在反向代理后面需要使用Spring Security的HTTPS

时间:2015-05-06 12:19:05

标签: java https spring-security reverse-proxy

我有一个使用Spring Security保护的Spring MVC应用程序。大多数应用程序使用简单的HTTP来节省资源,但是一小部分处理更多机密信息并需要HTTPS通道。

摘自security-config.xml

<sec:http authentication-manager-ref="authenticationManager" ... >
    ...
    <sec:intercept-url pattern="/sec/**" requires-channel="https"/>
    <sec:intercept-url pattern="/**" requires-channel="http"/>
</sec:http>

所有工作正常,直到我们决定将其迁移到主服务器,其中应用程序服务器在反向代理后面运行。现在,HTTPS由反向代理处理,应用程序服务器只能看到HTTP请求,并且不允许访问/sec/**层次结构。

经过一番研究,我发现代理添加了X-Forwarded-Proto: https标题(*),但在Spring Security HttpServletRequest.isSecure()中用于确定通道安全性提供(摘自SecureChannelProcessor javadoc)。

如何告诉Spring Security X-Forwarded-Proto: https标头是否足以满足安全请求?

我知道我可以在代理配置上报告该部分,但代理管理员确实不喜欢该解决方案,因为代理背后有许多应用程序,并且配置可能会增长到不可管理的状态。

我目前正在使用带有XML配置的Spring Security 3.2,但我已准备好接受基于Java配置和/或更新版本的答案。

(*) 当然,代理会删除标头(如果它在传入请求中存在),因此应用程序可以对其充满信心。

3 个答案:

答案 0 :(得分:17)

对NeilMcGuigan的回答进行了一些跟进,表明该解决方案是servlet容器端。

Tomcat甚至更好。有一个 valve 专用于屏蔽反向代理的副作用。摘自Remote IP Valve的Tomcat文档:

此阀门的另一个功能是用代理或负载均衡器通过请求标头(例如“X-Forwarded”)替换明显的方案(http / https),服务器端口和request.secure -proto“)。

阀门配置示例:

<Valve className="org.apache.catalina.valves.RemoteIpValve"
    internalProxies="192\.168\.0\.10|192\.168\.0\.11"
    remoteIpHeader="x-forwarded-for" proxiesHeader="x-forwarded-by"
    protocolHeader="x-forwarded-proto" />

那样没有应用程序本身的其他配置,如果请求包含Request.isSecure()的标头字段,对X-Forwarded-Proto=https的调用将返回true。

我曾想过另外两种可能性,但最终还是会优先考虑那个:

  • 使用在Spring Security ChannelProcessingFilter之前处于活动状态的过滤器来封装请求,并使用HttpServletRequestWrapper覆盖isSecure()来处理X-Forwarded-Proto标头 - 需要编写和测试过滤器以及包装
  • 使用Spring BeanPostProcessor查找ChannelProcessingFilter并手动注入ChannelDecisionManager能够考虑X-Forwarded-Proto标题 - 真的太低级别

答案 1 :(得分:8)

Spring Boot使它变得简单(至少对于嵌入式Tomcat)。

<强> 1。将以下行添加到application.properties: 

server.use-forward-headers=true
server.tomcat.remote-ip-header=x-forwarded-for
server.tomcat.protocol-header=x-forwarded-proto

<强> 2。使用HttpSecurity配置执行以下操作。 

// final HttpSecurity http = ...
// Probably it will be in your `WebSecurityConfigurerAdapter.configure()`

http.requiresChannel()
            .anyRequest().requiresSecure()

来源是Spring Boot参考指南

84.3 Enable HTTPS When Running behind a Proxy Server

答案 2 :(得分:5)

如果您的站点是HTTPS并且您正在另一个处理TLS终止的系统后面运行Apache Tomcat,您可以告诉Tomcat“假装”它正在处理TLS终止。

这使request.isSecure()返回true;

为此,您需要将secure="true"添加到server.xml中的连接器配置中。

https://tomcat.apache.org/tomcat-7.0-doc/config/http.html

另请参阅scheme属性。

相关问题
最新问题