3

除了其他身份验证机制之外,我的应用程序中还有一个非常标准的 spring security saml 实现。开箱即用的 SAML 不会被配置,但可以通过表单进行配置,因此默认情况下应该禁用 SAML。我希望能够轻松地打开/关闭 SAML,但不确定最好的方法是什么。

似乎一种方法是做一个自定义FilterChainProxy,如果我检查是否启用了saml,如果启用则忽略samlFilter链(如何从Spring Security中的默认过滤器堆栈中删除一个过滤器?),并为元数据生成器过滤器。

任何建议都会很棒。

这是我的配置:

<http auto-config="false" use-expressions="true"
      access-decision-manager-ref="webAccessDecisionManager"
      disable-url-rewriting="false"
      create-session="never"
      authentication-manager-ref="authenticationManager">

    <custom-filter before="FIRST" ref="metadataGeneratorFilter"/>
    <custom-filter after="BASIC_AUTH_FILTER" ref="samlFilter"/>
</http>

元数据生成器过滤器:

<beans:bean id="metadataGeneratorFilter" class="org.springframework.security.saml.metadata.MetadataGeneratorFilter">
    <beans:constructor-arg>
        <beans:bean class="org.springframework.security.saml.metadata.MetadataGenerator">
            <beans:property name="entityId" value="${saml.entityId}"/>
            <beans:property name="signMetadata" value="${saml.signMetadata}"/>
        </beans:bean>
    </beans:constructor-arg>
</beans:bean>

萨姆过滤器:

<beans:bean id="samlFilter" class="org.springframework.security.web.FilterChainProxy">
    <filter-chain-map request-matcher="ant">
        <filter-chain pattern="/saml/login/**" filters="samlEntryPoint"/>
        <filter-chain pattern="/saml/logout/**" filters="samlLogoutFilter"/>
        <filter-chain pattern="/saml/metadata/**" filters="metadataDisplayFilter"/>
        <filter-chain pattern="/saml/SSO/**" filters="samlWebSSOProcessingFilter"/>
        <filter-chain pattern="/saml/SSOHoK/**" filters="samlWebSSOHoKProcessingFilter"/>
        <filter-chain pattern="/saml/SingleLogout/**" filters="samlLogoutProcessingFilter"/>
        <filter-chain pattern="/saml/discovery/**" filters="samlIDPDiscovery"/>
    </filter-chain-map>
</beans:bean>

编辑:这是我的实现,它有点骇人听闻并且依赖于不推荐使用的方法,但它可以工作

下面的代码片段禁用 MetadataGeneratorFilter:

public class MyMetadataGeneratorFilter extends MetadataGeneratorFilter {

    private boolean isActive = false;

    public MyMetadataGeneratorFilter(MetadataGenerator generator) {
        super(generator);
    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
            throws IOException, ServletException {
        if (isActive) {
            processMetadataInitialization((HttpServletRequest) request);
        }
        chain.doFilter(request, response);
    }

    public void setActive(boolean active) {
        isActive = active;
    }
}

还有自动装配的 samlFilter / FilterChainMap。如果启用了 saml,我会保留这个链,如果它被禁用,我会在我的服务中将链设置为启用/禁用 saml 的空映射。

初始化后,我得到 filterchainmap 值:

private Map<RequestMatcher, List<Filter>> map;

@Override
public void init() throws ServiceException, MetadataProviderException {

    SamlConfig samlConfig = getConfig();
    map = samlFilter.getFilterChainMap();

    applySamlConfig(samlConfig);

}

在下面的方法中,我将过滤器链映射设置为 spring xml 中提供的原始映射(如果启用)或空映射(如果禁用)。

public void applySamlConfig(SamlConfig samlConfig) throws ServiceException, MetadataProviderException {


    if (!samlConfig.isEnabled()) {
        Map<RequestMatcher, List<Filter>> emptyMap = samlFilter.getFilterChainMap();
        emptyMap.clear();
        samlFilter.setFilterChainMap(emptyMap);
        return;
    }

    samlFilter.setFilterChainMap(map);
4

3 回答 3

2

我在entry-point-ref 定义中添加了一个自定义过滤器。如果未启用该功能,此过滤器将跳过所有后续过滤器。

<security:http entry-point-ref="samlEntryPoint">
  <security:intercept-url pattern="/**" access="IS_AUTHENTICATED_FULLY" />
  <!-- This filter checks if the SSO-Feature is enabled - otherwise all following security filters will be skipped -->
  <security:custom-filter before="BASIC_AUTH_FILTER" ref="ssoEnabledFilter"/>
  <security:custom-filter before="FIRST" ref="metadataGeneratorFilter" />
  <security:custom-filter after="BASIC_AUTH_FILTER" ref="samlFilter" />

ssoEnabledFilter:

    public class SsoEnabledFilter extends GenericFilterBean {

    @Override
    public void doFilter(final ServletRequest request, final ServletResponse response, final FilterChain filterChain) throws IOException, ServletException {
        boolean ssoEnabled = isSsoEnabled();

        if (ssoEnabled) {
            filterChain.doFilter(request, response);
        } else {
            request.getRequestDispatcher(((HttpServletRequest) request).getServletPath()).forward(request, response);
        }
      }
   }
于 2015-06-24T13:11:56.130 回答
1

到目前为止,我一直在使用自定义 Spring 命名空间来实现这一点,该命名空间根据后端配置包含或跳过某些 bean,并在后端配置发生更改时重新加载 Spring 上下文。

于 2014-08-07T12:47:33.623 回答
1

编辑:修复了 TheTurkish 发出的错误信号

如果您希望能够在正在运行的应用程序上切换 SAML 的使用,更简单的方法是使用 samlFilter 的包装器。例如

public class FilterWrapper extends GenericFilterBean {

    private Filter inner;
    private boolean active;
    private boolean targetFilterLifeCycle = false;


    public Filter getInner() {
        return inner;
    }

    public void setInner(Filter inner) {
        this.inner = inner;
    }

    public boolean isActive() {
        return active;
    }

    public void setActive(boolean active) {
        this.active = active;
    }

    @Override
    public void doFilter(ServletRequest sr, ServletResponse sr1, FilterChain fc) throws IOException, ServletException {
        if (active) {
            inner.doFilter(sr, sr1, fc);
        }
        else {
            fc.doFilter(str,sr1);
        }
    }

    @Override
    protected void initFilterBean() throws ServletException {
        super.initFilterBean();
        if (inner == null) {
            throw new ServletException("Inner cannot be null");
        }
        if (targetFilterLifeCycle) {
            inner.init(getFilterConfig());
        }
    }

    @Override
    public void destroy() {
        super.destroy();
        if (inner != null && targetFilterLifeCycle) {
            inner.destroy();
        }
    }
}

你可以这样使用它:

<bean id="samlFilter" class="...FilterWrapper" p:active="false">
    <property name=inner>
        <!-- the real samlFilter bean -->
        <bean class="org.springframework.security.web.FilterChainProxy">
        ...
        </bean>
    </property>
</bean>

因为它是一个 bean,所以你将它注入到你想要激活/停用 Saml 和简单调用的地方:

samlFilter.setActive(active);
于 2014-08-07T15:19:44.960 回答