Spring SAML 扩展和 Spring Security CSRF 保护冲突

2024-04-25

我们有一个带有 Spring Security (3.2.4) 的 Spring MVC (4.0.5) 应用程序，其中包括运行良好的 CSRF 保护。我们现在添加 SAML 安全扩展 (spring-security-saml2-core 1.0.0)，这会导致 CSRF 保护出现问题。

元数据已在 SSOCircle 上配置并尝试访问http://localhost:8080/myapp定向至 SSOCircle 上的登录页面。身份验证后，浏览器重定向到http://localhost:8080/myapp/saml/SSO并产生错误：

HTTP 状态 403 - 未找到预期的 CSRF 令牌。您的会话已过期吗？

如果我们关闭 CSRF 保护，一切正常。我们如何在维持 CSRF 保护的同时仍然使用 SAML 扩展？

在设置 SAML 扩展之前，我们使用了登录表单，并且 CSRF 保护有效，并且我们在登录 JSP 上没有收到错误，并且它没有令牌。

SAML 之前的代码：

@Override
protected void configure(HttpSecurity httpSecurity) throws Exception {
    httpSecurity.authorizeRequests()
            .antMatchers("/login", "/login.request", "/logout").permitAll()
            .anyRequest()
                .hasAnyAuthority("MyRole")
                    .and().formLogin()
            .loginPage("/login.request").loginProcessingUrl("/login")
            .failureUrl("/login.request?error").permitAll().and().logout()
            .logoutUrl("/logout").permitAll()
            .logoutSuccessUrl("/login.request");
}

使用 SAML 的代码：

@Override
protected void configure(HttpSecurity http) throws Exception {
    //http.csrf().disable();

    http.httpBasic().authenticationEntryPoint(samlEntryPoint());

    http.addFilterBefore(metadataGeneratorFilter(),
            ChannelProcessingFilter.class).addFilterAfter(samlFilter(),
            BasicAuthenticationFilter.class);

    http
        .authorizeRequests()
            .antMatchers("/error").permitAll()
            .antMatchers("/saml/**").permitAll()
            .anyRequest()
                .hasAnyAuthority("MyRole")
            .anyRequest().authenticated();

    http.logout().logoutSuccessUrl("/");
}

UPDATE

重新启用 CSRF 保护并将日志记录设置为 DEBUG 后，以下是成功身份验证后立即出现的日志：

22.10.2014 16:54:17.374 [http-bio-8080-exec-8] DEBUG o.s.w.m.support.MultipartFilter -
                Using MultipartResolver 'filterMultipartResolver' for MultipartFilter

22.10.2014 16:54:17.377 [http-bio-8080-exec-8] DEBUG o.s.b.f.s.DefaultListableBeanFactory -
                Returning cached instance of singleton bean 'filterMultipartResolver'

22.10.2014 16:54:17.788 [http-bio-8080-exec-8] DEBUG o.s.w.m.support.MultipartFilter -
                Request [/epass/saml/SSO] is not a multipart request

22.10.2014 16:54:17.790 [http-bio-8080-exec-8] DEBUG o.s.s.w.u.m.AntPathRequestMatcher -
                Checking match of request : '/saml/sso'; against '/resources/**'

22.10.2014 16:54:17.791 [http-bio-8080-exec-8] DEBUG o.s.security.web.FilterChainProxy -
                /saml/SSO at position 1 of 14 in additional filter chain; firing Filter: 'MetadataGeneratorFilter'

22.10.2014 16:54:17.793 [http-bio-8080-exec-8] DEBUG o.s.security.web.FilterChainProxy -
                /saml/SSO at position 2 of 14 in additional filter chain; firing Filter: 'WebAsyncManagerIntegrationFilter'

22.10.2014 16:54:17.795 [http-bio-8080-exec-8] DEBUG o.s.security.web.FilterChainProxy -
                /saml/SSO at position 3 of 14 in additional filter chain; firing Filter: 'SecurityContextPersistenceFilter'

22.10.2014 16:54:17.797 [http-bio-8080-exec-8] DEBUG o.s.s.w.c.HttpSessionSecurityContextRepository -
                HttpSession returned null object for SPRING_SECURITY_CONTEXT

22.10.2014 16:54:17.798 [http-bio-8080-exec-8] DEBUG o.s.s.w.c.HttpSessionSecurityContextRepository -
                No SecurityContext was available from the HttpSession: org.apache.catalina.session.StandardSessionFacade@b08c9c9. A new one will be created.

22.10.2014 16:54:17.800 [http-bio-8080-exec-8] DEBUG o.s.security.web.FilterChainProxy -
                /saml/SSO at position 4 of 14 in additional filter chain; firing Filter: 'HeaderWriterFilter'

22.10.2014 16:54:17.801 [http-bio-8080-exec-8] DEBUG o.s.s.w.h.writers.HstsHeaderWriter -
                Not injecting HSTS header since it did not match the requestMatcher org.springframework.security.web.header.writers.HstsHeaderWriter$SecureRequestMatcher@244a79ef

22.10.2014 16:54:17.802 [http-bio-8080-exec-8] DEBUG o.s.security.web.FilterChainProxy -
                /saml/SSO at position 5 of 14 in additional filter chain; firing Filter: 'CsrfFilter'
22.10.2014 16:54:17.805 [http-bio-8080-exec-8] DEBUG o.s.security.web.csrf.CsrfFilter -
                Invalid CSRF token found for `http://localhost:8080/myapp/saml/SSO`

22.10.2014 16:54:17.807 [http-bio-8080-exec-8] DEBUG o.s.s.w.c.HttpSessionSecurityContextRepository -
                SecurityContext is empty or contents are anonymous - context will not be stored in HttpSession.

22.10.2014 16:54:17.808 [http-bio-8080-exec-8] DEBUG o.s.s.w.c.SecurityContextPersistenceFilter -
                SecurityContextHolder now cleared, as request processing completed

你至少有两个选择。

一是实施定制RequestMatcher (org.springframework.security.web.util.RequestMatcher），这与 Spring SAML URL 不匹配，并将其提供给 csrf 配置：

http.csrf().requireCsrfProtectionMatcher(matcher);

另一种更简单的方法是在单独的 http 配置中定义 Spring SAML 端点，该配置不会启用 csrf 保护。

执行此操作的 XML 配置类似于：

<!-- SAML processing endpoints -->
<security:http pattern="/saml/**" entry-point-ref="samlEntryPoint">
    <security:custom-filter before="FIRST" ref="metadataGeneratorFilter"/>
    <security:custom-filter after="BASIC_AUTH_FILTER" ref="samlFilter"/>
</security:http>

<!-- Secured pages with SAML as entry point -->
<security:http entry-point-ref="samlEntryPoint">
    <security:csrf />
    <security:intercept-url pattern="/**" access="IS_AUTHENTICATED_FULLY"/>
    <security:custom-filter before="FIRST" ref="metadataGeneratorFilter"/>
</security:http>

对于 Java 配置，类似这样的内容应该有效：

@Configuration
@EnableWebSecurity
public class MutlipleHttpConfigurationConfig {

    @Configuration
    @Order(1)
    public static class SAMLWebSecurityConfigurationAdapter extends WebSecurityConfigurerAdapter {
        protected void configure(HttpSecurity http) throws Exception {
            http.antMatcher("/saml/**");
            http.csrf().disable();
            http.httpBasic().authenticationEntryPoint(samlEntryPoint());
            http.addFilterBefore(metadataGeneratorFilter(),
                    ChannelProcessingFilter.class).addFilterAfter(samlFilter(),
                    BasicAuthenticationFilter.class);
        }
    }

    @Configuration
    public static class BasicWebSecurityConfigurationAdapter extends WebSecurityConfigurerAdapter {
        protected void configure(HttpSecurity http) throws Exception {
            http.httpBasic().authenticationEntryPoint(samlEntryPoint());
            http.addFilterBefore(metadataGeneratorFilter(), ChannelProcessingFilter.class);
            http
                    .authorizeRequests()
                    .antMatchers("/error").permitAll()
                    .anyRequest()
                    .hasAnyAuthority("MyRole")
                    .anyRequest().authenticated();

            http.logout().logoutSuccessUrl("/");
        }
    }
}

有关使用 Java 配置定义多个 http 配置的详细信息，请参阅Spring安全手册 http://docs.spring.io/spring-security/site/docs/3.2.x/reference/htmlsingle/#multiple-httpsecurity.

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

Spring SAML 扩展和 Spring Security CSRF 保护冲突的相关文章

Spring Security 可以支持多个入口点吗？

我的意思是需要不同登录网址登出网址会话时间网址认证提供者错误页面 css 对于不同的入口点这可能吗从 3 1 0 目前是测试版开始它将支持多个
如何从普通请求调用（即@RequestMapping）调用@SendTo

我已经使用 Spring MVC 实现了 Web Socket 它对我来说工作得很好即从一个浏览器工作到另一个浏览器该浏览器对使用此代码的套接字开放 MessageMapping hello SendTo topic greetings
在 Spring MVC 3.1 中使用 Flash 范围（和 RedirectAttributes ）而不使用

在我的 Spring MVC 3 1 应用程序中我认为我不能使用为什么因为我想应用一个拦截器all除
Thymeleaf：用
替换换行符

我有一个字段
重定向到无状态会话的原始 URL

我正在尝试创建无状态安全性其中 JWT 令牌存储在 Cookie 而不是 SESSION 中问题是如果没有会话SavedRequestAwareAuthenticationSuccessHandler不知道原始请求在弹出身份验证页面之
必须指定 Spring Security 身份验证管理器 - 用于自定义过滤器

我正在尝试创建自定义用户名密码身份验证过滤器因为我需要验证来自两个不同来源的密码我正在使用 Spring Boot 1 2 1 和 Java 配置我在部署时遇到的错误是 Caused by org springframework be
Spring Web 连接到嵌入 Jboss 服务器 7.1.1 的 HornetQ JMS

我正在尝试设置 spring web 以通过以下方式连接到远程 Jboss 7 1 1 HornetQ JMSthis http java dzone com articles connecting spring地点但我收到以下错误是否
如何为 Spring REST 服务生成 WADL

您好我正在使用 Spring 3 5 0 Release 我想为我的 Spring Rest 服务生成 WADL 它们在 Spring 中有什么功能可以让我轻松生成 WADL 您可以使用 Swagger SpringMVC 它会自动将符合
@Entity 实体无法解析为类型

学习 Spring MVC 和 Hibernate import javax persistence Column import javax persistence GeneratedValue import javax persisten
如何在 Spring MVC simpleformcontroller 上添加错误？

我的 Spring MVC 2 5 应用程序中遇到这个问题我不知道该怎么办这是我的代码 public class AddStationController extends SimpleFormController private Sim
我使用 jsp/jstl/spring 动态生成 css 和 js。如何将此结果放置在头部的链接标记中。不在头部的脚本标签中

我在jsp中生成css 输出是现在我在 jsp 中使用以下代码调用此代码它有效并且输出是这样的
Spring MVC：如何在 Thymeleaf 中获取当前 url

我在用Thymeleaf 模板引擎 http www thymeleaf org doc html Using Thymeleaf html使用 Spring Web MVC 在当前 url 的帮助下创建 url 时我陷入困境有什么方法可
如何将跨源资源共享与 Spring MVC 4.0.0 RESTful Webservice 集成

我有一个简单的 Web 服务返回JSON data The 用户等级 com bargadss SpringService Domain 是个POJO类包含用户 ID 名字姓氏电子邮件 The 用户服务类 com bargadss S
Spring MVC 415 不支持的媒体类型

我正在使用 Spring 3 2 并尝试使用 ajax post 请求来提交 json 对象数组如果这是相关的我转义了所有特殊字符我收到的 HTTP 状态为 415 我的控制器是 RequestMapping value save p
Auth0 - 无法检索远程 JWK 设置：读取超时

我正在遭受这一痛苦无法检索远程 JWK 设置读取超时我正在使用 Java 11 和 Spring boot 2 5 3 对于依赖项弹簧安全 oauth2 何塞 5 5 1 spring boot starter oauth2 客户端
@Service 中带有 Kotlin 的 Spring Boot @Autowired 始终为 null

目前我尝试使用 Kotlin 重写我的 Java Spring Boot 应用程序我遇到了一个问题在我所有的类中都用 Service依赖注入无法正常工作所有实例都null 这是一个例子 Service Transactional o
Spring Boot“没有可用消息”错误（状态 = 404），

我正在使用带有嵌入式 Tomcat 的 Spring Boot 当它启动时它会登录到控制台 s w s m m a RequestMappingHandlerMapping 将 home 映射到公共 java lang String co
如何使用基于 Spring MVC 注解的 Portlet 控制器通过 AJAX 呈现 JSON 视图/响应？

在过去的六个小时里我在 Google 和 stackoverflow 上搜索了这个问题的答案我最初是一名 PHP 开发人员所以请耐心等待从 PHP 控制器返回 JSON 数组非常简单我正在使用 Spring MVC 3 0 我只想
无法启动组件 [StandardEngine[Catalina].StandardHost[localhost].StandardContext[/LabWebServletHibernate]]

当使用 eclipse neon 1 在 tomcat 8 上运行应用程序时我收到此错误它使用 spring 4 3 3 hibernate 5 2 4 和 maven 嚴重 A child container failed durin
在 Spring Security SAML 身份验证请求中配置 POST ProtocolBinding

Spring Security SAML 坚持在 SAML 身份验证请求中请求 Artifact 绑定 ProtocolBinding 属性

随机推荐

使用 scikit learn 对通过 networkx 生成的图进行谱聚类

我有一个 3000x50 特征向量矩阵我使用以下方法获得了一个相似度矩阵sklearn metrics pairwise distances作为相似度矩阵现在我用了networkx使用上一步中生成的相似度矩阵创建一个图G nx fro
使用 Https 连接的 Java 应用程序：“连接被拒绝错误”

我为我的 JavaAppliaction 创建了一个 jar 从这个应用程序中我连接到 WebApplicaton 中的 servlet 我将名称和密码从 swing 传递到 servlet 这里我只是在 servlet 中显示名称和密码
如何在多进程内更新 Tkinter 小部件？

我正在尝试使用进程更新框架但我无法这样做如果我不使用进程框架将使用子元素进行更新但在使用多进程时则不会这是我尝试过的代码是类的一部分 def zx self q print asdadsas lbl Label self myf
Scala 相当于 Java 的 static 块吗？

Scala 相当于 Java 的 static 块吗伴生对象的构造函数即主体中的代码是not与 Java 类的静态初始化块中的代码完全相同在下面的示例中我创建了 A 的实例但未进行初始化 scala gt object Test
Laravel 对包含多个项目的集合求和

我有一个模型SettlementEntries与子表有关系return this gt hasMany App Online entry id 当尝试获取一个条目时我可以对我的集合进行求和如下例所示 item SettlementEnt
Android 地图 API，异常

我正在使用谷歌地图 v2 我的代码在方法上被破解 public void onConnected Bundle bundle mLastLocation LocationServices FusedLocationApi getLastLo
将文件上传到 S3 的 upload() 和 putObject() 之间的区别？

在aws sdk中S3类有什么区别upload http docs aws amazon com AWSJavaScriptSDK latest AWS S3 html upload property and putObject http
使 CSS url() 相对于文档

当涉及 CSS 时适用以下规则 Partial URLs are interpreted relative to the source of the style sheet not relative to the document 但这是
使用 javascript 比较日期[重复]

这个问题在这里已经有答案了我在 JavaScript 中有两个日期 var first 2012 11 21 var second 2012 11 03 我想做 if first gt second 在没有外部库的情况下最好的方法是什么
无法在 Eclipse 4.2 上安装 Aptana 插件

我已经安装了 Eclipse 4 2 Juno 现在我想安装 aptana 来开发 ruby 但出现以下错误无法读取存储库http download aptana com studio3 plugin install content ja
获取 `TypeError: jest.fn 不是一个函数`

我正在尝试使用 Jest 创建以下单元测试 jest dontMock pointsAwardingActions js describe points awarding actions gt describe award points g
获取个人资料的 Facebook 创建日期[重复]

这个问题在这里已经有答案了是否可以通过使用 Graph API 获取 Facebook 个人资料的创建日期时间我需要它来建立一个身份验证机制该机制不允许刚刚创建的 Facebook 用户调用 Facebook API 是一个相对
找不到主要出口来加载“XYZComponent”

我在 Net MVC 组件中加载了 ng2 代码但控制台中显示以下错误异常未捕获承诺错误找不到加载 UsersComponent 的主要出口错误找不到加载 UsersComponent 的主要出口知道可能是什么问题吗我正
Ruby On Rails 更新 Heroku 动态路由

我有一个使用应用程序范围的 slugs 的应用程序使用懒惰的宝石 https github com RISCfuture slugalicious与 Sluggable 表并使用以下代码路由到这些 slugs Slugs begin S
在 Fluent nHibernate 中使用派生类

我有两个共享公共字段的表我不想重新映射所有这些而是希望拥有一个具有公共字段的基类对于 POCO 来说这很简单 class Base public string commonField get set class Derived Ba
如何在 C# 中读取文本文件并将数据添加到 int 数组中？

我正在尝试读取一个文本文件其中包含以逗号分隔的数字当我阅读时使用File Readline 我把它拿到string 我需要将其转换为 int 数组但它给出了错误文本文件的内容 146429 143689 144380 141523
将 unicode 对象转换为带有实体的拉丁字符串

我有一个 unicode 对象例如 x u a 日本語 en i hall le 并希望将其转换为带有 h tml entities 的 latin 1 字符串例如 a amp 26085 26412 35486 en 269 i ha
C/C++ stdlib 命名约定的名称？

我想知道 C C 标准库中使用的命名约定是否有一个名称或者至少有一个可以查找规则的备忘单例如 push back underscore used setstate but not used here string npos when t
没有 id 或名称的 Spring bean

我正在审查一些 Spring 代码并且看到一些没有 id 或名称的 bean def 做这件事的人不在场无法询问该应用程序运行良好我不知道这必然意味着什么有人知道这是否有什么特别的含义吗某些 Bean 不需要由上下文文件中的其他
Spring SAML 扩展和 Spring Security CSRF 保护冲突

我们有一个带有 Spring Security 3 2 4 的 Spring MVC 4 0 5 应用程序其中包括运行良好的 CSRF 保护我们现在添加 SAML 安全扩展 spring security saml2 core 1 0

Spring SAML 扩展和 Spring Security CSRF 保护冲突

Spring SAML 扩展和 Spring Security CSRF 保护冲突 的相关文章

随机推荐

热门标签

Spring SAML 扩展和 Spring Security CSRF 保护冲突的相关文章