Spring Security WebAuthn 模块中的匿名用户持久化问题解析

问题背景

在Spring Security 6.4.1版本的WebAuthn实现中，开发者发现了一个有趣的行为异常：系统会在WebAuthn认证流程中错误地将"anonymousUser"用户实体持久化到PublicKeyCredentialUserEntityRepository中。这一现象发生在用户尝试使用WebAuthn进行身份验证时，即使当前用户处于匿名状态。

技术细节分析

WebAuthn是现代Web应用中常用的无密码认证标准，Spring Security的WebAuthn模块负责处理相关的注册和认证流程。在理想情况下：

1. 注册流程：当已认证用户注册新的WebAuthn凭证时，系统应正确保存用户实体和凭证信息
2. 认证流程：当用户尝试使用WebAuthn登录时，系统应仅查询现有凭证而不创建新用户实体

然而，当前实现中存在一个逻辑缺陷：在认证流程中，无论用户是否匿名，系统都会尝试查找或创建用户实体。这导致匿名用户被不必要地持久化到数据库中。

问题根源

深入分析代码后发现，问题出在Webauthn4JRelyingPartyOperations类的处理逻辑中。该组件在认证流程中执行了以下操作：

1. 获取当前认证上下文中的用户名
2. 无条件调用findUserEntityOrCreateAndSave方法
3. 即使对于匿名用户也尝试保存用户实体

这种设计违背了WebAuthn的安全原则，因为：

• 匿名用户不应在系统中留下任何持久化记录
• 用户实体创建应严格限制在注册流程中

解决方案

Spring Security团队确认了这是一个需要修复的缺陷，并提出了明确的修正方案：

1. 认证流程优化：

   • 当检测到匿名认证时，直接返回空凭证列表
   • 仅对已认证用户执行凭证查询
   • 用户实体查找失败时返回空列表而非创建新记录

2. 代码重构建议：

   • 将相关逻辑封装到新的findCredentialRecords方法中
   • 明确区分注册和认证流程的用户实体处理

开发者启示

这个问题给开发者带来几个重要启示：

1. 安全边界意识：认证流程中应严格区分匿名和已认证状态
2. 数据持久化原则：用户实体创建应具有明确的业务上下文
3. 防御性编程：对可能为空的认证上下文应进行充分校验

总结

Spring Security团队已经确认并修复了这个WebAuthn模块中的用户实体持久化问题。这个案例展示了即使在成熟的安全框架中，边界条件的处理也需要特别关注。开发者在使用WebAuthn功能时，应当注意检查相关版本是否包含此修复，以确保系统的安全行为符合预期。