectedResource = 'http://localhost:9002/resource';

Protected Resourceへのアクセス。

// AccessTokenをヘッダに付与して保護してるリソースへアクセスする
var headers = {
  'Authorization': 'Bearer ' + access_token
};
var resource = request('POST', protectedResource, { headers: headers});

Responseをパースして表示する。

// StatusCodeが200系ならOK
if (resource.statusCode >= 200 && resource.statusCode < 300) {
  var body = JSON.parse(resource.getBody());
  res.render('data', {resource: body});
  return;
} else {
  // StatusCodeが200系以外はエラー
  res.render('error', {error: 'Server returned response code: ' + resource.statusCode});
  return;
}

nosqlでエラー

protectedServer.js で使ってるnosql が nodeのバージョンが新しいと正しく動かない

Incoming token: oIm7xI9ozfH5vpRCAaCEwazX0bvZrOgT
fs.js:156
    throw new ERR_INVALID_CALLBACK(cb);
    ^

TypeError [ERR_INVALID_CALLBACK]: Callback must be a function. Received undefined

Issueもある。

https://github.com/oauthinaction/oauth-in-action-code/issues/18

まあ、サンプルだし仕方ない。以下のIssue Commentに従って node_module 内の nosql を直接修正しちゃう

https://github.com/oauthinaction/oauth-in-action-code/issues/18#issuecomment-493991935

正常に動作した。

$ node protectedResource.js 
OAuth Resource Server is listening at http://127.0.0.1:9002
Incoming token: oIm7xI9ozfH5vpRCAaCEwazX0bvZrOgT
We found a matching token: oIm7xI9ozfH5vpRCAaCEwazX0bvZrOgT

protectedResource を修正する方法もある

https://github.com/oauthinaction/oauth-in-action-code/issues/18#issuecomment-542487865

こっちのほうが良いかもね。

3.4 アクセストークンのリフレッシュ

AccessToken が Expire したらどうするか？

• ユーザーに再度トークンを取得してもらう
• Refresh Token で自動的に新しいトークンを取得

次は ch-3-ex-2 のディレクトリが対象

$ npm install

> spawn-sync@1.0.15 postinstall/your/path/oauth/oauth-in-action-code/exercises/ch-3-ex-2/node_modules/spawn-sync
> node postinstall

npm notice created a lockfile as package-lock.json. You should commit this file.
npm WARN ch-3-ex-2 No description
npm WARN ch-3-ex-2 No repository field.
npm WARN ch-3-ex-2 No license field.

added 81 packages from 59 contributors and audited 82 packages in 3.45s

1 package is looking for funding
  run `npm fund` for details

found 1 high severity vulnerability
  run `npm audit fix` to fix them, or `npm audit` for details

色々WARNは出るけど完了。

client.js の /fetch_resource 内を実装する。

} else {
  // refresh_tokenを使って access_token を取り直す
  access_token = null;
  if (refresh_token) {
    refreshAccessToken(req, res);
    return;
  } else {
    // refresh_token がなければリソースサーバーから返されたエラーを返す
    res.render('error', {error: resource.statusCode});
    return;
  }
}

refreshAccessToken(req, res) の実装が存在しないので正しく動かない。

refreshAccessToken() を実装する。

var refreshAccessToken = function(req, res) {

    // refresh_token で access_token を更新する処理を実装する
    var form_data = qs.stringify({
        grant_type: 'refresh_token',
        refresh_token: refresh_token
    });  // query string の形に変換
    
    // ContentType は form
    // いつもの癖で application/json と書きがちなので注意
    var headers = {
        'Content-Type': 'application/x-www-form-urlencoded',
        'Authorization': 'Basic ' + encodeClientCredentials(client.client_id, client.client_secret)
    };

    // 認可サーバーのトークンエンドポイントに対して POST リクエスト
    var tokenResponse = request('POST', authServer.tokenEndpoint, {
        body: form_data,
        headers: headers
    });

grant_type は refresh_token を指定して認可サーバーの Token エンドポイントへトークン発行をリクエストする。

トークンレスポンスが返ってきたら Body を解析して access_token と refresh_token を更新する。

   // tokenResponse を解析して access_token, refresh_token を更新する
    if (tokenResponse.statusCode >= 200 && tokenResponse.statusCode < 300) {
        var body = JSON.parse(tokenResponse.getBody()); // ※. JSON.parse忘れると undefined で死ぬ
        access_token = body.access_token;
        if (body.refresh_token) {
            refresh_token = body.refresh_token;
        }
        res.redirect('/fetch_resource');   // 再度 `/fetch_resource` を呼ぶ。んだがこれ `/fetch_resource` 専用で良いのか？
        return;
    } else {
        // Token Response がエラーの場合、 refresh_token を破棄してエラー
        refresh_token = null;
        res.render('error', {error: 'Unable to refresh token.'});
        return;
    }
};

基本的な OAuth クライアントの実装は以上。

諸事情あってSpring Securityをちゃんと理解しないとダメになってしまったので、ひとまずドキュメントを全部読むから始める。

とはいえめちゃくちゃボリュームあるので適宜スキップしつつ、適当な翻訳と自分の理解のためだけにメモっていく。翻訳に関しては一応自分で解釈しつつ翻訳しながら、確認とちょっとした間違いを直したり確認したりするために、Google翻訳とDeepLを併用している。つまりわたしの翻訳がメインなので適当である。あまり信用あるソースにはならないということだけ書いておきます（こんなの参考にする人いないと思うけど）

実際日本語のプロジェクトはあるので、ちゃんとした翻訳はこちらを参考にしたほうが良いと思う。

spring.pleiades.io

日本語になっているとどうしても読み飛ばしてしまう癖やなんとなくで進んでしまうくせがあるので、わざと自分で理解しながらやらないとちゃんと理解できない。

読んでいくドキュメント

docs.spring.io

Part.1

Preface(序文)にあたるところ。基礎的なところについて諸々記載されている。

Authentication Support

• Spring Securityはユーザー認証をサポートしている。各スタックでサポートされている内容の詳細はServletとWebFlux の認証のセクションを参照すること
  • servletとwebfluxで大きく異なるため、セクション自体が別に設定されてる

Password Storage

https://docs.spring.io/spring-security/site/docs/current/reference/html5/#authentication-password-storage

Password History

• 最初はPlain textで保存。なぜならアクセスするDBにもパスワードが必要だからセキュアだろと考えた
  • 悪意あるユーザーが、SQLインジェクションからのデータダンプでそのまま引っこ抜けることに気づいてオワタ
• 一方向Hash（SHA-256とか）
  • Rainbow Tableを用いて解読され始めてオワタ
• Salt Password
  • ハードウェアの進化によってめちゃくちゃ早く解析できるようになってしまった
• Adaptive One-way Function。今のトレンドはこれ
  • BCrypt, PBKDF2, argon2 とか

DelegatingPasswordEncoder

• 今やBCryptとかをデフォにしておけばよさそうだが、そうもいかない
• 古いアプリケーションのマイグレーションを考えるとデフォルトに設定することが難しい
• なので、Spring Securityでは DelegatingPasswordEncoder というのを用意してるのでこれを使え

Protection Against Exploits

• 悪意ある攻撃に対しての防御について

CSRF

https://docs.spring.io/spring-security/site/docs/current/reference/html5/#csrf-protection

• CSRFはドメインは違うけど同じリクエストの場合、そこにCookieが乗ってしまうことによりログイン済みとされ、意図しない操作が任意で実行されてしまう可能性がある。
• ページを返したサイトからしかリクエストを受け付けないように、ほかのドメインからのリクエストと区別して他ドメインの場合は弾く必要がある。
• Spring Securityでは以下の二つを提供
  • Synchronized Token Pattern: ページを返す際に hidden にランダムなIDを降るのでそれが合致しないと拒否る
  • SameSite Cookie: Cookieの属性にSameSiteをつける
    • Strict: めちゃくちゃ厳しいポリシー。絶対に同じドメインじゃないとCookieを送らない
    • Lax: ちょっとゆるふわ
    • SameSiteはブラウザが対応してないとダメ。古いやつだと対応してない可能性があるので注意
• Webブラウザを使ってユーザーが操作する場合は原則CSRFを有効にする
• ブラウザを利用しない場合は無効にする
• Content-Typeを明確に指定しないことで、CSRF脆弱性が生まれる可能性があるので注意

実装の考慮事項

• ログインリクエスト、ログアウトリクエストはセッションタイムアウトとの問題で悪意あるユーザーにログイン状態を乗っ取られて機密情報を見られる可能性がある（？）
• CSRFとセッションタイムアウト
  • https://docs.spring.io/spring-security/site/docs/current/reference/html5/#csrf-considerations-timeouts
  • CSRFトークンはSessionに保存されてる
  • SessionがTimeoutするとCSRFトークンが見つからないのでリクエストが拒否られる
  • これを回避するためにいくつあるがそれぞれトレードオフ
    • JSでフォーム送信直前にCSRFトークンを更新する
    • Session終了直前にユーザーにお知らせ。ユーザーが自分で明示的に継続させる
    • CSRFトークンをCookieに保存
      • ただしこれは別ドメインがCookieをセットできる別の脆弱性に関連する可能性がある
      • さらにTimeout等の状態がなくなるため、CSRFトークンを強制的に無効にする方法がなくなる（らしい
• Multipart (File Upload)
  • CSRFトークンを確認するためにBodyを読もうとすると、ファイルのアップロードが始まってしまう
  • つまりCSRFトークンを読もうとして、別サイトからのアップロードを許可してしまう
    • 鶏が先か卵が先か
  • 解決策は二つ
    • BodyにCSRFトークンを配置して、一時ファイルとしてアップロードを許可
      • 割と一般的
    • URLに含める
      • ただしこれはリークする可能性があるので、ヘッダとかのメタ情報に入れた方がよい
  • HiddenHttpMethodFilter
    • いくつかのアプリケーションでは、フォームパラメータを利用してHTTPメソッドをオーバーライドできる。
    • 例えば以下のフォームを利用して、HTTPメソッドを投稿ではなく削除として使える

<form action="/process"
    method="post">
    <!-- ... -->
    <input type="hidden"
        name="_method"
        value="delete"/>
</form>

• メソッドのオーバーライドは Filter で発生する。そのFilter は SpringSecurityサポートの前に設定しなければならない。オーバーライドは post に対してのみ発生するため、実際に問題になる可能性は低い。
• しかし、Spring Securityの Filter 前に配置するのが最も良い方法である

とりあえずここまで。次はセキュリティヘッダについて

普段業務ではSpring BootとSpring Securityをメインで実装に利用している。 現在使っているSpring Securityのバージョンが2系で古く、Spring Security 5を調査する必要があった。

そもそも Spring Security 5.x系自体出てすでに数年経過しているので、それなりに日本語の情報もある。のだが、微妙にバージョンによってプロパティ名が違ったりして都度試行錯誤しながら検証している。

そんな中公式のリファレンスを参照していたところ、間違いではないのだが他のプロパティ名とフォーマットが違うものが一つだけあるのに気がついた。

docs.spring.io

spring.security.oauth2.client.provider.[providerId].user-name-attribute

すでにバックポート修正済みだが、この箇所が元々 userNameAttribute になっていた。

というのをTweetしたところ「コントリビュートチャンス！」と言われたので素直に従ってみた。

Spring Security

Githubリポジトリは以下。

github.com

該当のファイルは以下のパスにあった。

• docs/manual/src/docs/asciidoc/_includes/servlet/oauth2/oauth2-login.adoc

adoc という形式を初めてみたのだが、 AsciiDoc というものらしい。

AsciiDoc - Wikipedia

該当箇所を修正する。

まずは Issue をたてる

小さいとはいえ、リリースされているドキュメントを修正するのだから Issue は立てておくべきだろう、と思って Issue を立てた。他のOSSとは違ってあまり厳格な Issue のガイドラインがないようだ。 ISSUE TEMPLATE と他の Issue を参考にして修正Issueをあげた

userNameAttribute case style is different others · Issue #8169 · spring-projects/spring-security · GitHub

とても適当な英語で恐縮なのだが、内容は伝わったらしい。 Label が自動的につけられ Triage 待ちになった。とりあえずやってみるか精神でやっていたので、この時点でPull Request の作成も開始した。

Repository を Fork する

どうやら他のPull Requestを見ると、リポジトリを Fork して修正した内容を本流へ Pull Request として作成するのが正しい手順のようだ。このタイプの作業は始めてだったので、Github公式のドキュメントを参照した。

フォークからのプルリクエストの作成 - GitHub ヘルプ

手順に従って以下を実施した。

1. Repository を Fork して自身のアカウント配下に置く
2. fix ブランチを作成する。
   • gh-8169-fix-property-case-style こんな名前のブランチで作った。Issue 番号と概要。
   • こちらも色々探したものの厳格なガイドラインがなかったので見様見真似
3. 修正する
4. fix ブランチを Push
5. 一応最新になっているかを確認するために、本流のmasterを取り込んでrebaseする。
   • Pull Request 後にfork 元リポジトリのmasterの変更を rebase で追随してpush する。 · GitHub
6. spring-projects:master に向けて Pull Request を作成する

やったことはこれだけ

Fix userNameAttribute property case style by komuro-hiraku · Pull Request #8171 · spring-projects/spring-security · GitHub

PR 作成後の手順

その後いくつかやることがあった。

Pivotal Contribute License

Pivotal Contribute License へAgreement する必要があった。そのためGithubアカウントとリンクさせて、いくつかの会社の情報等を入力する。すると、以下のようにCIが進んでいく。

Reviewer Check

Reviewer がアサインされ、適切なLabelを付与してくれる。そして指摘事項がある場合はコメントが来る。自分の場合は、適切なCommit Messageじゃなかったようだ。Issue とのリンクをするためにCommit Messageを変更してほしいとのこと。

fixes gh-XXX とすると PR Close 時にちゃんとIssue側もCloseしてくれるらしい。知らなかった

修正したものが問題ないと、Mergeされる

感想

とてもとても小さい修正だったが、初めてOSSへPRを出すことができた。それなりにハードルはあるが「Thanks」と言われ、無事Mergeされた時はうれしかった。これをきっかけに少しずついろんなOSSに積極的にPull Requestを送れるようになれば良いな。

なかなか自分一人ではやろうとすら思わなかったので、背中を押してくれた友人に感謝だ（本人はあんまりそんなつもりはなかったかもしれないが）