使用 Spring Boot 拦截 SAML Http 请求

Question

关于这个 SO 问题Add request parameter to SAML request using Spring Security SAML

我想用我自己的替换默认的 HTTPRedirectDeflateBinding bean，它有一个自定义 HTTPRedirectDeflateEncoder 来将查询参数添加到我的 SAML 请求中。

我正在尝试使用 Spring Boot @Bean 自动配置注释来实现这一点，并且对于 Java 环境来说是新手，我似乎无法让它正常工作。我可以看到我的 bean 在启动时正在注册，但出站 HTTP 请求没有被它拦截，看起来原来的 redirectBinding 仍然是。

这是我添加到配置类中的 bean：

@Bean(name="redirectBinding")
@Primary
public HTTPRedirectDeflateBinding HTTPRedirectDeflateBinding() {
    return new HTTPRedirectDeflateBinding(null, new My_SAML_HttpRedirectDeflateEncoder());
}

这是我试图传递给重定向绑定的编码器

public class My_SAML_HttpRedirectDeflateEncoder extends HTTPRedirectDeflateEncoder {

    @Override
    protected String buildRedirectURL(SAMLMessageContext messagesContext, String endpointURL, String message)
            throws MessageEncodingException {
        URLBuilder urlBuilder = new URLBuilder(endpointURL);
        List<Pair<String, String>> queryParams = urlBuilder.getQueryParams();
        
        if (messagesContext.getOutboundSAMLMessage() instanceof RequestAbstractType) {
            queryParams.add(new Pair<String, String>("service", "myService"));
            queryParams.add(new Pair<String, String>("serviceType", "dev"));
        }
        
        return urlBuilder.buildURL();
    }
}

我还尝试了此 SO 响应 Spring Boot Adding Http Request Interceptors 提出的解决方案 类似的结果，我的 HandlerInterceptor bean 已注册但没有被拦截。我觉得我错过了一个小细节。任何帮助将不胜感激。

Answer 1

1.我认为您需要使用超级方法 buildRedirectURL 然后添加剥离或自定义查询参数，如下所示：

@Override
protected String buildRedirectURL(SAMLMessageContext messagesContext, String endpointURL, String message) throws MessageEncodingException {
    URLBuilder redirectUrlBuilder = new URLBuilder(super.buildRedirectURL(messagesContext, endpointURL, message));
    List<Pair<String, String>> queryParams = redirectUrlBuilder.getQueryParams();
    queryParams.addAll(new URLBuilder(endpointURL).getQueryParams());// add stripped query params
    return redirectUrlBuilder.buildURL();
}

2.我不确定是否可以将 null 作为解码器传递给 HTTPRedirectDeflateBinding。替代方案建议使用默认解码器，它接受 ParserPool。

Answer 2

我知道这个问题已经很老了，但我在同样的问题上苦苦挣扎。我添加答案以防万一它可以帮助其他人。

只有在使用GET 绑定时才会调用httpRedirectDeflateBinding。在我的例子中，我们使用POST 绑定WebSSOProfileOptions。我们的配置如下所示：

    @Bean
    WebSSOProfileOptions defaultWebSSOProfileOptions() {
        WebSSOProfileOptions webSSOProfileOptions = new WebSSOProfileOptions();
        webSSOProfileOptions.setIncludeScoping(false);
        webSSOProfileOptions.setAllowCreate(true);
        webSSOProfileOptions.setNameID("");
        webSSOProfileOptions.setForceAuthN(true);
        //This line is for enabling POST request
        webSSOProfileOptions.setBinding("urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST");
        return webSSOProfileOptions;
    }

在这种情况下，自定义覆盖应该是HTTPPostEncoder。将自定义类注入HTTPPostBinding，自定义逻辑应该会被执行。

Answer 3

您可以重新声明 SAMLProcessor bean - 由 SAMLProcessingFilter 使用 - 并在其绑定列表中添加您自己的绑定 bean。这是一个例子，我在我的项目中使用过。

@Bean
public SAMLProcessorImpl processor() {
    Collection<SAMLBinding> bindings = new ArrayList<>();
    bindings.add(httpRedirectDeflateBinding());
    bindings.add(httpPostBinding());
    bindings.add(artifactBinding(parserPool(), velocityEngine()));
    bindings.add(httpSOAP11Binding());
    bindings.add(httpPAOS11Binding());

    return new SAMLProcessorImpl(bindings);
}

希望它对你有用。