使用 Spring Security 和 CAS 单点注销

2024-04-22

使用纯 Spring Java 配置，我在让 Spring 和 CAS 执行单点登录时遇到问题。我使用以下配置进行单点登录。我使用一个简单的 JSP 页面对 url 进行表单 POSThttps://nginx.shane.com/app/logout https://nginx.shane.com/app/logout我将 CSRF 值包含在 POST 数据中。这一切似乎都没有错误，但当我进入安全页面时，它只是让我返回而无需登录。有任何想法吗？

@Configuration
@EnableWebSecurity
public class SecurityWebAppConfig extends WebSecurityConfigurerAdapter {

@Bean
protected ServiceProperties serviceProperties() {
    ServiceProperties serviceProperties = new ServiceProperties();
    serviceProperties.setService("https://nginx.shane.com/app/j_spring_cas_security_check");
    serviceProperties.setSendRenew(false);
    return serviceProperties;
}

@Bean
public CasAuthenticationProvider casAuthenticationProvider() {
    CasAuthenticationProvider casAuthenticationProvider = new CasAuthenticationProvider();
    casAuthenticationProvider.setAuthenticationUserDetailsService(authenticationUserDetailsService());
    casAuthenticationProvider.setServiceProperties(serviceProperties());
    casAuthenticationProvider.setTicketValidator(cas20ServiceTicketValidator());
    casAuthenticationProvider.setKey("an_id_for_this_auth_provider_only");
    return casAuthenticationProvider;
}

@Bean
public AuthenticationUserDetailsService<CasAssertionAuthenticationToken> authenticationUserDetailsService() {
    return new TestCasAuthenticationUserDetailsService();
}

@Bean
public Cas20ServiceTicketValidator cas20ServiceTicketValidator() {
    return new Cas20ServiceTicketValidator("https://nginx.shane.com/cas");
}

@Bean
public CasAuthenticationFilter casAuthenticationFilter() throws Exception {
    CasAuthenticationFilter casAuthenticationFilter = new CasAuthenticationFilter();
    casAuthenticationFilter.setAuthenticationManager(authenticationManager());
    return casAuthenticationFilter;
}

@Bean
public CasAuthenticationEntryPoint casAuthenticationEntryPoint() {
    CasAuthenticationEntryPoint casAuthenticationEntryPoint = new CasAuthenticationEntryPoint();
    casAuthenticationEntryPoint.setLoginUrl("https://nginx.shane.com/cas/login");
    casAuthenticationEntryPoint.setServiceProperties(serviceProperties());

    return casAuthenticationEntryPoint;
}

@Bean
public SingleSignOutFilter singleSignOutFilter() {
    // This filter handles a Single Logout Request from the CAS Server
    return new SingleSignOutFilter();
}

@Bean
public LogoutFilter requestLogoutFilter() {
    // This filter redirects to the CAS Server to signal Single Logout should be performed
    SecurityContextLogoutHandler handler = new SecurityContextLogoutHandler();
    handler.setClearAuthentication(true);
    handler.setInvalidateHttpSession(true);

    LogoutFilter logoutFilter = new LogoutFilter("https://nginx.shane.com/", handler);
    return logoutFilter;
}

@Override
protected void configure(HttpSecurity http) throws Exception {
    http.addFilter(casAuthenticationFilter());
    http.addFilterBefore(requestLogoutFilter(), LogoutFilter.class);
    http.addFilterBefore(singleSignOutFilter(), CasAuthenticationFilter.class);

    http.exceptionHandling()
        .authenticationEntryPoint(casAuthenticationEntryPoint());

    http.authorizeRequests()
        .antMatchers("/admin/**").access("hasRole('ROLE_ADMIN')")
        .antMatchers("/dba/**").access("hasRole('ROLE_ADMIN') or hasRole('ROLE_DBA')");

    http.logout()
        .addLogoutHandler(handler)
        .deleteCookies("remove")
        .invalidateHttpSession(true)
        .logoutUrl("/logout")
        .logoutSuccessUrl("/");
}

@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
    auth.authenticationProvider(casAuthenticationProvider());
}

}

我还添加了一个 WebListener 来处理会话销毁事件：

@WebListener
public class SecurityWebListener implements HttpSessionListener {

private SingleSignOutHttpSessionListener listener = new SingleSignOutHttpSessionListener();

@Override
public void sessionCreated(HttpSessionEvent se) {
    listener.sessionCreated(se);
}

@Override
public void sessionDestroyed(HttpSessionEvent se) {
    listener.sessionDestroyed(se);
}
}

这是日志输出

[org.springframework.security.web.FilterChainProxy] [/logout at position 6 of 14 in additional filter chain; firing Filter: 'LogoutFilter'] []
[org.springframework.security.web.util.matcher.AntPathRequestMatcher] [Checking match of request : '/logout'; against '/logout'] []
[org.springframework.security.web.authentication.logout.LogoutFilter] [Logging out user 'org.springframework.security.cas.authentication.CasAuthenticationToken@836ad34b: Principal: org.springframework.security.core.userdetails.User@586034f: Username: admin; Password: [PROTECTED]; Enabled: true; AccountNonExpired: true; credentialsNonExpired: true; AccountNonLocked: true; Granted Authorities: ROLE_ADMIN; Credentials: [PROTECTED]; Authenticated: true; Details: org.springframework.security.web.authentication.WebAuthenticationDetails@fffdaa08: RemoteIpAddress: 127.0.0.1; SessionId: FA880C15EF09C033E1CA0C8E4785905F; Granted Authorities: ROLE_ADMIN Assertion: org.jasig.cas.client.validation.AssertionImpl@fcd38ec Credentials (Service/Proxy Ticket): ST-23-1UandqRxBcG6HCTx0Pdd-cas01.example.org' and transferring to logout destination] []
[org.springframework.security.web.authentication.logout.SecurityContextLogoutHandler] [Invalidating session: FA880C15EF09C033E1CA0C8E4785905F] []
[org.jasig.cas.client.session.HashMapBackedSessionMappingStorage] [Attempting to remove Session=[FA880C15EF09C033E1CA0C8E4785905F]] []
[org.jasig.cas.client.session.HashMapBackedSessionMappingStorage] [Found mapping for session.  Session Removed.] []
[org.springframework.security.web.authentication.logout.SimpleUrlLogoutSuccessHandler] [Using default Url: /] []
[org.springframework.security.web.DefaultRedirectStrategy] [Redirecting to '/app/'] []

（不）幸运的是，我遇到了类似的问题；）当 CAS 尝试调用您的应用程序注销时，就会发生这种情况。一方面 CAS 尝试传递 sessionId 来执行注销，另一方面 SpringSecurity 期望获取 CSRF 令牌，而 CAS 并未发送该令牌，因为它只发送 GET 请求。 CsrfFilter 找不到 csrf 令牌并中断过滤器链。用户不知道这一点，因为 CAS 隐式调用注销请求。请求直接从 CAS 服务器发送到应用程序服务器，而不是通过在 Web 浏览器中重定向用户。

为了使其工作，您需要配置 HttpSecurity 以排除/不包含 LogoutFilter filterProcessesUrl （这是j_spring_security_logout在您的情况下，您使用默认的）。

例如，假设您想在尝试创建新管理员时检查CSRF，则需要按如下方式进行配置：

@Override
protected void configure(HttpSecurity http) throws Exception {
    http.addFilter(casAuthenticationFilter());
    http.addFilterBefore(requestLogoutFilter(), LogoutFilter.class);
    http.addFilterBefore(singleSignOutFilter(), CasAuthenticationFilter.class);

    http.exceptionHandling()
        .authenticationEntryPoint(casAuthenticationEntryPoint());

    http.authorizeRequests()
        .antMatchers("/admin/**").access("hasRole('ROLE_ADMIN')")
        .antMatchers("/dba/**").access("hasRole('ROLE_ADMIN') or hasRole('ROLE_DBA')");

    http.csrf()
        .requireCsrfProtectionMatcher(new AntPathRequestMatcher("/admin/create"));

    http.logout()
        .addLogoutHandler(handler)
        .deleteCookies("remove")
        .invalidateHttpSession(true)
        .logoutUrl("/logout")
        .logoutSuccessUrl("/");
}

只是为了表明，我添加了

http.csrf().requireCsrfProtectionMatcher(new AntPathRequestMatcher("/admin/create"));.

请注意，您不能使用匹配所有模式（/admin/**），因为您可能还想调用一些 get 请求，并且 CSRF 过滤器将期望它们发送令牌。

Spring Security 3.2.x 之前的版本不会出现此类问题，因为其中引入了跨站请求伪造（CSRF）支持。

希望这些有帮助:)

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

使用 Spring Security 和 CAS 单点注销的相关文章

是否有一种加密技术可以将 8 位数字变成 10 或 11 位或更少的数字？

我见过的许多加密技术都可以轻松加密一个简单的 8 位数字如 12345678 但结果通常是 8745b34097af8bc9de087e98deb8707aac8797d097f 编造的但你明白了有没有办法加密这个 8 位数字但生成
.Net 2.0 ServiceController.GetServices()

我有一个启用了 Windows 身份验证的网站从网站的页面中用户可以启动一项对数据库执行某些操作的服务启动该服务对我来说效果很好因为我是服务器上的本地管理员但我刚刚让一个用户测试了它但他们无法启动该服务我的问题是有谁知道一种
Jackson：将对象引用为属性

在我的 java spring 应用程序中我正在使用 hibernate 和 jpa 并使用 jackson 来填充数据库中的数据这是用户类 Data Entity public class User Id GeneratedValue
Spring Web应用程序在启动时从数据库初始化

Spring 3 1 汤姆猫我这里有一个设计问题数据库中已指定一组类别这些类别可以被认为是全局的因为它们可以在整个网络应用程序中使用我想做的是在服务器启动时读取这些类别并用 Java 填充某种类型的集合只需要在启动时从数据库读取
什么是 API 密钥？ [关闭]

Closed 这个问题需要多问focused help closed questions 目前不接受答案如今我几乎在每个跨服务应用程序中都看到这个词 API 密钥到底是什么以及它的用途是什么另外公共 API 密钥和私有 API 密钥
如何更改 Spring OAuth2 上的response_type

这是我使用 Instagram 进行 OAuth2 登录的配置 instagram client clientId clientId clientSecret clientSeret accessTokenUri https api ins
使用 Spring Data JPA 和 @Query 注释仅获取第一个/最后一个元素

EDIT 关于此问题的第二个和第四个答案提供了此问题的解决方案Spring Data JPA 注释的 setMaxResults https stackoverflow com questions 9314078 setmaxresults
如何将服务器端 Shiny 应用程序嵌入到 JSP 页面中而不将该应用程序暴露在其他地方

我有一个闪亮的应用程序我想将其嵌入到托管在 Amazon AWS 上的 Java 8 Web 服务器的页面中注意我说嵌入是因为网络服务器中的大多数页面共享一个公共侧边栏和页脚这会自动应用于大多数视图这样 jsp 文件只需为页面
如何在 IDEA Intellij 上使用 Spring-boot 自动重新加载

我写了一个基于Spring boot tomcat freemarker的项目我运行成功但是每当我修改一些模板和java类时我必须重新启动服务器或使用Intellij上的重新加载更改的类菜单才能使更改生效浪费很多时间然后我尝试
如何在 iOS 上固定证书的公钥

在提高我们正在开发的 iOS 应用程序的安全性时我们发现需要对服务器的 SSL 证书全部或部分进行 PIN 操作以防止中间人攻击尽管有多种方法可以做到这一点但当您搜索此内容时我只找到了固定整个证书的示例这种做法会带来一个问题
如何在Spring-Boot中创建DefaultMessageListenerContainer？

我是 Spring Boot 的新手并尝试创建 DefaultMessageListenerContainer 以便我可以使用 weblogic workmanager 并以多线程方式运行多个消息侦听器有人可以提供一些例子吗到目前为止
属性文件中的特殊字符

在我的 Java Spring Web 应用程序中我在打印从属性文件检索的意大利语特殊字符等时遇到问题我找到了这篇文章http docs oracle com cd E26180 01 Platform 94 ATGProgGuid
java.lang.IllegalStateException：未定义负载平衡的 Feign 客户端。您是否忘记包含 spring-cloud-starter-netflix-ribbon ？

我遇到异常 FactoryBean threw exception on object creation nested exception is java lang IllegalStateException No Feign Client
Spring Batch 死锁 - 无法增加身份；嵌套异常是 com.microsoft.sqlserver.jdbc.SQLServerException

我们正在将 Spring Batch 应用程序从 Oracle DB 迁移到 Azure SQL Server 我在尝试执行时收到以下错误两个不同的工作同时更新不同的表但使用相同的公共 BATCH 表引起原因 org springfra
python：API 令牌生成及其危险

我正在按照 Flask Web Development 一书来实现基于令牌的身份验证基本上用户使用 HTTP 基本身份验证对其进行身份验证并为其生成令牌 s Serializer app config SECRET KEY expir
@RestController 没有 @ResponseBody 方法工作不正确

我有以下控制器 RestController RequestMapping value base url public class MyController RequestMapping value child url method Req
Spring 规范 - 谓词的联合

我需要一个函数来过滤参数并构建查询我有 4 个参数因此如果我尝试为每个条件实现查询我将不得不编写 16 2 4 实施这不是一个好主意我尝试通过界面改进我的代码Specification来自 Spring Data JPA 但我无法
如何在 Spring 属性中进行算术运算？
Docker 和 Eureka 与 Spring Boot 无法注册客户端

我有一个使用 Spring Boot Docker Compose Eureka 的非常简单的演示我的服务器在端口 8671 上运行具有以下应用程序属性 server port 8761 eureka instance prefer i
Spring表单ModelAttribute字段验证避免400 Bad Request错误

我有一个ArticleFormModel包含正常发送的数据html form由 Spring 使用注入 ModelAttribute注释即 RequestMapping value edit method RequestMethod PO

随机推荐

使用亚音速交易

在我的网络应用程序中我必须对用户操作进行审核因此每当用户执行操作时我都会更新执行操作的对象并保留该操作的审核跟踪现在如果我先修改对象然后更新审计跟踪但审计跟踪失败了那么怎么办显然我需要回滚对已修改对象的更改我可以在简单
如何在 Qt 5.3 中将 QByteArray 转换为字符串？

我正在使用一些函数来转换QVector s to QByteArray s 例如 QByteArray Serialize serialize QVector
错误：MyDocument.getInitialProps()”应该解析为带有“html”属性的对象，该属性设置有有效的 html 字符串（在 document.js 中）

现在我正在用react nodejs nextserver express制作一个迷你项目发生意外错误我不知道为什么 document js中会出现错误如果您知道原因请告诉我谢谢 error Error MyDocument ge
MVVM 的 ReSharper 警告

当我使用 WPF 实现 MVVM 模式时我发现 ReSharper 经常警告我某些属性从未在我的 ViewModel 中使用问题是它们正在被使用但仅由数据绑定系统使用有其他人遇到过这种烦恼吗有没有办法帮助 ReSharper 意识
当我从服务中调用函数时，“this”未定义

我的电话上有这个电话component page this timerSessionService startTimer this finish bind this this onSynchronice 嗯它与this finish 但是
如何禁用Chrome中弹出窗口的位置栏和滚动条？

对于以下代码宽度和高度在 Chrome 中有效但位置和滚动条不起作用请指导 a href Click Here a 出于安全原因 Chrome 不允许您这样做隐藏地址栏可以更轻松地假装您是某银行网站 http en wikipedi
日期格式转换 %B %Y

我们能否以某种方式转换日期例如 November 2017 December 2017 迄今为止我尝试导入 csv 数据但收到了因子列我尝试了以下代码但没有成功 as POSIXct as character dat Date f
C++ 声明中的显式限定

当第一个声明被注释掉时以下命名空间定义无法编译如果第一个声明foo未注释那么它编译得很好 namespace Y void foo void Y foo 标准中的相关部分 8 3 1 说当 declarator id 合格时声明应
Azure Devops Artifacts：禁用从上游源保存包

我有一个 npm 包的提要其中 npmjs 设置为上游源默认情况下当您尝试使用其他依赖项安装上传的自定义包时这些依赖项包会自动保存在您的源中以节省将来安装的时间然而我不想要它并希望我的提要仅托管我自己的软件包并且每次安装时
Android 11 上不再支持发送短信的意图

当以 Android 11 为目标并使用 Android 11 设备物理设备或模拟器时以下方法不再适用于发送短信更改目标 SDK 版本或设备 SDK 版本即可使其正常工作 logcat 根本没有说什么知道为什么它不起作用吗 pri
Shopify 应用桥会话令牌在使用 vue.js 和 Axios 时遇到一些问题？

我在制作 Shopify 应用程序 Vue js 作为前端和 laravel 作为后端时遇到一些问题我正在使用 app bridge 生成会话令牌它生成会话令牌正常并且工作正常直到重新生成会话令牌重新生成会话令牌后它会响应会话
来自 gluUnProject 的 IllegalArgumentException

我收到此错误消息 08 30 19 20 17 774 ERROR AndroidRuntime 4681 FATAL EXCEPTION GLThread 9 08 30 19 20 17 774 ERROR AndroidRuntime
Swift：以编程方式导航到 ViewController 并传递数据

我最近开始学习swift 到目前为止还不错目前我在尝试在视图控制器之间传递数据时遇到问题我设法弄清楚如何使用导航控制器以编程方式在两个视图控制器之间导航唯一的问题是现在我很难弄清楚如何将用户输入的三个字符串对于 json api
我怎样才能让两个“发展流”（分支？）相互跟踪，同时在特定方面保持不同？

BRIEF 我想让两个或更多开发流环境相互跟踪在两个方向上发送彼此之间的更改而不完全收敛同时保留某些关键的本质的差异细节一个具体的例子下面是一个具体的例子我对我的主目录 glew home 进行版本控制已有 28 年了
Angularjs：监听指令中的模型更改

我试图找出当模型在指令中更新时如何监听 eventEditor directive myAmount function return restrict A link function scope elem attrs scope watch
opencv中以下代码行的含义是什么？

该代码行的含义是什么以及如何将此代码转换为 javacv gray Scalar all 255 这是与此代码行相关的完整代码 Mat src imread in jpg gray cvtColor src gray CV BGR2GRAY
从 iFrame 中卸载/删除内容

是否有办法卸载已在 iframe 内加载的页面如果可能的话我不想将 iframe src 更改为空白页面我基本上正在寻找可以做这样的事情的东西 frameID attr src 只是该代码似乎没有清除先前加载的页面有没有 unloa
设置 Let's encrypt with Go - 握手错误

我正在尝试设置让我们在用 Go 编写的负载均衡器上进行加密我尝试了自动和手动设置但总是出错该域正确指向我们的服务器 Digital Ocean 我什至可以从浏览器打开该网站而不会出现错误而且 ssl 检查报告该域上没有错误事实是
CSS 动画面临的问题

我正在尝试创建一个几秒钟后会淡入视图的文本但我遇到了问题淡入视图工作正常但文本在显示后几乎立即消失其次我需要这个动画以延迟的方式工作但是当我设置延迟时它似乎没有任何区别早些时候延迟工作得很好为什么动画显示后不久就消失了
使用 Spring Security 和 CAS 单点注销

使用纯 Spring Java 配置我在让 Spring 和 CAS 执行单点登录时遇到问题我使用以下配置进行单点登录我使用一个简单的 JSP 页面对 url 进行表单 POSThttps nginx shane com app lo

使用 Spring Security 和 CAS 单点注销

使用 Spring Security 和 CAS 单点注销 的相关文章

随机推荐

热门标签

使用 Spring Security 和 CAS 单点注销的相关文章