使用 Spring Boot 实现 2 路 SSL

Question

我正在创建一些宁静的 Web 服务，并正在使用 Spring-Boot 创建一个嵌入式 tomcat 容器。

要求之一是这实现了 2 路 SSL。 我一直在查看 HttpSecurity 对象，并且可以使用以下方法使其仅通过 SSL 通道运行 Web 服务：-

@Override
protected void configure(HttpSecurity http) throws Exception {

    System.out.println("CONFIGURED");

    http
        // ...
        .requiresChannel()
            .anyRequest().requiresSecure();
}

我似乎找不到一种使 Web 服务只能由提供有效客户端证书的应用程序访问的方法。

我只有 SSL 的基本知识，因此即使是正确方向的一般指针也将不胜感激。

正在部署的服务器将混合应用程序 - 这是唯一需要使用 2-way SSL 锁定的服务器。 我真正想要的是一种锁定单个应用程序以仅接受客户端证书的方法。

Answer 1

我遇到了类似的问题，并认为我会分享我带来的解决方案。

首先，您需要了解 SSL 证书身份验证将在您的 Web 服务器端处理（参见 dur 的解释，使用“clientAuth=want”设置）。 然后，必须配置您的 Web 应用程序以处理提供的（和允许的）证书，将其映射到用户等。

我与您的细微差别是我将 Spring Boot 应用程序打包到 WAR 存档中，然后将其部署在现有的 Tomcat 应用程序服务器上。

我的 Tomcat 的 server.xml 配置文件定义了一个 HTTPS 连接器，如下所示：

<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
    maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
    keystoreFile="/opt/tomcat/conf/key-stores/ssl-keystore.jks"
    keystorePass=“some-complex-password“
    clientAuth="want" sslProtocol="TLS"
    truststoreFile="/opt/tomcat/conf/trust-stores/ssl-truststore.jks"
    truststorePass=“some-other-complex-password” />

避免混淆的小注释：keystoreFile 包含用于 SSL 的证书/私钥对（仅），而 truststoreFile 包含允许的用于客户端 SSL 身份验证的 CA 证书（请注意，您也可以将客户端证书直接添加到该信任库中） .

如果您在 Spring Boot 应用程序中使用嵌入式 tomcat 容器，则应该能够使用以下属性键/值在应用程序的属性文件中配置这些设置：

server.ssl.key-store=/opt/tomcat/conf/key-stores/ssl-keystore.jks
server.ssl.key-store-password=some-complex-password
server.ssl.trust-store=/opt/tomcat/conf/trust-stores/ssl-truststore.jks
server.ssl.trust-store-password=some-other-complex-password
server.ssl.client-auth=want

然后，在我的网络应用程序上，我声明了一个特定的 SSL 配置，如下所示：

@Configuration
@EnableWebSecurity
//In order to use @PreAuthorise() annotations later on...
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SSLAuthConfiguration extends WebSecurityConfigurerAdapter {

    @Value("${allowed.user}")
    private String ALLOWED_USER;

    @Value("${server.ssl.client.regex}")
    private String CN_REGEX;

    @Autowired
    private UserDetailsService userDetailsService;

    @Override
    protected void configure (final HttpSecurity http) throws Exception {
        http
            .csrf().disable()
            .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
            .and()
                .authorizeRequests()
                .antMatchers("/url-path-to-protect").authenticated() //Specify the URL path(s) requiring authentication...
            .and()
                .x509() //... and that x509 authentication is enabled
                    .subjectPrincipalRegex(CN_REGEX)
                    .userDetailsService(userDetailsService);
    }

    @Autowired
    //Simplified case, where the application has only one user...
    public void configureGlobal (final AuthenticationManagerBuilder auth) throws Exception {
        //... whose username is defined in the application's properties.
        auth
            .inMemoryAuthentication()
                .withUser(ALLOWED_USER).password("").roles("SSL_USER");
    }

}

然后我需要声明 UserDetailsS​​ervice bean（例如在我的应用程序的主类中）：

@Value("${allowed.user}")
private String ALLOWED_USER;

@Bean
public UserDetailsService userDetailsService () {

    return new UserDetailsService() {

        @Override
        public UserDetails loadUserByUsername(final String username) throws UsernameNotFoundException {
            if (username.equals(ALLOWED_USER)) {
                final User user = new User(username, "", AuthorityUtils.createAuthorityList("ROLE_SSL_USER"));
                return user;
            }
            return null;
        }
    };
}

就是这样！ 然后，我可以将 @PreAuthorize(“hasRole('ROLE_SSL_USER')”) 注释添加到我想要保护的方法中。

总结一下，认证流程如下：

1. 用户提供 SSL 证书；
2. Tomcat 验证其信任库；
3. 自定义 WebSecurityConfigurerAdapter 从证书的 CN 检索“用户名”；
4. 应用程序对与检索到的用户名关联的用户进行身份验证；
5. 在方法级别，如果使用@PreAuthorize("hasRole('SSL_USER')") 进行注释，应用程序将检查用户是否具有所需的角色。

Answer 2

您可以配置clientAuth=want ，请参阅Apache Tomcat 8 配置参考：

如果您希望 SSL 堆栈在接受连接之前需要来自客户端的有效证书链，请设置为true 。 如果您希望 SSL 堆栈请求客户端证书，则设置为want ，但如果没有提供，则不会失败。 除非客户端请求受使用CLIENT-CERT身份验证的安全约束保护的资源，否则false值（这是默认值）将不需要证书链。

然后使用Spring Security - X.509 Authentication读取客户端证书：

您还可以将 SSL 与“相互身份验证”一起使用； 然后，作为 SSL 握手的一部分，服务器将向客户端请求有效证书。 服务器将通过检查其证书是否由可接受的权威机构签署来验证客户端。 如果提供了有效证书，则可以通过应用程序中的 servlet API 获取。 Spring Security X.509 模块使用过滤器提取证书。 它将证书映射到应用程序用户并加载该用户的一组授予权限以用于标准 Spring Security 基础设施。

和

如果您仍然希望 SSL 连接成功，即使客户端不提供证书， clientAuth也可以设置为want的。 不提供证书的客户端将无法访问 Spring Security 保护的任何对象，除非您使用非 X.509 身份验证机制，例如表单身份验证。