Hur*_*ane 5 spring-security cloud-foundry spring-boot mutual-authentication
在Cloud Foundry中,我对其进行了配置,以便将客户端证书转发到我的 Spring Boot 应用程序。
证书放置在x-forwarded-client-cert标头中,Spring Boot 应用程序读取此?,并检查 CN 是否已列入白名单并发送适当的响应。不幸的是,我无法通过测试复制这种行为。我不断得到(在调试输出中):
“请求中找不到客户端证书”
我正在使用REST Assured,我的测试如下所示:
String cert = StreamUtils.copyToString(
new ClassPathResource("certs/client/client_mod.crt").getInputStream(), Charset.defaultCharset());
cert = cert.replace("\r\n", "").replace("\n", "");
given()
.spec(spec)
.header("x-forwarded-client-cert", cert)
.when()
.get(HealthResource.BASE_URL + "/ip-reverse-lookup")
.then()
.statusCode(HttpStatus.OK.value());
其基本 uri 是http://localhost. 客户端证书 "-----BEGIN CERTIFICATE-----"和"-----END CERTIFICATE-----"已被删除,换行符也被删除(如上面的代码所示)。
在我的 application.yml 中我有这个:
server:
ssl:
enabled: false
key-store:
key-store-password:
trust-store:
trust-store-password:
client-auth: need
configure扩展类的方法如下WebSecurityConfigurerAdapter所示:
http
.x509()
.subjectPrincipalRegex("CN=(.*?)(?:,|$)")
.userDetailsService(customUserDetailsService)
.and()
.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.NEVER)
.and()
.csrf().disable();
任何帮助/建议将不胜感激。
谢谢。
由于容器化和网络架构的原因,您需要在实施和测试时考虑以下几点。
当您配置 Cloud Foundry 以检查客户端证书(如果存在)是否可信时,将根据受信任的 CA/证书检查它们。这是在 CF 环境的通用网络组件的 HAProxy 上完成的。正如您所正确指出的那样,它(如果包含并受信任)被放入x-forwarded-client-cert被保护的对象中,从外部不可变。
您的应用程序在较低级别的容器中运行,并通过 HAProxy / GoRouter 连接到其公共主机名 / url。当请求到达您的应用程序时,此时不再有 TLS 级别的证书(准确地说是 mTLS)。SSL 连接在 HAProxy 上终止。在内部,您的应用程序/容器以 HTTP 形式接收请求。更多详情请参见[1] [2]
因此,您的 Spring 应用程序仅在添加到请求的标头中接收有关 X.509 / mTLS 证书的信息。因此,向 Spring 应用程序添加/配置 x509 支持是没有意义的,因为真正的 mTLS 不会到达端点。这也是您收到上面发布的日志消息的原因。相反,您需要让应用程序读出标头并根据它执行逻辑。
| 归档时间: |
|
| 查看次数: |
1167 次 |
| 最近记录: |