当前位置: 首页 > 知识库问答 >
问题:

Spring Security-指定哪个X509可以访问哪个特定的endpoint

国兴贤
2023-03-14
    null
    null

但是如何在应用程序中配置它,即哪种证书可以访问什么的这种映射?

谢谢。

共有1个答案

凌俊材
2023-03-14

@setu给了你解决问题的必备信息。

请考虑以下代码,这些代码改编自您引用的一篇文章中的代码:

@SpringBootApplication
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class X509AuthenticationServer extends WebSecurityConfigurerAdapter {
  ...

  @Override
  protected void configure(HttpSecurity http) throws Exception {
    http
      .authorizeRequests()
        // Define the mapping between the different endpoints
        // and the corresponding user roles
        .antMatchers("/actuator/health").hasRole("ACTUATOR_HEALTH")
        .antMatchers("/actuator/prometheus").hasRole("ACTUATOR_PROMETEUS")
        .antMatchers("/config/myservice").hasRole("CONFIG_MYSERVICE")
        // Please, adjust the fallback as appropriate
        .anyRequest().authenticated()
      .and()
        // Configure X509Configurer (https://docs.spring.io/spring-security/site/docs/current/api/org/springframework/security/config/annotation/web/configurers/X509Configurer.html)
        .x509()
          .subjectPrincipalRegex("CN=(.*?)(?:,|$)")
          .userDetailsService(userDetailsService())
    ;
  }

  @Bean
  public UserDetailsService userDetailsService() {
    // Ideally this information will be obtained from a database or some
    // configuration information
    return new UserDetailsService() {

      @Override
      public UserDetails loadUserByUsername(String username) {

        Objects.requireNonNull(username);

        List<GrantedAuthority> authorities = null;
        switch (username) {
          // Match the different X509 certificate CNs. Maybe you can use the
          // X509 certificate subject distinguished name to include the role in
          // some way and obtain it directly with the subjectPrincipalRegex
          case "Alice":
            authorities = AuthorityUtils
              .commaSeparatedStringToAuthorityList("ROLE_ACTUATOR_HEALTH, ROLE_CONFIG_MYSERVICE");
            break;

          case "Bob":
            authorities = AuthorityUtils
              .commaSeparatedStringToAuthorityList("ROLE_ACTUATOR_PROMETHEUS");
            break;

          default:
            throw new UsernameNotFoundException(String.format("User '%s' not found!", username));
        }

        return new User(username, "", authorities);
      }
    };
  }
}

请根据需要修改代码,以满足实际的endpoint和用户。

 类似资料:
  • 问题内容: 我有一个这样的字符串:我只想在另一个字符串中保存“ 10”。我怎样才能做到这一点? 问题答案: 更新7/3/2018: 既然问题已经获得了Swift标记,我应该添加Swift的实现方式。非常简单: 尽管请注意,它为您提供了的数组。如果您需要将它们转换回普通字符串,请使用 要么

  • 给出了以下配置: 我需要一个存储库来访问电影,看起来有点像这样: 是否有一种注释驱动的方法来告诉存储库要使用哪个模板?如果没有,还能做些什么来解决这个问题?

  • 谷歌(遗憾地)计划破坏存储权限,使应用程序无法使用标准文件API(和文件路径)访问文件系统。许多人反对它,因为它改变了应用程序访问存储的方式,在很多方面,它是一个受限的API。 因此,如果我们希望处理各种存储卷并访问其中的所有文件,我们将需要在未来的Android版本上完全使用SAF(存储访问框架)(在Android Q上,我们至少可以暂时使用一个标志来使用正常的存储权限)。 例如,假设您想创建一

  • 如前所述,我知道我可以将Java对象转换为json(使用Jackson) 我知道我可以使用注释将字段排除在json字符串中,但是如果我想多次将同一个类转换为json,但每次都选择忽略不同的字段,该怎么办? 例如,如果我有一门课 我能做一些像 这样产生的字符串看起来就像 如果杰克逊做不到,也许格森可以?还是另一个图书馆? 任何帮助都将不胜感激!

  • RFC 3986指定了URI的通用格式,但表示它“没有定义URI的生成语法;该任务由每个URI方案的各个规范执行。”我现在正在寻找该特定HTTP URI语法的当前规范。 HTTP/1.1在RFC 2616(超文本传输协议——HTTP/1.1)中指定。在第3.2节中,它定义了“http URL的特定于方案的语法和语义”这看起来很简单: http_URL="超文本传输协议:" "//" 主机 [ ":

  • 我正在将公司的项目从Java1.8迁移到OpenJDK14。像其他许多人一样(在这个、这个或这个线程中),我在Java9模块化方面遇到了一些问题,特别是在包。 我已经生成了,目前JRE系统库(OpenJDK 14)和所有外部JAR都在Java构建路径的Modulepath上。所以我不再有错误