堆棧內存溢出
  簡體   English   中英

在 Spring Boot 中保護根 URL

[英]Securing the root URL in Spring Boot

 原文  2019-06-04 09:41:51       java/ spring/ spring-boot/ keycloak

問題描述

我正在嘗試使用 Keycloak 保護 Spring Boot 應用程序並通過 Java 而不是 XML 對其進行配置。 我的 SecurityConfig 類如下所示:

@Configuration
@EnableWebSecurity
@ComponentScan(basePackageClasses = KeycloakSecurityComponents.class,
        excludeFilters = @ComponentScan.Filter(type = FilterType.REGEX, pattern = "org.keycloak.adapters.springsecurity.management.HttpSessionManager"))
public class SecurityConfig extends KeycloakWebSecurityConfigurerAdapter {

    @Autowired
    public void configureGlobal(AuthenticationManagerBuilder auth) {
        KeycloakAuthenticationProvider keycloakAuthenticationProvider = keycloakAuthenticationProvider();
        keycloakAuthenticationProvider.setGrantedAuthoritiesMapper(new SimpleAuthorityMapper());
        auth.authenticationProvider(keycloakAuthenticationProvider);
    }

    @Bean
    public KeycloakSpringBootConfigResolver keycloakConfigResolver() {
        return new KeycloakSpringBootConfigResolver();
    }

    @Bean
    @Override
    protected SessionAuthenticationStrategy sessionAuthenticationStrategy() {
        return new RegisterSessionAuthenticationStrategy(new SessionRegistryImpl());
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        super.configure(http);
        http.authorizeRequests()
                .anyRequest().hasRole("admin");
    }
}

根據我的理解,如果用戶當前未登錄,則對anyRequest的調用應確保所有請求都被重定向到 KeyCloak 登錄頁面。但是,這似乎只適用於不是根 URL 的 URL。 該項目目前有兩個端點,“/”“/sync”。 嘗試正確訪問同步端點會重定向到登錄頁面。 嘗試訪問根頁面沒有,所以它似乎被忽略了。 我也試過使用antMatchers("*", "**", "/", "/*", "/**").hasRole("admin") ,但這些模式似乎都沒有導致根要保護的 URL。

罪魁禍首似乎是對super.configure(http)的調用。 然而,這會執行一些相對重要的事情,比如 CSRF 保護、登錄/退出端點等。 下面是提取到方法中的等效代碼,而不是超級調用:

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.csrf().requireCsrfProtectionMatcher(this.keycloakCsrfRequestMatcher())
                .and().sessionManagement().sessionAuthenticationStrategy(this.sessionAuthenticationStrategy())
                .and().addFilterBefore(this.keycloakPreAuthActionsFilter(), LogoutFilter.class)
                .addFilterBefore(this.keycloakAuthenticationProcessingFilter(), BasicAuthenticationFilter.class)
                .addFilterBefore(this.keycloakAuthenticatedActionsFilter(), BasicAuthenticationFilter.class)
                .addFilterAfter(this.keycloakSecurityContextRequestFilter(), SecurityContextHolderAwareRequestFilter.class)
                .exceptionHandling().authenticationEntryPoint(this.authenticationEntryPoint())
                .and().logout().addLogoutHandler(this.keycloakLogoutHandler()).logoutUrl("/sso/logout").permitAll().logoutSuccessUrl("/");

        http.authorizeRequests()
                .anyRequest().hasRole("admin");
    }

顛倒超級調用和我自己的授權碼之間的順序也沒有導致根 URL 受到保護。

2 個解決方案

解決方案1
 5  2020-08-26 20:23:00

默認情況下,logoutSuccessUrl 是“/”,因此是不安全的,為了保護“/”,您需要更改它。

.and().logout().logoutSuccessUrl("/logout-success")

我還建議您使用 keycloak-spring-boot-starter

解決方案2
 0  2020-01-28 08:19:44

我剛剛遇到了同樣的問題,您需要將 logoutSuccessUrl 更改為要保護的“/”以外的其他內容。

.and().logout().addLogoutHandler(this.keycloakLogoutHandler()).logoutUrl("/sso/logout").permitAll().logoutSuccessUrl("/");


.and().logout().addLogoutHandler(this.keycloakLogoutHandler()).logoutUrl("/sso/logout").permitAll().logoutSuccessUrl("/somethingelse");

暫無
暫無

聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 在Spring Boot中使用令牌保護API 使用 API 密鑰和秘密保護 Spring 啟動 API 保護 Spring Boot 2 Actuator Prometheus 端點 通過權限/角色在Spring Boot中保護端點 如何使用Apache Tomcat在Spring Boot中設置根URL? 使用用戶角色和 Spring Security 保護 URL 為什么spring boot web安全登錄頁面404? 保護Spring Boot Data Rest應用程序中的JSON-PATCH路徑 使用oAuth2保護Spring Boot API | 過濾用戶 Spring 啟動 URL 映射
相關標簽
 
粵ICP備18138465號  © 2020-2024 STACKOOM.COM