使用 Spring Boot 拦截 SAML Http 请求

Posted

技术标签:

【中文标题】使用 Spring Boot 拦截 SAML Http 请求【英文标题】:SAML Http Request Intercept with Spring Boot 【发布时间】:2018-07-11 03:20:25 【问题描述】:

关于这个 SO 问题Add request parameter to SAML request using Spring Security SAML

我想用我自己的替换默认的 HTTPRedirectDeflateBinding bean,它有一个自定义 HTTPRedirectDeflateEncoder 来将查询参数添加到我的 SAML 请求中。

我正在尝试使用 Spring Boot @Bean 自动配置注释来实现这一点,并且对于 Java 环境来说是新手,我似乎无法让它正常工作。我可以看到我的 bean 在启动时正在注册,但出站 HTTP 请求没有被它拦截,看起来原来的 redirectBinding 仍然是。

这是我添加到配置类中的 bean:

@Bean(name="redirectBinding")
@Primary
public HTTPRedirectDeflateBinding HTTPRedirectDeflateBinding() 
    return new HTTPRedirectDeflateBinding(null, new My_SAML_HttpRedirectDeflateEncoder());

这是我试图传递给重定向绑定的编码器

public class My_SAML_HttpRedirectDeflateEncoder extends HTTPRedirectDeflateEncoder 

    @Override
    protected String buildRedirectURL(SAMLMessageContext messagesContext, String endpointURL, String message)
            throws MessageEncodingException 
        URLBuilder urlBuilder = new URLBuilder(endpointURL);
        List<Pair<String, String>> queryParams = urlBuilder.getQueryParams();
        
        if (messagesContext.getOutboundSAMLMessage() instanceof RequestAbstractType) 
            queryParams.add(new Pair<String, String>("service", "myService"));
            queryParams.add(new Pair<String, String>("serviceType", "dev"));
        
        
        return urlBuilder.buildURL();
    

我还尝试了此 SO 响应 Spring Boot Adding Http Request Interceptors 提出的解决方案 类似的结果,我的 HandlerInterceptor bean 已注册但没有被拦截。我觉得我错过了一个小细节。任何帮助将不胜感激。

【问题讨论】:

【参考方案1】:

1.我认为您需要使用超级方法 buildRedirectURL 然后添加剥离或自定义查询参数,如下所示:

@Override
protected String buildRedirectURL(SAMLMessageContext messagesContext, String endpointURL, String message) throws MessageEncodingException 
    URLBuilder redirectUrlBuilder = new URLBuilder(super.buildRedirectURL(messagesContext, endpointURL, message));
    List<Pair<String, String>> queryParams = redirectUrlBuilder.getQueryParams();
    queryParams.addAll(new URLBuilder(endpointURL).getQueryParams());// add stripped query params
    return redirectUrlBuilder.buildURL();

2.我不确定是否可以将 null 作为解码器传递给 HTTPRedirectDeflateBinding。替代方案建议使用默认解码器,它接受 ParserPool。

【讨论】:

【参考方案2】:

我知道这个问题已经很老了,但我在同样的问题上苦苦挣扎。我添加答案以防万一它可以帮助其他人。

只有在使用GET 绑定时才会调用httpRedirectDeflateBinding。在我的例子中,我们使用POST 绑定WebSSOProfileOptions。我们的配置如下所示:

    @Bean
    WebSSOProfileOptions defaultWebSSOProfileOptions() 
        WebSSOProfileOptions webSSOProfileOptions = new WebSSOProfileOptions();
        webSSOProfileOptions.setIncludeScoping(false);
        webSSOProfileOptions.setAllowCreate(true);
        webSSOProfileOptions.setNameID("");
        webSSOProfileOptions.setForceAuthN(true);
        //This line is for enabling POST request
        webSSOProfileOptions.setBinding("urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST");
        return webSSOProfileOptions;
    

在这种情况下,自定义覆盖应该是HTTPPostEncoder。将自定义类注入HTTPPostBinding,自定义逻辑应该会被执行。

【讨论】:

【参考方案3】:

您可以重新声明 SAMLProcessor bean - 由 SAMLProcessingFilter 使用 - 并在其绑定列表中添加您自己的绑定 bean。这是一个例子,我在我的项目中使用过。

@Bean
public SAMLProcessorImpl processor() 
    Collection<SAMLBinding> bindings = new ArrayList<>();
    bindings.add(httpRedirectDeflateBinding());
    bindings.add(httpPostBinding());
    bindings.add(artifactBinding(parserPool(), velocityEngine()));
    bindings.add(httpSOAP11Binding());
    bindings.add(httpPAOS11Binding());

    return new SAMLProcessorImpl(bindings);

希望它对你有用。

【讨论】:

我这样做了,并将我的扩展重定向绑定与我的扩展编码器放在它的构造函数中,我可以从调试器中看到它注册但我的 buildRedirectUrl 没有被访问。我用“@Bean”、“@AutoConfigureOrder(Ordered.HIGHEST_PRECEDENCE)”和“@Primary”标记了我的 bean 工厂方法,但没有成功

以上是关于使用 Spring Boot 拦截 SAML Http 请求的主要内容,如果未能解决你的问题,请参考以下文章

是否有用于将 SAML 与 Spring Boot 应用程序集成的 Spring Boot SAML 客户端?

使用 SAML 对 Spring Boot 应用程序进行身份验证的问题

Angular(SPA) 前端和 Spring Boot 后端的 SAML 2.0 集成

Spring Boot 和 SAML 2.0

没有 Spring Boot 的 Spring Security SAML 身份元数据

在 ELB 后面使用带有 Spring Boot 的 SAML 重定向到 http 而不是 https