2

我有一个在 Tomcat 中运行的网络应用程序。我想允许任何具有服务器信任的有效证书的用户访问 Web 应用程序,但我想从证书中读取用户的 DN。我使用 clientAuth="true" 配置了 SSL 连接器(“want”也可以),并且 web.xml 有一个登录约束,需要提供客户端证书。我使用用于签署用户证书的 CA 证书配置了一个信任库。

客户端提供一个证书,服务器接受它,允许访问应用程序。我的问题是,当我在 HttpServletRequest 实例上调用 getUserPrincipal() 时,它为空。如果我在 web.xml 中添加一个 auth-constraint,要求用户处于某个角色,并且用户被配置为处于指定角色,那么用户主体不为空。

HttpServletRequest 的 API 表示如果用户未通过身份验证,则用户主体将为空。我认为用户已通过身份验证,因为他们提供了有效且受信任的证书,但显然在此上下文中的身份验证包括授权?

有什么方法可以从有效的受信任证书访问用户主体,而无需将用户分配给特定角色?

这是导致主体为空的 web.xml 片段:

<security-constraint>
    <web-resource-collection>
        <web-resource-name>My App</web-resource-name>
        <url-pattern>/*</url-pattern>
    </web-resource-collection>
</security-constraint>
<login-config>
    <auth-method>CLIENT-CERT</auth-method>
    <realm-name>My Realm</realm-name>
</login-config>

这是 web.xml 片段,它使我能够在为指定角色配置用户时获取用户主体:

<security-constraint>
    <web-resource-collection>
        <web-resource-name>My App</web-resource-name>
        <url-pattern>/*</url-pattern>
    </web-resource-collection>
    <auth-constraint>
        <role-name>Some Role</role-name>
    </auth-constraint>
</security-constraint>
<login-config>
    <auth-method>CLIENT-CERT</auth-method>
    <realm-name>My Realm</realm-name>
</login-config>
<security-role>
    <role-name>Some Role</role-name>
</security-role>
4

2 回答 2

3

我发现虽然HttpServletRequest#getUserPrincipal()对于我描述的情况(用户已通过身份验证,但不需要或未尝试授权)返回 null,但ServletRequest#getAttribute("javax.servlet.request.X509Certificate")返回一个包含经过身份验证的用户证书的证书数组。

这解决了我的问题,但在我看来,它的行为HttpServletRequest#getUserPrincipal()仍然不符合 API,它说“返回一个包含当前经过身份验证的用户名称的 java.security.Principal 对象”。没有提到还必须应用和满足明确的授权约束,但这似乎是 Tomcat 实现它的方式。

于 2013-06-06T17:00:01.883 回答
0

Tomcat 不会请求证书,除非它被配置为所有连接都需要它,或者被请求的资源需要特定的角色。

因此,您关于用户已出示证书的说法是不正确的。

于 2013-06-01T22:50:53.560 回答