如何强制Spring Security在负载均衡器后面进行https重定向请求
我们目前正在使用AWS ELB - > Apache在运行Grails的Tomcat实例前面。我们使用Apache将http请求重定向到https请求。这对我们常规网站上的工作正常。尝试在Chrome上的iframe中嵌入我们的网站时,问题就出现了。 Chrome不喜欢重定向到http网页的https网站(即使该网页随后重定向到https)。发生这种情况的原因是,对于Spring Security来说,它看起来像是在http上,因为我们在负载均衡器后面。以下是开发者工具的网络乒乓球:
将同一页面放在Chrome上的iframe中时出现问题。
我们发现了许多解决方案,允许Spring Security Grails插件将http请求重定向到某些URL模式的https请求。 Here和here是其中两个示例。我们已经通过让Apache拦截http请求并重定向到https来解决了这个问题。
问题是Chrome甚至不会在iframe中发出http请求。我们需要能够告诉Spring Security,即使您收到的saved request使用的是http,我们也需要您在完成身份验证后将其更改为https。
我们认为可能有效的一个解决方案是使用contextRelative而不是绝对URL更改为相对URL,由于ELB代理,Spring Security将其视为http。这个post似乎表明相同,但解决方案也没有改变将contextRelative更改为“true”时生成的URL。
我们如何告诉Grails Spring Security插件始终将URL格式化为相对或强制它们为https方案,以便我们可以在Chrome中的iframe中运行应用程序?
1 个答案:
答案 0 :(得分:3)
如果要修改SavedRequest,那么您可以实现自己的SavedRequestAwareAuthenticationSuccessHandler,当它将保存的请求从缓存中拉出并强制它为https时将覆盖协议。
- 端口443上的Load Balancer后面的HTTP到HTTPS重定向
- 如何强制Spring Security在负载均衡器后面进行https重定向请求
- Google负载均衡器强制https
- Spring Security(Web安全表达式) - 在负载均衡器后面过滤IP
- 如何使用GCP Load Balancer将HTTP请求重定向到HTTPS
- 负载均衡器后面的MVC HTTPS重定向
- Spring负载均衡器后面的OAuth2 SSO
- 带有负载均衡器后面的Spring Security的Spring Boot:将HTTP重定向到HTTPS
- 负载均衡器后面的HTTPS-> HTTP是否被认为安全?
- 如何在Google Cloud Load Balancer后面发出https请求
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?