X.509 証明書を使用した Spring Security
-
19-09-2019 - |
質問
アプリケーションを保護するために Spring Security 3.0.0 を構成しようとして、徐々に気が狂ってきています。
クライアント認証(スマートカードを使用)を要求するようにサーバー(jetty)を設定しました。ただし、applicationContext-security.xml と UserDetailsService の実装を正しく取得できないようです。
まず、アプリケーション コンテキスト ファイルから次のようにします。
<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xmlns:context="http://www.springframework.org/schema/context"
xmlns:security="http://www.springframework.org/schema/security"
xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-3.0.xsd
http://www.springframework.org/schema/context http://www.springframework.org/schema/context/spring-context-3.0.xsd
http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security-3.0.xsd">
<security:global-method-security secured-annotations="enabled" />
<security:http auto-config="true">
<security:intercept-url pattern="/**" access="IS_AUTHENTICATED_ANONYMOUSLY" requires-channel="https"/>
<security:x509 subject-principal-regex="CN=(.*?)," user-service-ref="accountService" />
</security:http>
<bean id="accountService" class="com.app.service.AccountServiceImpl"/>
UserDetailsService は次のようになります。
public class AccountServiceImpl implements AccountService, UserDetailsService {
private static final Log log = LogFactory.getLog(AccountServiceImpl.class);
private AccountDao accountDao;
@Autowired
public void setAccountDao(AccountDao accountDao) {
this.accountDao = accountDao;
}
public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException, DataAccessException {
log.debug("called loadUserByUsername()");
System.out.println("called loadByUsername()");
Account result = accountDao.getByEdpi(s);
return result;
}
}
アプリケーションにはログイン ボタンのある「フロント ページ」があるため、そこへのアクセスにはいかなる種類の認証も必要ありません。
助けていただければ幸いです。
解決
アプリケーションにはログイン ボタンのある「フロント ページ」があるため、そこへのアクセスにはいかなる種類の認証も必要ありません。
何かが間違っています。サーブレットコンテナを次のように設定すると、 必要とする クライアント認証では、そのようなすべてに公開されたページを持つことはできません。その場合、スマートカードのないユーザーは認証ハンドシェイクが成功せず、コンテナー エラー ページさえ表示されません。代わりにブラウザー エラーが表示されます。
コンテナを作成して行うことができます 許可する クライアント認証とログインページを匿名ユーザーに公開し、SpringSec によって他のページを保護します。ただし、スマートカード PKI アプリにはこれをお勧めしません。スマートカード認証はセキュリティの重要性を意味しており、スマートカード以外のユーザーをコンテナーのハンドシェイクの早い段階で除外する方が信頼性が高くなります。その場合でも、アプリにリンクされた「ログイン」ボタンを備えたユーザーフレンドリーなログインページを別のポートに表示できます。
SpringSecurity のセットアップに関するサポートが必要な場合は、問題に関する詳細情報を投稿に追加してください。
他のヒント
構成の観点から見ると、これで問題ないようです。表示されているエラーは何ですか?UserDetailsService が X.509 証明書の CN を使用して呼び出されていることがわかりますか?