Spring SAML - 在运行时读取和刷新 IdP 元数据

【问题标题】:Spring SAML - Reading and refreshing IdP metadata at runtimeSpring SAML - 在运行时读取和刷新 IdP 元数据
【发布时间】:2017-08-11 22:20:31
【问题描述】:

我正在使用带有 Spring-SAML 扩展的 WSO2 和 SSOCircle。我们此时正在测试配置,并在我们的 applicationContext 中定义了 2 个 IdP 和 2 个 SP。因此,目前,我们的 spring xml 配置中有 2 个静态定义的 IdP,这是有效的。出于测试目的,我们使用 CachingMetadataManager 和 ResourceBackedMetadataProvider 的组合,因此 IdP 元数据构建在我们的 WAR 存档中。示例:

<bean id="metadata" class="org.springframework.security.saml.metadata.CachingMetadataManager">
<constructor-arg>
  <list>
    <bean class="org.springframework.security.saml.metadata.ExtendedMetadataDelegate">
      <constructor-arg>
        <bean class="org.opensaml.saml2.metadata.provider.ResourceBackedMetadataProvider">
          <constructor-arg>
            <bean class="java.util.Timer"/>
          </constructor-arg>
          <constructor-arg>
            <bean class="org.opensaml.util.resource.ClasspathResource">
              <constructor-arg value="/metadata/wso2idp_metadata.xml"/>
            </bean>
          </constructor-arg>
          <property name="parserPool" ref="parserPool"/>
        </bean>
      </constructor-arg>
      <constructor-arg>
        <bean class="org.springframework.security.saml.metadata.ExtendedMetadata">
        </bean>
      </constructor-arg>
    </bean>
    <bean class="org.springframework.security.saml.metadata.ExtendedMetadataDelegate">
      <constructor-arg>
        <bean class="org.opensaml.saml2.metadata.provider.ResourceBackedMetadataProvider">
          <constructor-arg>
            <bean class="java.util.Timer"/>
          </constructor-arg>
          <constructor-arg>
            <bean class="org.opensaml.util.resource.ClasspathResource">
              <constructor-arg value="/metadata/ssocircleidp_metadata.xml"/>
            </bean>
          </constructor-arg>
          <property name="parserPool" ref="parserPool"/>
        </bean>
      </constructor-arg>
      <constructor-arg>
        <bean class="org.springframework.security.saml.metadata.ExtendedMetadata">
        </bean>
      </constructor-arg>
    </bean>
  </list>
</constructor-arg>

对于生产,我们希望能够将 IdP 元数据存储在数据库中(位于中心位置)。我希望能够在不重新部署 WAR 或重新启动服务器的情况下添加、删除和修改元数据。最初,我认为我可以覆盖 CachingMetadataManager 并定义一个 noarg 构造函数,该构造函数可以动态加载所有元数据提供程序,但这是不可能的,因为 CachingMetadataManager 只定义了一个必须接受 MetadataProvider 列表的构造函数。我最终做了以下事情:

<bean id="metadataList" class="org.arbfile.util.security.saml.DBMetadataProviderList">
  <constructor-arg ref="parserPool" />
  <constructor-arg>
    <bean class="java.util.Timer"/>
  </constructor-arg>
</bean>

<bean id="metadata" class="org.springframework.security.saml.metadata.CachingMetadataManager">
   <constructor-arg ref="metadataList" />
</bean>

Bean metadataList 可以简单定义为:

public final class DBMetadataProviderList extends ArrayList<MetadataProvider>
{
  private final static Logger log = LoggerFactory.getLogger(DBMetadataProviderList.class);
  private ParserPool parser;

  public DBMetadataProviderList(ParserPool _parser, Timer _timer) throws MetadataProviderException
  {
    this.parser = _parser;
// Lookup metadata from DB
  }

}

这确实允许我动态读取 IdP 元数据。不过,当谈到刷新时,我的逻辑就崩溃了。我找到了this post on the spring forum,但它已经 3 到 4 岁了。动态读取、添加和更新 IdP 元数据、对其进行缓存并在某个时间间隔刷新缓存的最佳方式是什么?在我的情况下,数据库表中的 1 行将等同于单个 IdP 元数据定义。

【问题讨论】:

  • 嗨吉姆,你能提供一个更新,你是怎么得到的?使用下面的示例?我还需要实现这个场景:)。

标签: spring metadata spring-saml


【解决方案1】:

在阅读了几篇文章并扫描了源代码后,我发现这个问题的答案比我想象的要复杂。实际上有 3 种不同的场景需要解决。

  1. 从数据库表中初始读取所有 IdP 元数据提供者
  2. 过期并重新读取 IdP 元数据 XML 数据
  3. 无需更改配置或重新启动服务器即可动态添加和删除提供程序

我将一次处理其中的每一项。第 1 项:可能有几种方法可以解决此问题,但请查看上面的 DBMetadataProviderList 类(在我的 OP 中)作为快速而肮脏的解决方案。下面是更完整的构造函数代码:

//This constructor allows us to read in metadata stored in a database. 
public DBMetadataProviderList(ParserPool _parser, Timer _timer) throws MetadataProviderException
{
    this.parser = _parser;
    List<String> metadataProviderIds = getUniqueEntityIdListFromDB();
    for (final String mdprovId : metadataProviderIds)
    {
        DBMetadataProvider metadataProvider = new DBMetadataProvider(_timer, mdprovId);
        metadataProvider.setParserPool(this.parser);
        metadataProvider.setMaxRefreshDelay(480000); // 8 mins (set low for testing)
        metadataProvider.setMinRefreshDelay(120000); // 2 mins
        ExtendedMetadataDelegate md = new ExtendedMetadataDelegate(metadataProvider,  new ExtendedMetadata());
        add(md);
    }
}

为了解决第 2 项问题,我使用 FilesystemMetadataProvider 作为指导并创建了一个 DBMetadataProvider 类。通过扩展AbstractReloadingMetadataProvider 类并实现fetchMetadata() 方法,我们有内置的缓存刷新,这要归功于opensaml。以下是重要部分(仅示例代码):

public class DBMetadataProvider extends AbstractReloadingMetadataProvider
{
  private String metaDataEntityId;  // unique Id for DB lookups

 /**
  * Constructor.
  * @param entityId the entity Id of the metadata.  Use as key to identify a database row.
  */
 public DBMetadataProvider(String entityId)
 {
    super();
    setMetaDataEntityId(entityId);
 }

 /**
  * Constructor.
  * @param backgroundTaskTimer timer used to refresh metadata in the background
  * @param entityId the entity Id of the metadata.  Use as key to identify a database row.
  */
 public DBMetadataProvider(Timer backgroundTaskTimer, String entityId)
 {
    super(backgroundTaskTimer);
    setMetaDataEntityId(entityId);
 }

 public String getMetaDataEntityId() { return metaDataEntityId;  }

 public void setMetaDataEntityId(String metaDataEntityId){ this.metaDataEntityId = metaDataEntityId; }

 @Override
 protected String getMetadataIdentifier() { return getMetaDataEntityId(); }

// This example code simply does straight JDBC
 @Override
 protected byte[] fetchMetadata() throws MetadataProviderException
 {
    Connection conn = null;
    PreparedStatement ps = null;
    ResultSet rs = null;
    try
    {
        conn = JDBCUtility.getConnection();
        ps = conn.prepareStatement("select  bla bla bla ENTITY_ID = ?");
        ps.setString(1, getMetaDataEntityId());
        rs = ps.executeQuery();
        if (rs.next())
        {
            // include a modified date column in schema so that we know if row has changed
            Timestamp sqldt = rs.getTimestamp("MOD_DATE"); // use TimeStamp here to get full datetime
            DateTime metadataUpdateTime = new DateTime(sqldt.getTime(), ISOChronology.getInstanceUTC());
            if (getLastRefresh() == null || getLastUpdate() == null || metadataUpdateTime.isAfter(getLastRefresh()))
            {
                log.info("Reading IdP metadata from database with entityId = " + getMetaDataEntityId());
                Clob clob = rs.getClob("XML_IDP_METADATA");
                return clob2Bytes(clob);
            }
            return null;
        }
        else
        {
            // row was not found
            throw new MetadataProviderException("Metadata with entityId = '" + getMetaDataEntityId() + "' does not exist");
        }
    }
    catch (Exception e)
    {
        String msg = "Unable to query metadata from database with entityId = " + getMetaDataEntityId();
        log.error(msg, e);
        throw new MetadataProviderException(msg, e);
    }
    finally
    {
        // clean up connections
    }
  }

 }

resource 帮助我找到了缓存重新加载元数据提供程序类的正确技术。最后,#3 可以通过实现这个post来解决。

【讨论】:

猜你喜欢
  • 2015-01-24
  • 2016-10-31
  • 2015-03-27
  • 2023-02-16
  • 2016-01-26
  • 2015-07-31
  • 1970-01-01
  • 1970-01-01
  • 2015-04-09
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode