登录
当前位置: 首页 > 知识库问答 >
问题:

使用Spring Security Saml和SP应用程序的无状态会话

盖晋
2023-03-14

我试图运行启动示例Spring安全saml引导从,https://github.com/vdenotaris/spring-boot-security-saml-sample

我能够运行它并与身份提供者集成。

但是,我看到每次都创建一个会话,并且在用户退出之前保持持久。

我在spring boot中使用基于资源的服务,因此不想增加会话的开销。

我尝试将以下行添加配置方法中,http.sessionManagement()。

但是,有了这个设置,我总是被要求登录到身份提供商。

如果我登录,它会返回页面,要求我在循环中再次登录。

我不确定禁用会话时这是否是正确的行为。

有谁能为我提供一种正确的方法来使用spring security saml扩展和服务提供商应用程序的无状态会话吗。

谢谢

斯里兰卡

共有2个答案

丌官哲彦
2023-03-14

要在无状态下启用SAML,您需要:

  • 将SamlMessageFactory设置为空
  • 确保SAML过滤器位于“记住我”过滤器之后
  • 实际上,要像往常一样启用无状态并配置“记住我”服务

请注意,这样做意味着您没有JSESSIONID,这意味着spring将不再记录原始请求的URL,因此无法处理稍后将您重定向回该URL的问题。(建议稍后对此进行解决)。

@Configuration
@EnableWebSecurity
public class YourSecurityConfig extends WebSecurityConfigurerAdapter {
    
    /**
     * Since SAML is being used under a stateless mode, we can not use the default
     * Message Storage factory as it uses http sessions. Instead we have to use
     * the EmptyStorageFactory().
     * 
     */
    @Bean
    public SAMLMessageStorageFactory sAMLMessageStorageFactory() {
        return new EmptyStorageFactory();
    }

    
@Autowired(required=false)
    @Qualifier("samlFilter")
    FilterChainProxy samlFilter;

    @Override
    protected void configure(HttpSecurity http) throws Exception {
       ...
       // Only try to do SAML stuff after we have tried to authenticate the user.
       http.addFilterAfter(samlFilter, RememberMeAuthenticationFilter.class)
       
       // (Optional part if you want redirects)
       // Just before we get to the samlFilter if we have not yet authenticated we
       // may set a cookie storing the location to which we should redirect back to
       // when all is said and done.
       http.addFilterBefore(setRedirectCookieForPostSAMLAction, samlFilter.getClass());
       // On SAML auth success, apply the redirect from the cookie. 
       sAMLProcessingFilter.setAuthenticationSuccessHandler(new ReadRedirectCookieForSAMLSuccessHandler());
       // (End Optional part)
       ...
       // Don't forget to enable your token based remember me service
       // Also don't forget to set stateless
       http.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS);
    }
}

最后,如果您确实想要支持某种形式的重定向,请执行以下操作:

  • 让你的用户界面将你重定向到某个特殊的URL,并在GET参数中记录要转到的URL。例如,如果你在/secure出现。html,用户界面会将您重定向到/saml redirect。html?重定向到=/secure。html 

public class setRedirectCookieForPostSAMLAction implements Filter {
   void setRedirectCookieIfRequired(HttpServletRequest request, HttpServletResponse response, Authentication authentication) {
        // If the user is not authenticated and is going to the saml redirect page
        if(authentication == null && 
            new AntPathRequestMatcher("/saml-redirect.html", null).matches(request)) {
            if(request has a redirectTo param) {
                 Set cookie "saml-redirect-post-action" to Base64(redirectTo);
            }
        }

}
}
  • 创建一个成功处理程序ReadReDirectCookieForSAML成功处理程序,当用户成功使用SSO登录时(如上配置),该成功处理程序将运行。如果重定向cookie,该成功处理程序只需要重定向用户。它还应该清除该cookie重定向cookie。

(别忘了检查重定向是否合法,并且在重定向用户之前只会转到你的应用。)

单于帅
2023-03-14

对于SAML身份验证部分,您肯定需要一个会话,因此您有两个选项:

1)在您的应用程序中有两个不同的安全上下文,一个用于SAML身份验证,一个用于无状态服务。不知道如何验证您的服务,但它必须有某种令牌身份验证才能是无状态的。您可以定义2WebSecurityConfigrerAdapter并覆盖配置(HttpSecurity超文本传输协议)方法。然后在saml配置中使用http.requestMatcher("/saml/**")http.requestMatcher("/service/**")在您的服务配置中,/saml下的所有内容都将通过samlauth和/service下的所有内容都将通过您所拥有的任何内容。

2) 在SAML配置中添加更多过滤器(在SAML过滤器之前),使其与不同类型的身份验证(例如基于令牌的身份验证)一起工作,并且只要此过滤器能够在SAML过滤器之前生成有效的身份验证,您就应该是好的。

您还可以查看此库:https://github.com/ulisesbocchio/spring-boot-security-saml简化SAML配置

 类似资料:
  • 无状态应用程序Spring Security

    我正在用Spring Web、Spring Security和Spring social创建一个Spring启动应用程序。该应用程序包含利用基本身份验证实现安全的rest服务。我试图将Spring配置为使应用程序无状态,但是当我使用浏览器向web服务发出请求时,浏览器会提示输入用户凭据,但由于会话创建,所有之前的请求都使用相同的用户凭据。我已将应用程序配置为阻止这种情况发生,但仍然存在问题\ 我应

  • 状态管理 - 使用选择器读取应用程序状态

    For example, here’s how you would select the object: And to fetch the counter’s currentValue, we can pass in a string array, where each string plucks a single property from the application state one a

  • 使用DB时的EJB有状态会话bean与无状态会话bean

    对于有状态会话bean(SFSB)和无状态会话bean(SLSB)的用法,我有点困惑。 我知道SFSB与客户保持状态。这很有帮助:什么时候使用有状态会话bean而不是无状态会话bean? 这里和许多其他地方提供的示例是SFSB的购物车。 “如果一个任务需要一系列方法调用(不止一次),并且您需要保留以前的结果以在下一次调用中使用它们,那么就可以使用SFSB”--Source。这将更像是签出(页面之间

  • 何时在无状态会话bean上使用有状态会话bean?

    问题内容: 有状态会话Bean定义如下: 有状态会话Bean对象的状态由其实例变量的值组成。在有状态会话Bean中,实例变量代表唯一的客户端Bean会话的状态。因为客户端与其bean进行交互(“交谈”),所以这种状态通常称为对话状态。 无状态会话Bean定义如下: 无状态会话Bean无状态会话Bean不会与客户端保持对话状态。当客户端调用无状态Bean的方法时,该Bean的实例变量可能包含特定于该

  • 带有JWT auth和csrf令牌的Spring boot无状态应用程序

    我有一个带有JWT auth的Spring boot应用程序,非常好用!但我用无状态策略禁用了csrf: 这个Rest应用编程接口是为SPA反应应用程序设计的。我读到当我使用JWT令牌时,我不需要设置csrf令牌。JWT是否像csrf保护一样工作?我认为这不是csrf保护。

  • 创建会话无状态用法

    问题内容: 我希望更改为在我的Web应用程序中实现无状态Spring Security的目的是结束,但事实并非如此。 进行了此更改后,由于(根据我的假设)Spring安全性在会话中不存储任何内容,并且无法对安全的Web请求进行身份验证,因此Spring安全性似乎无法正常工作。 我如何利用此无状态功能? 我似乎尚未找到任何有关如何为无状态Web应用程序实现无状态Spring安全的示例。 谢谢 ! 问

相关问答

Drools无状态会话与有状态会话无法启动应用程序会话什么时候使用有状态会话bean而不是无状态会话bean?React路由器-无法在路由中使用匹配参数和应用程序状态无状态会话Bean与无状态单例

相关文章

在flask应用程序中保留全局状态在Linux中开发iOS应用程序的状态如何?ASP.NET如何使用web服务的会话状态Spring应用程序中的实用程序类-是否应该使用静态方法?有状态会话Bean和HTTP会话

相关阅读

HTML5 应用程序缓存GWT 应用程序调试GWT 应用程序组成DBUtils入门应用程序Eclipse 运行应用程序

相关工具

ios应用程序开发框架SP++年会抽奖程序sp-rest-proxy用ruby写的采集程序

相关文档

马上着手开发 iOS 应用程序Python 进阶应用教程Perl 程序员应该知道的事Sanic 使用教程freeRTOS 使用教程
快捷导航: 新手教程 算法原理 架构设计 Java进阶 数据库进阶 大厂专栏 面试经验 编程笔记 编程问答 所有专题 文档资料 工具软件 电子书籍 小牛导航
在线工具: 房贷计算器 个税计算器 Linux命令查询 Json格式化 正则表达式 颜色转换 AES加解密 SHA1加密 MD5加密 毒鸡汤 字数统计 随机密码生成 进制转换 Base64编解码 励志句子
Copyright © 2019-2024 小牛知识库@xnip.cn. All Rights Reserved.