具有X.509证书的Spring Security[英] Spring Security With X.509 Certificate

问题描述

我在尝试配置 Spring Security 3.0.0 来保护应用程序时慢慢变得疯狂.

我已将服务器(码头)配置为要求客户端身份验证(使用智能卡).但是,我似乎无法正确实现 applicationContext-security.xml 和 UserDetailsS​​ervice.

首先,从应用上下文文件:

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
  xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
   xmlns:context="http://www.springframework.org/schema/context"
   xmlns:security="http://www.springframework.org/schema/security"
   xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-3.0.xsd
            http://www.springframework.org/schema/context http://www.springframework.org/schema/context/spring-context-3.0.xsd
            http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security-3.0.xsd">


<security:global-method-security secured-annotations="enabled" />

<security:http auto-config="true">
    <security:intercept-url pattern="/**" access="IS_AUTHENTICATED_ANONYMOUSLY" requires-channel="https"/>
    <security:x509 subject-principal-regex="CN=(.*?)," user-service-ref="accountService" />
</security:http>

<bean id="accountService" class="com.app.service.AccountServiceImpl"/>

UserDetailsS​​ervice 如下所示:

public class AccountServiceImpl implements AccountService, UserDetailsService {

private static final Log log = LogFactory.getLog(AccountServiceImpl.class);

private AccountDao accountDao;

@Autowired
public void setAccountDao(AccountDao accountDao) {
    this.accountDao = accountDao;
}

public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException, DataAccessException {

    log.debug("called loadUserByUsername()");
    System.out.println("called loadByUsername()");

    Account result = accountDao.getByEdpi(s);
    return result;

}

}

应用程序有一个带有登录按钮的"首页",因此访问该页面不需要任何类型的身份验证.

感谢任何帮助.

推荐答案

应用程序有一个带有登录按钮的"首页",因此访问该页面不需要任何类型的身份验证.

这里出了点问题.如果您将您的 servlet 容器设置为 require 客户端身份验证,则您不能拥有这样的开放页面,在这种情况下,身份验证握手对于没有智能卡的用户将不会成功,并且他们甚至不会看到容器错误页面——而是浏览器错误.

可以通过制作容器来允许客户端身份验证,并使登录页面对匿名用户开放,并通过 SpringSec 保护其他页面.但我不建议将这个用于智能卡 PKI 应用程序.智能卡身份验证意味着安全重要性,并且让非智能卡用户在容器握手时尽早被淘汰更为可靠.在这种情况下,您仍然可以在另一个端口上拥有用户友好的登录页面,并带有链接到您的应用程序的"登录"按钮.

如果您需要有关 SpringSecurity 设置的帮助,请在您的帖子中添加有关问题的更多信息.

本文地址:https://www.itbaoku.cn/post/978624.html