grails - spring-security-core安全通道导致重定向循环(在Heroku上)
我正在使用spring-security-core并设置了安全通道功能,这些功能在我的开发机器上运行良好。我在Config.groovy中有以下内容
grails.plugins.springsecurity.secureChannel.definition = [
'/order/checkout': 'REQUIRES_SECURE_CHANNEL',
'/order/paymentComplete': 'REQUIRES_INSECURE_CHANNEL'
]
此外,部署到Heroku时,关联的订单处理工作正常,一样长,因为我注释掉了上面的行。我把它们放回去后,我得到:
我看到服务器上有很多请求,Firebug网络视图显示:
我已将PiggyBack SSL添加到Heroku上,并且我能够指定https:// ...地址以导航到网站的其他部分,在这种情况下,浏览器将保持SSL模式。但是,如果我访问
https:/www.momentumnow.co/order/checkout
直接解决,我得到了相同的重定向循环问题。你知道问题是什么,或者我如何进一步调试。如果是后者,请您更新评论区域,我将回复问题区域的更新。感谢
PiggyBack SSL documentation表示:
“Piggyback SSL将允许您使用https://yourapp.heroku.com,因为它使用* .heroku.com认证。您无需购买或配置证书,它只是有效。https://yourcustomdomain.com将工作,但它会在浏览器中产生警告。“
我可能会在添加证书时切换到另一种模式,但根据之前的陈述,这似乎不是问题。
在服务器上,我得到:
2 个答案:
答案 0 :(得分:6)
您需要修复端口的值,因为它们默认为8080和8443.请参阅文档中的渠道安全部分 - http://grails-plugins.github.com/grails-spring-security-core/docs/manual/ - 关于grails.plugins.springsecurity.portMapper.httpPort和grails.plugins.springsecurity.portMapper.httpsPort配置属性。
答案 1 :(得分:1)
对于任何绊到这里的人(就像我一样),问题是你的应用实际上并没有收到HTTPS的请求。而是,Heroku用“X-Forwarded-Proto”标头替换HTTPS。 Spring-security的HTTPS重定向然后将您置于无限重定向循环中,因为总是将请求检测为HTTP。
您可以编写自己的SecureChannelProcessor来处理此问题:
public class HerokuSecureChannelProcessor extends SecureChannelProcessor {
@Override
public void decide(FilterInvocation invocation, Collection<ConfigAttribute> config)
throws IOException, ServletException {
Assert.isTrue((invocation != null) && (config != null),
"Nulls cannot be provided");
for (ConfigAttribute attribute : config) {
if (supports(attribute)) {
String header = invocation.getHttpRequest().getHeader("X-Forwarded-Proto");
if(header == null){
// proceed normally
if (!invocation.getHttpRequest().isSecure()) {
getEntryPoint().commence(invocation.getRequest(), invocation.getResponse());
}
} else {
// use heroku header instead
if("http".equals(header)) {
getEntryPoint().commence(invocation.getRequest(), invocation.getResponse());
}
}
}
}
}
}
- grails - spring-security-core安全通道导致重定向循环(在Heroku上)
- Spring安全配置导致重定向循环
- 安全客户端服务器通道
- Heroku上的Grails - spring security core secureChannel.definition导致重定向循环
- 使用CAS Spring Security获得重定向循环
- Spring Security:requires-channel =&#34; https&#34;导致重定向循环
- 在Kerberos中抛出AuthenticationException时,IE中的无限重定向循环
- Grails Spring安全重定向循环
- 在spring security中配置安全通道时循环重定向
- Grails通道安全导致重定向循环
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?