5

我在一个项目中使用 Grails (2.2.2),我的应用程序发出了不需要的 http 重定向而不是 https 重定向。

我们目前在 Oracle Weblogic 前面有一个 F5 负载均衡器。F5 正在从 Weblogic 卸载我们的 SSL。F5 只接受 https 请求,Weblogic 只接受 http 请求。

我的 Grails 项目使用 Spring Security 和 Spring Security CAS 插件。

该问题通常发生在成功的 CAS 登录时。Grails 似乎总是发出 HTTP 重定向。

我的 serverURL 指定 HTTPS,我的所有 CAS 配置变量也是如此。喜欢

grails.serverURL = "https://example.com/${appName}"

有没有办法强制 GRAILS/Weblogic 只发出 https 重定向?

编辑#1 - 更多信息

我试过这样做没有运气:

grails.plugin.springsecurity.secureChannel.useHeaderCheckChannelSecurity = true
grails.plugin.springsecurity.secureChannel.definition = [
    '/**': 'REQUIRES_SECURE_CHANNEL'
 ]
grails.plugin.springsecurity.portMapper.httpPort = 80
grails.plugin.springsecurity.portMapper.httpsPort = 443
grails.plugin.springsecurity.secureChannel.secureHeaderName = 'WL-Proxy-SSL'
grails.plugin.springsecurity.secureChannel.secureHeaderValue = 'http'
grails.plugin.springsecurity.secureChannel.insecureHeaderName = 'WL-Proxy-SSL'
grails.plugin.springsecurity.secureChannel.insecureHeaderValue = 'https'

此外,该行为似乎与不尊重协议的 Spring Security/Spring CAS 插件有关

在 j_spring_security_check 之后发生的重定向似乎总是返回一个 http 重定向而不是一个 https 重定向。这会产生一个问题,因为我们不允许 F5 服务器上的 http 请求。IE

https://www.example.com/grailsapp/
-> 
https://www.casserver.com/cas/login?service=https%3A%2F%2Fwww.example.com%2Fgrailsapp%2Fj_spring_cas_security_check
-> https://www.example.com/grailsapp/j_spring_cas_security_check;jsessionid=f6T8RyDZ83Z2QQQlMQ7fGXvlrs05m9hTjlBkndD6stBh1s20v2ZH!-1677111548?ticket=ST-231-4Dl5PVDe4RRLpAW5CEXb-www.casserver.com
->
http://www.example.com/grailsapp/

CAS插件的配置:

production {
    grails.plugins.springsecurity.cas.loginUri = '/login'
    grails.plugins.springsecurity.cas.serviceUrl = 'https://example.com/grailsapp/j_spring_cas_security_check'
    grails.plugins.springsecurity.cas.serverUrlPrefix = 'https://casserver.com/cas'
    grails.plugins.springsecurity.logout.afterLogoutUrl = 'https://casserver.com/cas/logout?url=https://example.com/grailsapp/'
}
4

3 回答 3

3

我建议您查看 Spring Security 的通道安全设置。请注意文档中有关 F5s 和 SSL 的部分。

我怀疑您的配置中缺少以下内容:

grails.plugin.springsecurity.secureChannel.useHeaderCheckChannelSecurity = true

我还怀疑您并没有通过设置强制您的应用程序始终在 SSL 下运行:

grails.plugin.springsecurity.secureChannel.definition = [
   '/**': 'REQUIRES_SECURE_CHANNEL'
]
于 2014-05-14T21:02:05.553 回答
1

您可能需要考虑http://grails.org/plugin/force-ssl

否则我们建议使用 Apache / Nginx 进行重定向

于 2014-05-15T06:56:55.503 回答
0

我能够通过 F5 重定向重写规则提出解决方案。不幸的是,它不如提出 Grails 解决方案那么理想,但它适用于我的环境。

when HTTP_RESPONSE { 
  if { [HTTP::is_redirect] }{ 
        HTTP::header replace Location [string map {"http://example.com/grailsapp/" "https://example.com/grailsapp/"} [HTTP::header Location]] 
    } 
}
于 2014-05-21T17:05:05.733 回答