1. дома
  2. Вопрос и ответ
  3. Получение объекта аутентификации является нулевым, даже после успешного входа в систему IDP с использованием SAML

Получение объекта аутентификации является нулевым, даже после успешного входа в систему IDP с использованием SAML

2015-03-27 1 views
4

В моей заявке настроена функция spring-saml и spring. Я дал другой URL-адрес, чтобы распознать запрос. если я добавлю /rest в URL-адрес приложения, он создаст контекст весенней безопасности с базовой аутентификацией. Если я добавлю /saml в URL-адрес приложения, он заполнит страницу входа IDP и перенаправит index.html после успешного входа в систему.Получение объекта аутентификации является нулевым, даже после успешного входа в систему IDP с использованием SAML

Но я снова перенаправляюсь на страницу login.html вместо index.html. После отладки eclipse и ввода некоторых журналов здесь и там я получил доступный объект аутентификации.

Я прочитал это jira link и обновил версию весной-безопасности до версии 3.1.4.RELEASE, но это не решило мою проблему.

После многого я нахожу, что контекст безопасности saml очищается методом filterChainProxy doFilter, а установочная аутентификация является нулевой, а затем перенаправляется на защищенный целевой URL, для которого требуется аутентификация, которой нет. следовательно, он перенаправляется на страницу входа.

Я много гугли, но не нашел способа использовать проверку подлинности saml для передачи проверки j_spring_security.

Я приложил мой SAML-security.xml и пружинно-security.xml файл ниже

SAML-безопасности

<?xml version="1.0" encoding="UTF-8" ?> 
<beans xmlns="http://www.springframework.org/schema/beans" 
     xmlns:security="http://www.springframework.org/schema/security" 
     xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 
     xmlns:context="http://www.springframework.org/schema/context" 
     xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-3.1.xsd 
       http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security-3.1.xsd http://www.springframework.org/schema/context http://www.springframework.org/schema/context/spring-context-3.1.xsd"> 

    <!-- Enable auto-wiring --> 
    <context:annotation-config/> 

    <!-- Scan for auto-wiring classes in spring saml packages --> 
    <context:component-scan base-package="org.springframework.security.saml"/> 

    <!-- Unsecured pages --> 
    <security:http security="none" pattern="/favicon.ico"/> 
    <security:http security="none" pattern="/images/**"/> 
    <security:http security="none" pattern="/css/**"/> 
    <security:http security="none" pattern="/logout.jsp"/> 

    <!-- Filters for processing of SAML messages --> 
    <bean id="samlFilter" class="org.springframework.security.web.FilterChainProxy"> 
     <security:filter-chain-map request-matcher="ant"> 
      <security:filter-chain pattern="/saml/login/**" filters="samlEntryPoint"/> 
      <security:filter-chain pattern="/saml/logout/**" filters="samlLogoutFilter"/> 
      <security:filter-chain pattern="/saml/metadata/**" filters="metadataDisplayFilter"/> 
      <security:filter-chain pattern="/saml/SSO/**" filters="samlWebSSOProcessingFilter"/> 
      <security:filter-chain pattern="/saml/SSOHoK/**" filters="samlWebSSOHoKProcessingFilter"/> 
      <security:filter-chain pattern="/saml/SingleLogout/**" filters="samlLogoutProcessingFilter"/> 
      <security:filter-chain pattern="/saml/discovery/**" filters="samlIDPDiscovery"/> 
     </security:filter-chain-map> 
    </bean> 

    <!-- Handler deciding where to redirect user after successful login --> 
    <bean id="successRedirectHandler" 
      class="org.springframework.security.web.authentication.SavedRequestAwareAuthenticationSuccessHandler"> 
     <property name="defaultTargetUrl" value="/index.html"/> 
     <property name="alwaysUseDefaultTargetUrl" value="true"/> 
    </bean> 
    <!-- 
    Use the following for interpreting RelayState coming from unsolicited response as redirect URL: 
    <bean id="successRedirectHandler" class="org.springframework.security.saml.SAMLRelayStateSuccessHandler"> 
     <property name="defaultTargetUrl" value="/" /> 
    </bean> 
    --> 

    <!-- Handler for successful logout --> 
    <bean id="successLogoutHandler" class="org.springframework.security.web.authentication.logout.SimpleUrlLogoutSuccessHandler"> 
     <property name="defaultTargetUrl" value="/login.html"/> 
    </bean> 

    <!-- Register authentication manager with SAML provider --> 
    <security:authentication-manager id="samlAuthenticationManager"> 
     <security:authentication-provider ref="samlAuthenticationProvider"/> 
    </security:authentication-manager> 

    <!-- Logger for SAML messages and events --> 
    <bean id="samlLogger" class="org.springframework.security.saml.log.SAMLDefaultLogger"/> 


    <!-- Central storage of cryptographic keys --> 
    <bean id="keyManager" class="org.springframework.security.saml.key.JKSKeyManager"> 
     <constructor-arg value="file:///${user.home}/conf/samlKeyStore.jks"/> 
     <constructor-arg type="java.lang.String" value="nalle123"/> 
     <constructor-arg> 
      <map> 
       <entry key="apollo" value="nalle123"/> 
      </map> 
     </constructor-arg> 
     <constructor-arg type="java.lang.String" value="apollo"/> 
    </bean> 

    <!-- Entry point to initialize authentication, default values taken from properties file --> 
    <bean id="samlEntryPoint" class="org.springframework.security.saml.SAMLEntryPoint"> 
     <property name="defaultProfileOptions"> 
      <bean class="org.springframework.security.saml.websso.WebSSOProfileOptions"> 
       <property name="includeScoping" value="false"/> 
      </bean> 
     </property> 
    </bean> 

    <!-- IDP Discovery Service --> 
    <bean id="samlIDPDiscovery" class="org.springframework.security.saml.SAMLDiscovery"> 
     <!-- <property name="idpSelectionPath" value="/WEB-INF/security/idpSelection.jsp"/> --> 
    </bean> 

    <!-- Filter automatically generates default SP metadata --> 
    <bean id="metadataGeneratorFilter" class="org.springframework.security.saml.metadata.MetadataGeneratorFilter"> 
     <constructor-arg> 
      <bean class="org.springframework.security.saml.metadata.MetadataGenerator"> 
       <property name="entityId" value="devenv.abc.com"/> 
       <property name="signMetadata" value="false"/> 
      </bean> 
     </constructor-arg> 
    </bean> 






    <!-- The filter is waiting for connections on URL suffixed with filterSuffix and presents SP metadata there --> 
    <bean id="metadataDisplayFilter" class="org.springframework.security.saml.metadata.MetadataDisplayFilter"/> 

    <bean id="metadata" class="org.springframework.security.saml.metadata.CachingMetadataManager"> 
      <constructor-arg> 
       <list> 
        <bean class="org.opensaml.saml2.metadata.provider.HTTPMetadataProvider"> 
         <constructor-arg> 
          <value type="java.lang.String">http://idp.ssocircle.com/idp-meta.xml</value> 
         </constructor-arg> 
         <constructor-arg> 
          <value type="int">500000</value> 
         </constructor-arg> 
         <property name="parserPool" ref="parserPool"/> 
        </bean> 
       </list> 
      </constructor-arg> 
    </bean> 

    <!-- SAML Authentication Provider responsible for validating of received SAML messages --> 
    <bean id="samlAuthenticationProvider" class="org.springframework.security.saml.SAMLAuthenticationProvider"> 
     <property name="userDetails" ref="samlUserDetailsService" /> 
    </bean> 

    <!-- Custom user details service to attach app specific roles to federated identities --> 
    <bean id="samlUserDetailsService" class="com.mercatus.security.MercatusSAMLUserDetailsService"/> 

    <!-- Provider of default SAML Context --> 
    <bean id="contextProvider" class="org.springframework.security.saml.context.SAMLContextProviderImpl"/> 

    <!-- Processing filter for WebSSO profile messages --> 
    <bean id="samlWebSSOProcessingFilter" class="org.springframework.security.saml.SAMLProcessingFilter"> 
     <property name="authenticationManager" ref="samlAuthenticationManager"/> 
     <property name="authenticationSuccessHandler" ref="successRedirectHandler"/> 
    </bean> 

    <!-- Processing filter for WebSSO Holder-of-Key profile --> 
    <bean id="samlWebSSOHoKProcessingFilter" class="org.springframework.security.saml.SAMLWebSSOHoKProcessingFilter"> 
     <property name="authenticationManager" ref="samlAuthenticationManager"/> 
     <property name="authenticationSuccessHandler" ref="successRedirectHandler"/> 
    </bean> 

    <!-- Logout handler terminating local session --> 
    <bean id="logoutHandler" 
      class="org.springframework.security.web.authentication.logout.SecurityContextLogoutHandler"> 
     <property name="invalidateHttpSession" value="true"/> 
    </bean> 

    <!-- Override default logout processing filter with the one processing SAML messages --> 
    <bean id="samlLogoutFilter" class="org.springframework.security.saml.SAMLLogoutFilter"> 
     <constructor-arg ref="successLogoutHandler"/> 
     <constructor-arg ref="logoutHandler"/> 
     <constructor-arg ref="logoutHandler"/> 
    </bean> 

    <!-- Filter processing incoming logout messages --> 
    <!-- First argument determines URL user will be redirected to after successful global logout --> 
    <bean id="samlLogoutProcessingFilter" class="org.springframework.security.saml.SAMLLogoutProcessingFilter"> 
     <constructor-arg index="0" ref="successLogoutHandler"/> 
     <constructor-arg index="1" ref="logoutHandler"/> 
    </bean> 

    <!-- Class loading incoming SAML messages from httpRequest stream --> 
    <bean id="processor" class="org.springframework.security.saml.processor.SAMLProcessorImpl"> 
     <constructor-arg> 
      <list> 
       <ref bean="redirectBinding"/> 
       <ref bean="postBinding"/> 
       <ref bean="artifactBinding"/> 
       <ref bean="soapBinding"/> 
       <ref bean="paosBinding"/> 
      </list> 
     </constructor-arg> 
    </bean> 

    <!-- SAML 2.0 WebSSO Assertion Consumer --> 
    <bean id="webSSOprofileConsumer" class="org.springframework.security.saml.websso.WebSSOProfileConsumerImpl"/> 

    <!-- SAML 2.0 Holder-of-Key WebSSO Assertion Consumer --> 
    <bean id="hokWebSSOprofileConsumer" class="org.springframework.security.saml.websso.WebSSOProfileConsumerHoKImpl"/> 

    <!-- SAML 2.0 Web SSO profile --> 
    <bean id="webSSOprofile" class="org.springframework.security.saml.websso.WebSSOProfileImpl"/> 

    <!-- SAML 2.0 Holder-of-Key Web SSO profile --> 
    <bean id="hokWebSSOProfile" class="org.springframework.security.saml.websso.WebSSOProfileConsumerHoKImpl"/> 

    <!-- SAML 2.0 ECP profile --> 
    <bean id="ecpprofile" class="org.springframework.security.saml.websso.WebSSOProfileECPImpl"/> 

    <!-- SAML 2.0 Logout Profile --> 
    <bean id="logoutprofile" class="org.springframework.security.saml.websso.SingleLogoutProfileImpl"/> 

    <!-- Bindings, encoders and decoders used for creating and parsing messages --> 
    <bean id="postBinding" class="org.springframework.security.saml.processor.HTTPPostBinding"> 
     <constructor-arg ref="parserPool"/> 
     <constructor-arg ref="velocityEngine"/> 
    </bean> 

    <bean id="redirectBinding" class="org.springframework.security.saml.processor.HTTPRedirectDeflateBinding"> 
     <constructor-arg ref="parserPool"/> 
    </bean> 

    <bean id="artifactBinding" class="org.springframework.security.saml.processor.HTTPArtifactBinding"> 
     <constructor-arg ref="parserPool"/> 
     <constructor-arg ref="velocityEngine"/> 
     <constructor-arg> 
      <bean class="org.springframework.security.saml.websso.ArtifactResolutionProfileImpl"> 
       <constructor-arg> 
        <bean class="org.apache.commons.httpclient.HttpClient"> 
         <constructor-arg> 
          <bean class="org.apache.commons.httpclient.MultiThreadedHttpConnectionManager"/> 
         </constructor-arg> 
        </bean> 
       </constructor-arg> 
       <property name="processor"> 
        <bean class="org.springframework.security.saml.processor.SAMLProcessorImpl"> 
         <constructor-arg ref="soapBinding"/> 
        </bean> 
       </property> 
      </bean> 
     </constructor-arg> 
    </bean> 

    <bean id="soapBinding" class="org.springframework.security.saml.processor.HTTPSOAP11Binding"> 
     <constructor-arg ref="parserPool"/> 
    </bean> 

    <bean id="paosBinding" class="org.springframework.security.saml.processor.HTTPPAOS11Binding"> 
     <constructor-arg ref="parserPool"/> 
    </bean> 

    <!-- Initialization of OpenSAML library--> 
    <bean class="org.springframework.security.saml.SAMLBootstrap"/> 

    <!-- Initialization of the velocity engine --> 
    <bean id="velocityEngine" class="org.springframework.security.saml.util.VelocityFactory" factory-method="getEngine"/> 

    <!-- XML parser pool needed for OpenSAML parsing --> 
    <bean id="parserPool" class="org.opensaml.xml.parse.StaticBasicParserPool" init-method="initialize"> 
     <property name="builderFeatures"> 
      <map> 
       <entry key="http://apache.org/xml/features/dom/defer-node-expansion" value="false"/> 
      </map> 
     </property> 
    </bean> 

    <bean id="parserPoolHolder" class="org.springframework.security.saml.parser.ParserPoolHolder"/> 

</beans>

И мой пружинного security.xml файл приведен ниже

<?xml version="1.0" encoding="UTF-8"?> 
<beans xmlns="http://www.springframework.org/schema/beans" 
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 
    xmlns:context="http://www.springframework.org/schema/context" 
    xmlns:mvc="http://www.springframework.org/schema/mvc" 
    xmlns:util="http://www.springframework.org/schema/util" 
    xmlns:security="http://www.springframework.org/schema/security" 
    xmlns:oauth2="http://www.springframework.org/schema/security/oauth2" 
    xmlns:aop="http://www.springframework.org/schema/aop" 
    xsi:schemaLocation="http://www.springframework.org/schema/beans 
     http://www.springframework.org/schema/beans/spring-beans-3.0.xsd 
     http://www.springframework.org/schema/context 
     http://www.springframework.org/schema/context/spring-context-3.0.xsd 
     http://www.springframework.org/schema/mvc 
     http://www.springframework.org/schema/mvc/spring-mvc-3.0.xsd  
     http://www.springframework.org/schema/util 
     http://www.springframework.org/schema/util/spring-util-3.0.xsd 
     http://www.springframework.org/schema/security 
     http://www.springframework.org/schema/security/spring-security-3.1.xsd 
     http://www.springframework.org/schema/aop 
     http://www.springframework.org/schema/aop/spring-aop-3.0.xsd 
     http://www.springframework.org/schema/security/oauth2 
     http://www.springframework.org/schema/security/spring-security-oauth2-1.0.xsd"> 

    <aop:aspectj-autoproxy/> 

    <!-- Definition for logging aspect --> 
    <bean id="assumptionAuditLogAspect" class="com.mercatus.audit.AssumptionAuditLogAspect"/> 
    <!-- Definition for project security aspect --> 
    <bean id="projectSecurityAspect" class="com.mercatus.web.security.ProjectSecurityAspect"/> 
    <!--Definition for SavedRequestAwareAuthenticationSuccessHandler --> 
    <bean id="mercatusSavedRequestHandler" class="com.mercatus.security.MercatusSavedRequestHandler"/> 
    <bean id="mercatusLogoutSuccessHandler" class="com.mercatus.security.MercatusLogoutSuccessHandler"/> 
    <bean id="mercatusAjaxTimeoutFilter" class="com.mercatus.security.MercatusAjaxTimeoutFilter"/> 


    <security:http pattern="/oauth/token" create-session="stateless" 
     authentication-manager-ref="clientAuthenticationManager"> 
     <security:intercept-url pattern="/oauth/token" access="IS_AUTHENTICATED_FULLY" /> 
     <security:anonymous enabled="false" /> 
     <security:http-basic entry-point-ref="clientAuthenticationEntryPoint" /> 
     <security:custom-filter ref="clientCredentialsTokenEndpointFilter" 
      after="BASIC_AUTH_FILTER" /> 
     <security:access-denied-handler ref="oauthAccessDeniedHandler" /> 
    </security:http> 

    <!-- SAML starts --> 
    <security:http pattern="/saml/**" entry-point-ref="samlEntryPoint"> 
     <security:intercept-url pattern="/oauth/**" access="ROLE_USER" /> 
     <security:intercept-url pattern="/rest/**" access="ROLE_USER" /> 
     <security:intercept-url pattern="/saml" access="IS_AUTHENTICATED_FULLY"/> 
     <security:anonymous enabled="false" /> 
     <security:custom-filter before="FIRST" ref="metadataGeneratorFilter"/> 
     <security:custom-filter after="BASIC_AUTH_FILTER" ref="samlFilter"/> 
    </security:http> 

    <!-- SAML ends --> 

    <security:http pattern="/rest/**" access-decision-manager-ref="accessDecisionManager"> 
     <security:anonymous enabled="false" /> 
     <security:form-login login-page="/login.html" authentication-success-handler-ref="mercatusSavedRequestHandler" 
      authentication-failure-url="/login.jsp?login_error=true"/> 
     <security:intercept-url pattern="/rest/**" access="ROLE_USER" /> 
     <security:custom-filter ref="resourceServerFilter" before="PRE_AUTH_FILTER" /> 
     <security:custom-filter ref="mercatusAjaxTimeoutFilter" after="EXCEPTION_TRANSLATION_FILTER"/> 
     <security:access-denied-handler ref="oauthAccessDeniedHandler"/> 
    </security:http> 

    <security:http access-denied-page="/login.jsp?login_error=true"> 
     **<security:intercept-url pattern="/index.html" access="ROLE_USER" />** 
     <security:intercept-url pattern="/saml/**" access="ROLE_USER" /> 
     <security:intercept-url pattern="/oauth/**" access="ROLE_USER" />  
     <security:intercept-url pattern="/customer/*" access="IS_AUTHENTICATED_ANONYMOUSLY"/> 
     <security:intercept-url pattern="/**" access="IS_AUTHENTICATED_ANONYMOUSLY" /> 
     <security:form-login login-page="/login.html" authentication-success-handler-ref="mercatusSavedRequestHandler" 
      authentication-failure-url="/login.jsp?login_error=true"/> 
     <security:logout delete-cookies="true" invalidate-session="true" logout-success-url="/login.html"/> 
     <security:anonymous /> 
    </security:http> 

    <security:authentication-manager id="clientAuthenticationManager"> 
     <security:authentication-provider user-service-ref="clientDetailsUserService" /> 
    </security:authentication-manager> 

    <oauth2:authorization-server 
     client-details-service-ref="clientDetails" token-services-ref="tokenServices" 
     user-approval-handler-ref="userApprovalHandler"> 
     <oauth2:authorization-code /> 
     <oauth2:implicit /> 
     <oauth2:refresh-token /> 
     <oauth2:client-credentials /> 
     <oauth2:password /> 
    </oauth2:authorization-server> 

    <oauth2:resource-server id="resourceServerFilter" 
     resource-id="mercatus" token-services-ref="tokenServices" /> 

    <bean id="accessDecisionManager" class="org.springframework.security.access.vote.UnanimousBased"> 
     <constructor-arg> 
      <list> 
       <bean class="org.springframework.security.oauth2.provider.vote.ScopeVoter" /> 
       <bean class="org.springframework.security.access.vote.RoleVoter" /> 
       <bean class="org.springframework.security.access.vote.AuthenticatedVoter" /> 
      </list> 
     </constructor-arg> 
    </bean> 

    <security:global-method-security pre-post-annotations="enabled"/> 


    <security:authentication-manager alias="authenticationManager"> 
     <security:authentication-provider ref="mercatusAuthenticationProvider" /> 
    </security:authentication-manager> 

    <bean id="mercatusAuthenticationProvider" class="com.mercatus.security.MercatusAuthenticationProvider" /> 

</beans>

Может ли кто-нибудь помочь мне решить эту проблему. Спасибо заранее.

источник

2015-03-27 ManojP

+0

Можете ли вы загрузить приложение, которое вы развертываете, и разместить точную версию Tomcat, которую используете? Я попытаюсь воспроизвести вашу проблему. –

+0

@ VladimírSchäfer Я обновил свой вопрос с помощью файла saml-security и spring-security xml. – ManojP

+0

Я могу войти с помощью IDP с этими настройками. Однако я не могу получить доступ к ресурсам защиты, например index.html, выделенным полужирным шрифтом в xml. Он перенаправляет меня на страницу входа из-за перехвата URL. – ManojP

ответ

8

После того, как вы пробовали почти неделю, я, наконец, исправил эту проблему.

Во время отладки через eclipse я нашел основную причину внутри SAMLAuthenticationProvider, это вызвал проблему getEntitlements.

protected Collection<? extends GrantedAuthority> getEntitlements(SAMLCredential credential, Object userDetail) { 
     if (userDetail instanceof UserDetails) { 
      List<GrantedAuthority> authorities = new ArrayList<GrantedAuthority>(); 
      authorities.addAll(((UserDetails) userDetail).getAuthorities()); 
      return authorities; 
     } else { 
      return Collections.emptyList(); 
     } 
    }

Здесь он проверяет объект userDetail, является ли то класс InstanceOf UserDetails вернуть весь список авторитета в противном случае пустого список власти будет возвращаться.

Это нормально с подтверждением на основе формы, который возвращает объект UserDetails, но если пользователь вошел в систему через инициированный IDP, тогда объект типа UsernamePasswordAuthenticationToken будет возвращен. Следовательно, он получает пустой список allowedAuthourity с объектом userDetail.

Так что расширяет SAMLAuthenticationProvider внутри моего приложения и переопределить метод ниже

@Override 
public Collection<? extends GrantedAuthority> getEntitlements(SAMLCredential credential, Object userDetail) 
    { 
     logger.info("****** object is instance of UserDetails :"+ (userDetail instanceof UserDetails)); 

     if (userDetail instanceof UserDetails) 
     { 
      List<GrantedAuthority> authorities = new ArrayList<GrantedAuthority>(); 
      authorities.addAll(((UserDetails) userDetail).getAuthorities()); 
      return authorities; 
     } 
     else if(userDetail instanceof UsernamePasswordAuthenticationToken) 
     { 
      List<GrantedAuthority> authorities = new ArrayList<GrantedAuthority>(); 
      authorities.addAll(((UsernamePasswordAuthenticationToken) userDetail).getAuthorities()); 
      return authorities; 

     } else { 
      return Collections.emptyList(); 
     } 
    }

Тогда Даю ссылку на заказ AuthenticationProvider в SAML-security.xml файл с моей пользовательской ссылкой класса SAMLUserDetailsService.

<bean id="samlAuthenticationProvider" class="com.mercatus.security.MercatusSAMLAuthenticationProvider"> 
     <property name="userDetails" ref="samlUserDetailsService" /> 
    </bean> 

    <bean id="samlUserDetailsService" class="com.mercatus.security.MercatusSAMLUserDetailsService"/>

Вышеупомянутая конфигурация спасла меня. Я могу получить доступ к защищенному ресурсу после входа в систему.

Я потратил целую неделю на отладку внутри FilterChainProxy, много других фильтров и кое-где из-за URL-адреса перехватчика, который перенаправлялся к FilterChainProxy.

Я публикую подробную информацию, так как это может быть полезно для тех, кто сталкивается с подобной проблемой.

источник

2015-04-02 08:22:36 ManojP

+0

Привет, Маной, я сталкиваюсь с той же проблемой. Ошибка подобна «Объект проверки подлинности, не найденный в securitycontext». Я внедряю интеграцию Spring Saml в моем микросервисе. Можете ли вы дать рекомендации по тому же вопросу? Также было бы полезно, если бы вы могли подробно рассказать о своей пользовательской службе SAMLUserDetailsService. Спасибо. –

 Смежные вопросы

  • Нет связанных вопросов^_^