8

我正在尝试使用基于 Siteminder 的 preAuth 的 spring security 来保护我的 grails 应用程序。这基本上就是我所需要的。该应用程序仅用于检查一些东西,因此不需要数据库。

我陷入了一些我无法接受的过滤器问题。

起初我只使用了 RequestHeaderAuthenticationFilter 和自定义的 UserDetails 和 UserDetailsS​​ervice。

我的春豆:

beans = {
    userDetailsService(MyUserDetailsService)

    userDetailsServiceWrapper(UserDetailsByNameServiceWrapper) {
            userDetailsService = ref('userDetailsService')
    }

    preauthAuthProvider(PreAuthenticatedAuthenticationProvider) {
            preAuthenticatedUserDetailsService = ref('userDetailsServiceWrapper')
    }

    requestHeaderAuthenticationFilter(RequestHeaderAuthenticationFilter){
        principalRequestHeader='SM_USER'
        authenticationManager = ref('authenticationManager')
    }
}

我有我的 MyUserDetailsProvider:

class MyUserDetailsService  implements GrailsUserDetailsService {

    MyUserDetails  loadUserByUsername(String username) throws UsernameNotFoundException{

        //some super secret code here ;)
        return new MyUserDetails(some needed params)
    }
}

我还像在每个明智的教程中一样配置了安全 URL:

grails.plugins.springsecurity.interceptUrlMap = [
    '/user/**':['ROLE_MINE'],
    '/activation/**':['ROLE_SOMEOTHER, ROLE_MINE'],
    '/js/**':        ['IS_AUTHENTICATED_ANONYMOUSLY'],
    '/css/**':       ['IS_AUTHENTICATED_ANONYMOUSLY'],
    '/images/**':    ['IS_AUTHENTICATED_ANONYMOUSLY'],
    '/*':            ['IS_AUTHENTICATED_ANONYMOUSLY']
]

和一些提供者(在一些教程中建议匿名):

grails.plugins.springsecurity.providerNames = ['preauthAuthProvider','anonymousAuthenticationProvider']

它非常适合数据访问,但不允许加载资源,尤其是图像。该错误表示在请求中未找到 SM_USER 标头。

所以我认为我可以使用一些解决方案,比如“过滤器:无”或“安全:无”,这样 spring 就可以知道哪些 url 请求允许,而无需检查 SM_USER。

我尝试向过滤器和过滤器链添加东西:

grails.plugins.springsecurity.filterNames = ['requestHeaderAuthenticationFilter']

grails.plugins.springsecurity.filterChain.chainMap = [
    '/user/**': 'requestHeaderAuthenticationFilter',
    '/activation/**': 'requestHeaderAuthenticationFilter',
    '/*': 'requestHeaderAuthenticationFilter'
]

但这没有帮助。

然后我尝试在没有 SM_USER 标头的资源上使用其他一些过滤器。从参考资料中我了解到匿名过滤器可能就足够了。

所以我做了一些改变:

grails.plugins.springsecurity.providerNames = ['preauthAuthProvider','anonymousAuthenticationProvider']

grails.plugins.springsecurity.filterNames = ['anonymousAuthenticationFilter','requestHeaderAuthenticationFilter']

grails.plugins.springsecurity.filterChain.filterNames = ['anonymousAuthenticationFilter','requestHeaderAuthenticationFilter'

]

grails.plugins.springsecurity.filterChain.chainMap = [
    '/user/**': 'requestHeaderAuthenticationFilter',
    '/versionone/**': 'requestHeaderAuthenticationFilter',
    '/activation/**': 'requestHeaderAuthenticationFilter',
    '/js/**': 'anonymousAuthenticationFilter',
    '/css/**': 'anonymousAuthenticationFilter',
    '/images/**': 'anonymousAuthenticationFilter',
    '/*': 'requestHeaderAuthenticationFilter'
]

是的,这有助于图像。但另一个问题开始出现。

而不是当身份验证正确时应该返回的 myUserDetails 对象,我非常频繁地获取一些 String 对象。而且我的应用程序因无法在此 String 对象中找到一个属性而失败(这很明显,因为它不存在;))

有谁知道如何处理这个问题?退出显示图像不是一种选择;)

有没有办法在spring security grails配置中从filterchain中排除图像/其他资源......?就像它是用普通的 Java .xml 方式完成的一样......?

我将感谢所有如何解决此问题的帮助和建议。

谢谢 !!!

//编辑:如果有任何人使用此作为参考来设置站点管理员 sso 的安全性,请注意添加:

checkForPrincipalChanges = 'true'
invalidateSessionOnPrincipalChange = 'true'

您的 requestHeaderAuthenticationFilter 的属性。否则,在调用 springSecurityService.getPrincipal() 时,您将在 http 会话中处理未更新的权限,因此用户可能“以其他人身份登录”。:) 还要考虑将 bean 的范围更改为“原型”。

4

1 回答 1

2

如果有人感兴趣 - 我找到了一些解决这个问题的方法:

1.要求 SiteMinder 管理员将 SM_USER 标头添加到所有图像或某些限制为 url 位置的图像集。由于一般性能,默认情况下禁用此功能。然后松开所有额外的过滤器,然后使用 preAuth 之一过上幸福的生活。

2.使用静态内容而不是在 .war 和重定向中包含图像:]

如何:

将所有需要的图像放入 var/www/yourfolder/images 为您的 httpd 配置添加一些别名:

Alias /yourapp/imgs var/www/yourfolder/images
ProxyPass /yourapp/imgs !

重新启动您的服务使用图像快乐:D

我知道这不是解决方案,而只是解决方法。然而它确实有效。我仍然很高兴听到一些更好的想法:)

干杯。

于 2012-05-10T10:57:29.110 回答