Comment définir correctement l'URL du service au Printemps CAS les propriétés du service

Lorsque l'on travaille avec Ressort de Sécurité + CAS je continuer à appuyer sur un petit bloc de route avec l'URL de callback qui est envoyé au TAS, c'est à dire le service de la propriété. J'ai regardé un tas d'exemples comme cette et cette, mais ils utilisent tous codés en dur de l'Url (même Le printemps TAS de docs). Un typique snip ressemble à quelque chose comme ça...

  <bean id="serviceProperties" class="org.springframework.security.ui.cas.ServiceProperties">
    <property name="service" value="http://localhost:8080/click/j_spring_cas_security_check" />
  </bean>

Tout d'abord, je ne veux pas coder en dur le nom du serveur ou le port depuis que je tiens ce GUERRE pour pouvoir être déployées n'importe où et je ne veux pas que mon application lié à une entrée DNS au moment de la compilation. Deuxièmement, je ne comprends pas pourquoi le Printemps ne peuvent pas détecter automatiquement de mon application contexte et la requête de l'URL de construire automatiquement l'URL. La première partie de cette déclaration sont encore debout, mais Comme Raghuram souligné ci-dessous avec ce lien, nous ne pouvons pas faire confiance le HTTP en-Tête d'Hôte du client pour des raisons de sécurité.

Idéalement, j'aimerais que l'URL du service exactement ce que l'utilisateur a demandé (tant que la demande est valide comme un sous-domaine de mycompany.com c'est donc sans soudure ou à tout le moins je voudrais seulement indiquer le chemin relatif de ma racine de contexte et d'avoir le Printemps de déterminer l'URL du service à la volée. Quelque chose comme ce qui suit...

  <bean id="serviceProperties" class="org.springframework.security.ui.cas.ServiceProperties">
    <property name="service" value="/my_cas_callback" />
  </bean>

OU...

  <bean id="serviceProperties" class="org.springframework.security.ui.cas.ServiceProperties">
    <property name="service" value="${container.and.app.derived.value.here}" />
  </bean>

Tout cela est-il possible ou facile ou ai-je manqué à l'évidence?

Peut-être ce lien est et donne un aperçu de votre besoin/problème?
Eh bien, j'ai certainement appris quelque chose et éliminés d'une solution possible. Puisque je ne peux pas compter sur la requête HTTP que je voudrais encore pour définir le service par le biais de certaines valeurs dérivées à l'heure du déploiement qui doit être sécurisé.
Je suis à l'aide de printemps 3; à noter que le lien vers le printemps de sécurité 3 docs

OriginalL'auteur Andrew White | 2010-12-29

  1. 4

    Au Printemps 2.6.5 printemps, vous pouvez étendre les org.springframework.de sécurité.l'interface utilisateur.les sae.ServiceProperties

    Au printemps 3 la méthode est définitive, vous pourriez obtenir autour de ce sous-classement par le CasAuthenticationProvider et CasEntryPoint et puis les utiliser avec votre propre version de ServiceProperties et remplacer la méthode getService() la méthode avec une dynamique de mise en œuvre.

    Vous pouvez utiliser l'en-tête d'hôte pour calculer le le domaine requis et de le rendre plus sécurisé en validant que seules les domaines/sous-domaines sous votre contrôle sont utilisés. Puis ajoutez à ceci une certaine valeur configurable.

    Bien sûr, vous voulez être au risque que votre œuvre a été insécurité... donc soyez prudent.

    Il pourrait finir par ressembler à:

    <bean id="serviceProperties" class="my.ServiceProperties">
    <property name="serviceRelativeUrl" value="/my_cas_callback" />
    <property name="validDomainPattern" value="*.mydomain.com" />
</bean>
    Selon le document lié, je suis en utilisant le Printemps de Sécurité 3, qui est l'ensemble de ces méthodes marqué comme final (static.springsource.org/spring-security/site/docs/3.0.x/apidocs/...)
    Alors que la question des états, vous pourriez juste sous-classe de la CasAuthenticationProvider et CasEntryPoint et de vous fournir une version propre de propriétés du Service. J'ai mis à jour la réponse pour le rendre plus explicite
    Je pense que vous avez probablement raison. Je n'ai pas eu la chance de l'essayer encore, mais quand je le fais, et à moins d'une meilleure réponse vient autour, ce qui est à la recherche comme il va être la meilleure réponse.

    OriginalL'auteur Pablojim

  2. 5

    Je sais que c'est un peu vieux mais j'ai juste eu à résoudre ce problème et je ne pouvais pas vraiment trouver quelque chose dans les nouvelles piles.

    Nous avons de multiples environnements de partage le même CAS de service (dev, qa, uat et locales, les environnements de développement); nous avons la capacité de frapper chaque environnement de plus d'un url (via le client web côté serveur via un reverse proxy et directement sur le serveur de back-end). Cela signifie que la spécification d'une url unique est difficile, au mieux. Peut-être il ya un moyen de le faire, mais d'être en mesure d'utiliser d'une dynamique ServiceProperties.getService(). Je vais probablement ajouter un peu de type de suffixe du serveur, vérifiez que l'url n'est pas détourné à un certain point.

    Voici ce que j'ai fait pour passer de la base en CAS de flux de travail, indépendamment de l'URL utilisée pour accéder à la ressource sécurisée...

    1. Remplacer la CasAuthenticationFilter.
    2. Remplacer la CasAuthenticationProvider.
    3. setAuthenticateAllArtifacts(true) sur le ServiceProperties.

    Voici la version longue de ma configuration spring bean:

    @Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true, jsr250Enabled = true)
public class CasSecurityConfiguration extends WebSecurityConfigurerAdapter {

    Simplement l'habitude configuration spring bean.

    @Value("${cas.server.url:https://localhost:9443/cas}")
private String casServerUrl;

@Value("${cas.service.validation.uri:/webapi/j_spring_cas_security_check}")
private String casValidationUri;

@Value("${cas.provider.key:whatever_your_key}")
private String casProviderKey;

    Certains externalisés paramètres de configuration.

    @Bean
public ServiceProperties serviceProperties() {
    ServiceProperties serviceProperties = new ServiceProperties();
    serviceProperties.setService(casValidationUri);
    serviceProperties.setSendRenew(false);
    serviceProperties.setAuthenticateAllArtifacts(true);
    return serviceProperties;
}

    La clé ci-dessus est le setAuthenticateAllArtifacts(true) appel. Cela rendra le ticket de service valideur utiliser le AuthenticationDetailsSource mise en œuvre plutôt que de codé en dur ServiceProperties.getService() appel

    @Bean
public Cas20ServiceTicketValidator cas20ServiceTicketValidator() {
    return new Cas20ServiceTicketValidator(casServerUrl);
}

    Billet Standard du programme de validation..

    @Resource
private UserDetailsService userDetailsService;

@Bean
public AuthenticationUserDetailsService authenticationUserDetailsService() {
    return new AuthenticationUserDetailsService() {
        @Override
        public UserDetails loadUserDetails(Authentication token) throws UsernameNotFoundException {
            String username = (token.getPrincipal() == null) ? "NONE_PROVIDED" : token.getName();
            return userDetailsService.loadUserByUsername(username);
        }
    };
}

    Crochet Standard à un UserDetailsService 

    @Bean
public CasAuthenticationProvider casAuthenticationProvider() {
    CasAuthenticationProvider casAuthenticationProvider = new CasAuthenticationProvider();
    casAuthenticationProvider.setAuthenticationUserDetailsService(authenticationUserDetailsService());
    casAuthenticationProvider.setServiceProperties(serviceProperties());
    casAuthenticationProvider.setTicketValidator(cas20ServiceTicketValidator());
    casAuthenticationProvider.setKey(casProviderKey);
    return casAuthenticationProvider;
}

    Standard fournisseur d'authentification

    @Bean
public CasAuthenticationFilter casAuthenticationFilter() throws Exception {
    CasAuthenticationFilter casAuthenticationFilter = new CasAuthenticationFilter();
    casAuthenticationFilter.setAuthenticationManager(authenticationManager());
    casAuthenticationFilter.setServiceProperties(serviceProperties());
    casAuthenticationFilter.setAuthenticationDetailsSource(dynamicServiceResolver());
    return casAuthenticationFilter;
}

    Clé ici est la dynamicServiceResolver() réglage..

    @Bean
AuthenticationDetailsSource<HttpServletRequest,
        ServiceAuthenticationDetails> dynamicServiceResolver() {
    return new AuthenticationDetailsSource<HttpServletRequest, ServiceAuthenticationDetails>() {
        @Override
        public ServiceAuthenticationDetails buildDetails(HttpServletRequest context) {
            final String url = makeDynamicUrlFromRequest(serviceProperties());
            return new ServiceAuthenticationDetails() {
                @Override
                public String getServiceUrl() {
                    return url;
                }
            };
        }
    };
}

    Crée dynamiquement l'url du service de la makeDynamicUrlFromRequest() méthode. Ce bit est utilisé lors de la validation de ticket.

    @Bean
public CasAuthenticationEntryPoint casAuthenticationEntryPoint() {

    CasAuthenticationEntryPoint casAuthenticationEntryPoint = new CasAuthenticationEntryPoint() {
        @Override
        protected String createServiceUrl(final HttpServletRequest request, final HttpServletResponse response) {
            return CommonUtils.constructServiceUrl(null, response, makeDynamicUrlFromRequest(serviceProperties())
                    , null, serviceProperties().getArtifactParameter(), false);
        }
    };
    casAuthenticationEntryPoint.setLoginUrl(casServerUrl + "/login");
    casAuthenticationEntryPoint.setServiceProperties(serviceProperties());
    return casAuthenticationEntryPoint;
}

    Cette partie utilise la même url dynamique créateur lors de la SAE pour rediriger vers la page de connexion.

    private String makeDynamicUrlFromRequest(ServiceProperties serviceProperties){
    return "https://howeverYouBuildYourOwnDynamicUrl.com";
}

    C'est ce que vous en faites. J'ai seulement passé dans la ServiceProperties de tenir l'URI du service que nous sommes configuré pour. Nous utilisons HATEAOS sur la face arrière et de mise en œuvre comme:

    return UriComponentsBuilder.fromHttpUrl(
            linkTo(methodOn(ExposedRestResource.class)
                    .aMethodOnThatResource(null)).withSelfRel().getHref())
            .replacePath(serviceProperties.getService())
            .build(false)
            .toUriString();

    Edit: voici ce que j'ai fait pour la liste de serveur valide suffixes..

    private List<String> validCasServerHostEndings;

@Value("${cas.valid.server.suffixes:company.com,localhost}")
private void setValidCasServerHostEndings(String endings){
    validCasServerHostEndings = new ArrayList<>();
    for (String ending : StringUtils.split(endings, ",")) {
        if (StringUtils.isNotBlank(ending)){
            validCasServerHostEndings.add(StringUtils.trim(ending));
        }
    }
}

private String makeDynamicUrlFromRequest(ServiceProperties serviceProperties){
    UriComponents url = UriComponentsBuilder.fromHttpUrl(
            linkTo(methodOn(ExposedRestResource.class)
                    .aMethodOnThatResource(null)).withSelfRel().getHref())
            .replacePath(serviceProperties.getService())
            .build(false);
    boolean valid = false;
    for (String validCasServerHostEnding : validCasServerHostEndings) {
        if (url.getHost().endsWith(validCasServerHostEnding)){
            valid = true;
            break;
        }
    }
    if (!valid){
        throw new AccessDeniedException("The server is unable to authenticate the requested url.");
    }
    return url.toString();
}
    La plupart des infos utiles que j'ai pu trouver sur ce post. Ce qui est étonnant. J'ai été vraiment du mal avec la mise en œuvre de quelque chose comme ceci (pour les mêmes raisons que vous étiez dans la complexité de notre système.

    OriginalL'auteur Matt

  3. 2

    utilisez maven, ajouter une propriété de l'espace réservé, et de le configurer dans votre processus de création

    ou utiliser le printemps des profils

    OriginalL'auteur chrismarx

  4. 0

    J'ai essayé de la sous-classe CasAuthenticationProvider comme Pablojim suggèrent, mais la solution est très facile! avec le Printemps, l'Expression de la Langue (SPEL), vous pouvez obtenir l'url dinamically.

    Exemple: <property name="service"
    value="https://#{T(java.net.InetAddress).getLocalHost().getHostName()}:${application.port}${cas.service}/login/cascheck"/>

    Juste pour clarifier, pour que personne ne se excité par cette réponse, le nom d'hôte de cette récupère le nom du serveur, et non pas le nom d'hôte à partir de la demande. Si vous avez différentes versions de l'application en cours d'exécution sur différents serveurs physiques, cela peut être idéal

    OriginalL'auteur Donald

  5. -1

    Je n'ai pas essayé moi-même, mais il semble que le Printemps de Sécurité a une solution à ce avec la SavedRequestAwareAuthenticationSuccesshandler indiqué dans la mise à jour de Bob du blog.

    OriginalL'auteur stigkj