使用 Spring Boot 拦截 SAML Http 请求
Posted
技术标签:
【中文标题】使用 Spring Boot 拦截 SAML Http 请求【英文标题】:SAML Http Request Intercept with Spring Boot 【发布时间】:2018-07-11 03:20:25 【问题描述】:关于这个 SO 问题Add request parameter to SAML request using Spring Security SAML
我想用我自己的替换默认的 HTTPRedirectDeflateBinding bean,它有一个自定义 HTTPRedirectDeflateEncoder 来将查询参数添加到我的 SAML 请求中。
我正在尝试使用 Spring Boot @Bean 自动配置注释来实现这一点,并且对于 Java 环境来说是新手,我似乎无法让它正常工作。我可以看到我的 bean 在启动时正在注册,但出站 HTTP 请求没有被它拦截,看起来原来的 redirectBinding 仍然是。
这是我添加到配置类中的 bean:
@Bean(name="redirectBinding")
@Primary
public HTTPRedirectDeflateBinding HTTPRedirectDeflateBinding()
return new HTTPRedirectDeflateBinding(null, new My_SAML_HttpRedirectDeflateEncoder());
这是我试图传递给重定向绑定的编码器
public class My_SAML_HttpRedirectDeflateEncoder extends HTTPRedirectDeflateEncoder
@Override
protected String buildRedirectURL(SAMLMessageContext messagesContext, String endpointURL, String message)
throws MessageEncodingException
URLBuilder urlBuilder = new URLBuilder(endpointURL);
List<Pair<String, String>> queryParams = urlBuilder.getQueryParams();
if (messagesContext.getOutboundSAMLMessage() instanceof RequestAbstractType)
queryParams.add(new Pair<String, String>("service", "myService"));
queryParams.add(new Pair<String, String>("serviceType", "dev"));
return urlBuilder.buildURL();
我还尝试了此 SO 响应 Spring Boot Adding Http Request Interceptors 提出的解决方案 类似的结果,我的 HandlerInterceptor bean 已注册但没有被拦截。我觉得我错过了一个小细节。任何帮助将不胜感激。
【问题讨论】:
【参考方案1】:1.我认为您需要使用超级方法 buildRedirectURL 然后添加剥离或自定义查询参数,如下所示:
@Override
protected String buildRedirectURL(SAMLMessageContext messagesContext, String endpointURL, String message) throws MessageEncodingException
URLBuilder redirectUrlBuilder = new URLBuilder(super.buildRedirectURL(messagesContext, endpointURL, message));
List<Pair<String, String>> queryParams = redirectUrlBuilder.getQueryParams();
queryParams.addAll(new URLBuilder(endpointURL).getQueryParams());// add stripped query params
return redirectUrlBuilder.buildURL();
2.我不确定是否可以将 null 作为解码器传递给 HTTPRedirectDeflateBinding。替代方案建议使用默认解码器,它接受 ParserPool。
【讨论】:
【参考方案2】:我知道这个问题已经很老了,但我在同样的问题上苦苦挣扎。我添加答案以防万一它可以帮助其他人。
只有在使用GET 绑定时才会调用httpRedirectDeflateBinding。在我的例子中,我们使用POST 绑定WebSSOProfileOptions。我们的配置如下所示:
@Bean
WebSSOProfileOptions defaultWebSSOProfileOptions()
WebSSOProfileOptions webSSOProfileOptions = new WebSSOProfileOptions();
webSSOProfileOptions.setIncludeScoping(false);
webSSOProfileOptions.setAllowCreate(true);
webSSOProfileOptions.setNameID("");
webSSOProfileOptions.setForceAuthN(true);
//This line is for enabling POST request
webSSOProfileOptions.setBinding("urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST");
return webSSOProfileOptions;
在这种情况下,自定义覆盖应该是HTTPPostEncoder。将自定义类注入HTTPPostBinding,自定义逻辑应该会被执行。
【讨论】:
【参考方案3】:您可以重新声明 SAMLProcessor bean - 由 SAMLProcessingFilter 使用 - 并在其绑定列表中添加您自己的绑定 bean。这是一个例子,我在我的项目中使用过。
@Bean
public SAMLProcessorImpl processor()
Collection<SAMLBinding> bindings = new ArrayList<>();
bindings.add(httpRedirectDeflateBinding());
bindings.add(httpPostBinding());
bindings.add(artifactBinding(parserPool(), velocityEngine()));
bindings.add(httpSOAP11Binding());
bindings.add(httpPAOS11Binding());
return new SAMLProcessorImpl(bindings);
希望它对你有用。
【讨论】:
我这样做了,并将我的扩展重定向绑定与我的扩展编码器放在它的构造函数中,我可以从调试器中看到它注册但我的 buildRedirectUrl 没有被访问。我用“@Bean”、“@AutoConfigureOrder(Ordered.HIGHEST_PRECEDENCE)”和“@Primary”标记了我的 bean 工厂方法,但没有成功以上是关于使用 Spring Boot 拦截 SAML Http 请求的主要内容,如果未能解决你的问题,请参考以下文章
是否有用于将 SAML 与 Spring Boot 应用程序集成的 Spring Boot SAML 客户端?
使用 SAML 对 Spring Boot 应用程序进行身份验证的问题
Angular(SPA) 前端和 Spring Boot 后端的 SAML 2.0 集成