我使用OpenAM作为我的IDP而我的SP(angular2 SPA)基于以下共享的示例:https://github.com/vdenotaris/spring-boot-security-saml-sample
在身份验证之后,我的webapp应该调用一些REST服务,这些服务通过http-basic身份验证(使用spring security)保护,其会话通过Spring Session进行管理。
我试图在用户通过OpenAM IDP进行身份验证后创建基于Spring会话的会话。我的目的是使用这些会话与我的http-basic-secured REST服务进行通信。
以下是" configure()"在我尝试将spring-session与spring-saml集成之前,我的webapp的WebSecurityConfig是正常的。
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.httpBasic()
.authenticationEntryPoint(samlEntryPoint());
http
.csrf()
.disable();
http
.addFilterBefore(metadataGeneratorFilter(), ChannelProcessingFilter.class)
.addFilterAfter(samlFilter(), BasicAuthenticationFilter.class);
http
.authorizeRequests()
.antMatchers("/").permitAll()
.antMatchers("/publicUrl").permitAll()
.antMatchers("/app/**").permitAll()
.antMatchers("/error").permitAll()
.antMatchers("/saml/**").permitAll()
.anyRequest().authenticated();
http
.logout()
.logoutSuccessUrl("/");
}
验证工作正常。在从IDP(OpenAM)发出的POST中,我可以看到正确设置了cookie。例如:Set-Cookie:JSESSIONID = 8DD6CDBF8079E83C8F4E7976C970BB27;路径= /;仅Http
Response
Headers
Pragma: no-cache
Date: Sun, 31 Jul 2016 02:12:06 GMT
X-Content-Type-Options: nosniff
Server: Apache-Coyote/1.1
X-Frame-Options: DENY
Location: http://localhost:8097/
Cache-Control: no-cache, no-store, max-age=0, must-revalidate
Set-Cookie: JSESSIONID=8DD6CDBF8079E83C8F4E7976C970BB27; Path=/; HttpOnly
Content-Length: 0
X-XSS-Protection: 1; mode=block
Expires: 0
Cookies
JSESSIONID: 8DD6CDBF8079E83C8F4E7976C970BB27
以下是" configure()"在尝试将spring-session与spring-saml集成后,我的webapp的WebSecurityConfig会破坏身份验证。
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.httpBasic()
.authenticationEntryPoint(samlEntryPoint());
http
.csrf()
.disable();
http
.addFilterBefore(metadataGeneratorFilter(), ChannelProcessingFilter.class)
.addFilterAfter(samlFilter(), BasicAuthenticationFilter.class);
http
.authorizeRequests()
.antMatchers("/").permitAll()
.antMatchers("/publicUrl").permitAll()
.antMatchers("/app/**").permitAll()
.antMatchers("/error").permitAll()
.antMatchers("/saml/**").permitAll()
.anyRequest().authenticated();
http
.logout()
.logoutSuccessUrl("/");
http
.addFilterBefore(sessionRepositoryFilter(sessionRepository(), httpSessionStrategy()),
ChannelProcessingFilter.class)
.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.IF_REQUIRED);
}
在从IDP(OpenAM)发回的POST中,我没有看到cookie被设置。
Response
Headers
Pragma: no-cache
Date: Sun, 31 Jul 2016 02:18:44 GMT
X-Content-Type-Options: nosniff
Server: Apache-Coyote/1.1
X-Frame-Options: DENY
Location: http://localhost:8097/
Cache-Control: no-cache, no-store, max-age=0, must-revalidate
x-auth-token: 666412f1-b293-49fa-bacb-0aa6fc3d2fe0
Content-Length: 0
X-XSS-Protection: 1; mode=block
Expires: 0
Cookies
SAML响应没问题,因为我可以看到来自IDP后验证的主题详细信息。
来自SAML回复的摘录
<saml:Subject>
<saml:NameID
Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"
NameQualifier="http://openam.example.com:8080/OpenAM-13.0.0">vin@example.com
</saml:NameID>
<saml:SubjectConfirmation
Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
<saml:SubjectConfirmationData
InResponseTo="a1f07e22gi7db1h425hfj65i5gh0464"
NotOnOrAfter="2016-07-31T02:28:44Z"
Recipient="http://localhost:8097/saml/SSO"/>
</saml:SubjectConfirmation>
</saml:Subject>
由于未设置cookie,我无法获取主体对象。我的用户界面假设用户未经过身份验证,并再次将用户重定向到IDP,并且它一直在循环中运行。
非常感谢您的回复。
答案 0 :(得分:0)
尝试在属性文件中添加以下内容:server.session.tracking-modes = cookie。另外,尝试添加SSL。该cookie可能被标记为安全,并且没有SSL的情况就不可见。