HTTPS connexion avec le Printemps, la Sécurité des redirections HTTP

J'ai un Printemps application web, sécurisé, avec Ressort de Sécurité, en cours d'exécution sur EC2. En face de l'instance EC2 est un Elastic Load Balancer avec un certificat SSL (https termine à l'équilibrage de la charge de ie. le port 443 -> le port 80), donc à partir de Tomcat point de vue, les demandes entrantes sont HTTP.

Mon formulaire de connexion se soumet à https, cependant ultérieures de redirection va à http (succès ou échec). L'authentification a réussi, et je peux retourner à l'https et je suis connecté.

Mon login configuration ressemble à ceci:

<security:form-login
    default-target-url="/home"
    login-page="/"
    login-processing-url="/processlogin"
    authentication-failure-url="/?login_error=1"/>

Que dois-je faire des changements par défaut-à la cible de l'url et de l'authentification-échec-l'url https?

Tomcat 6
Spring Security 3.0.x

J'ai configuré une réécriture Apache dans le temps de le dire, mais toujours curieux de savoir si il y a un moyen de le faire avec l'intérieur de la Sécurité Printemps config.
généralement, il est fait à équilibrage de charge et la configuration est appelée url-rewrite. De cette façon, équilibrage de charge permet de s'assurer que rediriger les séjours à l'adresse https.

InformationsquelleAutor Thody | 2012-04-30

22

Votre configuration spring doit être agnostique pour le protocole utilisé. Si vous utilisez quelque chose comme "exige-canal", vous pourrez rencontrer des problèmes tôt ou tard, surtout si vous souhaitez déployer la même demande à un environnement de développement sans https.

Au lieu de cela, pensez à configurer votre serveur tomcat correctement. Vous pouvez faire cela avec RemoteIpValve. Selon les en-têtes de la loadbalancer envoie, votre server.xml configuration doit contenir quelque chose comme ceci:
```
<Valve
   className="org.apache.catalina.valves.RemoteIpValve"
   internalProxies=".*"
   protocolHeader="X-Forwarded-Proto"
   httpsServerPort="443"
   />
```
Printemps va déterminer l'absolu adresse de redirection basée sur la ServletRequest, donc changer le httpsServerPort si vous utilisez autre chose que 443:

La httpsServerPort est le port retourné par
ServletRequest.getServerPort() lorsque le protocolHeader https
protocole

InformationsquelleAutor marcelj
9

Si c'est un Ressort de Démarrage de l'application (j'utilise actuellement la version 2.0.0), la configuration suivante dans le application.properties fichier devrait être suffisant:
```
server.tomcat.protocol-header=x-forwarded-proto
```
Cela a fonctionné pour moi sur AWS avec un équilibreur de charge à l'avant.

Pour le Printemps Boot < 2.0.0 il convient également de travailler (pas testé)
- Cette question a été me rend fou. Cette suggestion a parfaitement fonctionné. Merci!
- Merci! J'ai également eu à ajouter server.use-forward-headers=true docs.printemps.io/spring-boot/docs/current/reference/html/...
InformationsquelleAutor Rolch2015

Une façon que j'ai obtenu ce travail est d'ajouter la configuration suivante

<http auto-config="true" use-expressions="true" entry-point-ref="authenticationEntryPoint" >
    <form-login login-page="/login.jsf" authentication-failure-url="/login.jsf?login_error=t" always-use-default-target="true" default-target-url="xxxxx" />
    <logout logout-url="/logout" logout-success-url="/logoutSuccess.jsf" />
    ...
</http>

Dû ajouter always-use-default-target="true" et default-target-url="https://....". Pas la meilleure manière que vous avez besoin de coder en dur l'adresse url dans le fichier config.

InformationsquelleAutor Suresh

0

Je jeu nécessite-channel="tout" sur tous les intercepter-url. Cela lui permet de toujours travailler dans mon environnement de dev où je n'utilise pas SSL.
```
<intercept-url pattern="/createUser" access="permitAll" requires-channel="any"/>
<intercept-url pattern="/admin/**" access="hasRole('ROLE_ADMIN')" requires-channel="any"/>
<intercept-url pattern="/**" access="isAuthenticated()" requires-channel="any"/>
```
Ensuite, créer un hôte virtuel apache redirige tout le trafic vers la version HTTPS.
```
<VirtualHost *:80>
  ServerName www.mywebsite.com
  Redirect permanent /https://www.mywebsite.com/
</VirtualHost>
```
- Après la connexion, le Printemps sera toujours envoyer un en-tête location avec une adresse http. L'utilisateur ne remarque pas, parce que votre apache instantanément rediriger lui https nouveau, mais il est encore un grave problème de sécurité, car le navigateur va envoyer les cookies de session sur un canal non sécurisé.
- J'ai juste couru à travers firebug et vous avez raison. Je vais essayer de trouver une meilleure solution et de réviser ma réponse, si je ne.
- Pourriez-vous expliquer pourquoi c'est un risque grave pour la sécurité ou de fournir un cadre de référence qui décrit le risque?
- Si un attaquant intercepte la requête HTTP, elle peut servir un HTTP formulaire de connexion et de récupérer les informations d'identification.
InformationsquelleAutor Andrew Westberg
0

Je suis également confronté exactement le même problème et jusqu'à la fois que j'ai la bonne solution, je suis rediriger mes demandes de serveur proxy pour le serveur tomcat sur AJP au lieu de HTTP.
Voici ma configuration d'apache
```
ProxyPass /myproject ajp://localhost:8009/myproject
ProxyPassReverse /myproject ajp://localhost:8009/myproject
```
InformationsquelleAutor Agry

utiliser en dessous de lignes de code dans web.xml

<security-constraint>
  <web-resource-collection>
    <web-resource-name>Login and Restricted Space URLs</web-resource-name>
    <url-pattern>/j_security_check</url-pattern>
    <url-pattern>/loginpage.rose</url-pattern>
  </web-resource-collection>
  <user-data-constraint>
    <transport-guarantee>CONFIDENTIAL</transport-guarantee>
  </user-data-constraint>
</security-constraint>

il rend forcé d'utiliser le protocole HTTPS.

InformationsquelleAutor mirzaei

0

J'ai eu le même problème avec Spring Boot derrière Google Kubernetes. L'ajout de ces deux lignes à la demande.propriétés l'a fait pour moi
```
server.tomcat.remote-ip-header=x-forwarded-for
server.tomcat.protocol-header=x-forwarded-proto
```
Source: https://docs.spring.io/spring-boot/docs/current/reference/html/howto-security.html#howto-enable-https

InformationsquelleAutor Vlad Saveluc
0

Dans mon cas, j'ai dû ENLEVER la propriété server.use-forward-headers=true.

C'est ma configuration:

Numérique de l'Océan LB --> Kubernetes cluster avec Pénétration --> le Printemps de démarrage de l'Application

InformationsquelleAutor CelinHC

Vous devez vous connecter pour publier un commentaire.