我正在开发两个Web应用程序,其中一个是服务器应用程序,另一个是客户端应用程序,两者都使用Spring Security。我的用例是这样的,用户登录服务器应用程序后,用户可以从服务器应用程序内的链接访问客户端应用程序。由于用户在点击这些链接(我的部分要求)时不必再次登录,因此我决定使用类似于Single SignOn的策略,以便将他们的身份验证信息从服务器应用程序转发到客户端应用程序。 / p>
在客户端应用程序上,我使用Spring Security的RequestHeaderAuthenticationFilter
来查找由服务器应用程序设置的自定义请求标头。
如果找到此自定义标头,是否必须进一步验证此请求是否值得信任?在Spring's Pre-Authentication doc中,RequestHeaderAuthenticationFilter
不执行任何身份验证,并假定请求来自SM_USER
属性中指定的用户。我如何确保请求是真实的?
如何在http请求中使用自定义标头将用户从一个应用程序发送到另一个应用程序?重定向请求不起作用,因为标头信息将丢失。转发不起作用,因为转发的请求未通过客户端应用程序上配置的Spring Security过滤器,因此请求永远不会“经过身份验证”并且不会创建会话。
答案 0 :(得分:5)
由于我没有收到任何回复,因此我稍微改变了我的方法以实现相同的SSO行为。我在这里回答我自己的问题来解决这个问题。
我没有使用RequestHeaderAuthenticationFilter
,而是继承了Spring的AbstractPreAuthenticatedProcessingFilter
,它从HttpRequest中检索了Principal和Credentials。然后我实现了一个自定义preAuthenticatedUserDetailsService
,它将在加载UserDetails之前使用服务器应用验证凭据。
对于#2,我不再在初始预先验证的登录请求中使用自定义标头。我只是将主体(用户名)和凭证作为url参数附加到客户端应用程序的初始预先验证的“登录”请求。由于两个应用程序之间的通信是通过SSL保护的,我认为这应该是安全的。
这就是我现在的安全配置:
<b:bean id="http403EntryPoint" class="org.springframework.security.web.authentication.Http403ForbiddenEntryPoint" />
<b:bean id="navigatorPreAuthFilter" class="com.example.NavigatorPreAuthenticatedProcessingFilter">
<b:property name="authenticationManager" ref="authenticationManager" />
</b:bean>
<http auto-config="false" entry-point-ref="http403EntryPoint">
<custom-filter position="PRE_AUTH_FILTER" ref="navigatorPreAuthFilter" />
<session-management session-fixation-protection="newSession" />
<logout logout-success-url="/logout" delete-cookies="JSESSIONID" />
<intercept-url pattern="/index.jsp" access="ROLE_QUESTIONNAIRE_ASSIGNEE"/>
</http>
<b:bean id="preAuthenticatedUserDetailsService" class="com.example.NavigatorPreAuthenticatedUserDetailsService" />
<b:bean id="preauthAuthProvider" class="org.springframework.security.web.authentication.preauth.PreAuthenticatedAuthenticationProvider">
<b:property name="preAuthenticatedUserDetailsService" ref="preAuthenticatedUserDetailsService" />
</b:bean>
<authentication-manager alias="authenticationManager">
<authentication-provider ref="preauthAuthProvider"/>
</authentication-manager>