6

我有几个 AngularJS 应用程序都使用 Spring/Java 和 SAML 2.0 进行 SSO(利用 Spring Security SAML 扩展)。我的 SSO id 提供者是 OpenAM,一切运行良好。但是,当用户从一个应用程序中进行全局注销但打开其他选项卡时,我遇到了这种情况。由于这些是单页 Web 应用程序,很多功能可能仍然可以在孤立的选项卡中使用,直到用户执行某些操作来调用 ajax 请求。当然,这些 AJAX 请求会被 Spring Security SAML 过滤器拦截,并通过重定向到 OpenAM 登录 URL 触发身份验证尝试。当然,这会对浏览器造成严重破坏,因为 AJAX 请求不允许重定向到另一个域。此外,我真的不能用 Angular 做任何事情 s $http 拦截器,因为请求被“取消”,并且 $http 错误回调函数中没有可用的质量信息(例如方便的 401/403 状态代码)。我所知道的是请求失败。

我不想假设所有错误的 $http 请求都是由于身份验证问题造成的(并执行 $window.location.reload()),因为失败可能有合理的原因。我的偏好是抑制 ajax 请求的 Spring Security 重定向(到 OpenAM 登录页面),而是发回 401/403 状态代码。这将允许我处理 $http 拦截器中的错误并在身份验证失败时执行完整页面加载,从而优雅地重定向到登录页面,就好像他们第一次访问该站点一样。

关于如何做到这一点的任何想法?

4

2 回答 2

4

负责初始化身份验证和决定返回 HTTP 错误、执行重定向、...的 bean 是AuthenticationEntryPoint. 要更改其行为,您可以:

  • 自定义当前SAMLEntryPoint(扩展commence方法)并覆盖默认行为,以防请求是来自 Angular 的 AJAX 调用,因此它返回 HTTP 错误而不是执行重定向到 IDP
  • 或在您的 Spring 上下文中定义另一个security:http元素(在当前上下文之前),该元素仅涵盖您的 AJAX 请求(例如,使用属性pattern="/api/**")并使用以您想要的方式运行的入口点(请参阅 参考资料Http403ForbiddenEntryPoint
于 2014-09-26T08:44:06.560 回答
0

参考弗拉基米尔第一个子弹的可能实现 - 取自https://www.jasha.eu/blogposts/2015/10/saml-authentication-angularjs-spring-security.html

public class XhrSamlEntryPoint extends SAMLEntryPoint {

  @Override
  public void commence(HttpServletRequest request, HttpServletResponse response,
                       AuthenticationException e) throws IOException, ServletException {
    if (isXmlHttpRequest(request) && e instanceof InsufficientAuthenticationException) {
      response.sendError(HttpServletResponse.SC_UNAUTHORIZED, e.getMessage());
      return;
    }
    super.commence(request, response, e);
  }

  private boolean isXmlHttpRequest(HttpServletRequest request) {
    return "XMLHttpRequest".equalsIgnoreCase(request.getHeader("X-Requested-With"));
  }
}

请记住, X-Requested-With 不是强制性标头,因此根据此答案检测不是防弹的。就我而言,由于后端与 SPA 前端一起使用,因此我完全删除了对 ajax 调用的检查。

于 2019-06-19T21:45:53.807 回答