3

我正在开发两个 Web 应用程序,一个是服务器应用程序,另一个是客户端应用程序,两者都使用 Spring Security。我的用例是,在用户登录服务器应用程序后,用户可以从服务器应用程序中的链接访问客户端应用程序。由于用户在单击这些链接时不必再次登录(我的要求的一部分),我决定使用类似于 Single SignOn 的策略,以便将他们的身份验证信息从服务器应用程序转发到客户端应用程序。

在客户端应用程序上,我使用 Spring SecurityRequestHeaderAuthenticationFilter来查找由服务器应用程序设置的自定义请求标头。

  1. 如果找到此自定义标头,我是否需要进一步验证此请求是否可信?在Spring 的 Pre-Authentication doc中, RequestHeaderAuthenticationFilter不执行任何身份验证,并将假定请求来自SM_USER属性中指定的用户。如何确保请求是真实的?

  2. 如何使用 http 请求中的自定义标头将用户从一个应用程序发送到另一个应用程序?重定向请求不起作用,因为标头信息将丢失。转发不起作用,因为转发的请求没有通过客户端应用程序上配置的 Spring Security 过滤器,因此请求永远不会“经过身份验证”并且不会创建会话。

4

1 回答 1

5

由于我没有收到任何响应,因此我稍微改变了方法以实现相同的 SSO 行为。我在这里回答我自己的问题以结束这个问题。

我没有使用 ,而是对RequestHeaderAuthenticationFilterSpring 进行了子类化AbstractPreAuthenticatedProcessingFilter,它从 HttpRequest 中检索 Principal 和 Credentials。然后我实现了一个自定义preAuthenticatedUserDetailsService,它将在加载 UserDetails 之前使用服务器应用程序验证凭据。

至于 #2,我不再在初始预认证登录请求中使用自定义标头。我只是将主体(用户名)和凭据作为 url 参数附加到客户端应用程序的初始预身份验证“登录”请求。由于两个应用程序之间的通信是通过 SSL 保护的,我认为这应该是安全的。

这是我的安全配置现在的样子:

<b:bean id="http403EntryPoint" class="org.springframework.security.web.authentication.Http403ForbiddenEntryPoint" />
<b:bean id="navigatorPreAuthFilter" class="com.example.NavigatorPreAuthenticatedProcessingFilter">
    <b:property name="authenticationManager" ref="authenticationManager" />
</b:bean>

<http auto-config="false" entry-point-ref="http403EntryPoint">

    <custom-filter position="PRE_AUTH_FILTER" ref="navigatorPreAuthFilter" />
    <session-management session-fixation-protection="newSession" />
    <logout logout-success-url="/logout" delete-cookies="JSESSIONID" />

    <intercept-url pattern="/index.jsp" access="ROLE_QUESTIONNAIRE_ASSIGNEE"/>
</http>

<b:bean id="preAuthenticatedUserDetailsService" class="com.example.NavigatorPreAuthenticatedUserDetailsService" />
<b:bean id="preauthAuthProvider" class="org.springframework.security.web.authentication.preauth.PreAuthenticatedAuthenticationProvider">
    <b:property name="preAuthenticatedUserDetailsService" ref="preAuthenticatedUserDetailsService" />
</b:bean>

<authentication-manager alias="authenticationManager">
    <authentication-provider ref="preauthAuthProvider"/>
</authentication-manager>
于 2012-09-11T19:57:53.157 回答