使用 Spring Security Saml 和 SP 应用程序的无状态会话

Question

我尝试运行启动示例 spring security saml boot， https://github.com/vdenotaris/spring-boot-security-saml-sample

我能够运行它并与身份提供者集成。

但是，我看到每次都会创建一个会话，并且在用户退出之前一直保持不变。

我在 Spring Boot 中使用基于资源的服务，因此不想要会话的开销。

我尝试在配置方法中添加以下行， http.sessionManagement() .sessionCreationPolicy(SessionCreationPolicy.STATELESS);

但是，使用此设置时，我总是被要求登录身份提供者。

如果我登录，它会返回页面，要求我再次循环登录。

我不确定这是否是禁用会话时的正确行为。

谁能为我提供正确的方法来使用带有 spring security saml 扩展和服务提供程序应用程序的无状态会话。

谢谢，

斯里

Answer 1

对于 SAML 身份验证部分，您肯定需要一个会话，因此您有 2 个选项：

1) 在您的应用程序中有两种不同的安全上下文，一种用于 SAML 身份验证，一种用于无状态服务。不确定您将如何验证您的服务，但它必须具有某种令牌身份验证才能使其成为无状态的。 您可以定义 2 个WebSecurityConfigurerAdapter 并覆盖configure(HttpSecurity http) 方法。然后在 saml 配置中使用http.requestMatchers("/saml/**")，在您的服务配置中使用http.requestMatchers("/service/**")，/saml 下的所有内容都将通过 saml 身份验证，/service 下的所有内容都将通过您拥有的任何其他内容。

2) 向 SAML 配置添加更多过滤器（在 saml 过滤器之前），以便它与不同类型的身份验证（例如基于令牌）一起使用，并且只要此过滤器可以生成有效的Authentication 在 saml 过滤器之前你应该很好。

您还可以查看此库：https://github.com/ulisesbocchio/spring-boot-security-saml 以简化您的 SAML 配置

Answer 2

要在无状态下启用 SAML，您需要：

• 将 SAMLMessageStorageFactory 设置为空。
• 确保 SAML 过滤器位于您的记住我过滤器之后。
• 实际上启用无状态并像往常一样配置您的记住我服务。

请注意，这样做意味着您没有 JSESSIONID，这意味着 spring 将不再记录原始请求的 URL，因此无法处理稍后将您重定向回该 URL。 （建议稍后解决此问题）。

@Configuration
@EnableWebSecurity
public class YourSecurityConfig extends WebSecurityConfigurerAdapter {
    
    /**
     * Since SAML is being used under a stateless mode, we can not use the default
     * Message Storage factory as it uses http sessions. Instead we have to use
     * the EmptyStorageFactory().
     * 
     */
    @Bean
    public SAMLMessageStorageFactory sAMLMessageStorageFactory() {
        return new EmptyStorageFactory();
    }

    
@Autowired(required=false)
    @Qualifier("samlFilter")
    FilterChainProxy samlFilter;

    @Override
    protected void configure(HttpSecurity http) throws Exception {
       ...
       // Only try to do SAML stuff after we have tried to authenticate the user.
       http.addFilterAfter(samlFilter, RememberMeAuthenticationFilter.class)
       
       // (Optional part if you want redirects)
       // Just before we get to the samlFilter if we have not yet authenticated we
       // may set a cookie storing the location to which we should redirect back to
       // when all is said and done.
       http.addFilterBefore(setRedirectCookieForPostSAMLAction, samlFilter.getClass());
       // On SAML auth success, apply the redirect from the cookie. 
       sAMLProcessingFilter.setAuthenticationSuccessHandler(new ReadRedirectCookieForSAMLSuccessHandler());
       // (End Optional part)
       ...
       // Don't forget to enable your token based remember me service
       // Also don't forget to set stateless
       http.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS);
    }
}

最后，如果您确实想支持某种形式的重定向，请执行以下操作：

• 让您的 UI 将您重定向到某个特殊的 URL，并在 GET 参数中记录要访问的 URL。例如。如果您出现在/secure.html，用户界面会将您重定向到/saml-redirect.html?redirectTo=/secure.html。
• 创建一个过滤器SetRedirectCookieForPostSAMLAction，如果用户要去saml-redirec.html 并且未通过身份验证，则会设置一个记录redirectTo 值的cookie。在 SAML 过滤器将用户重定向到 IDP 之前调用此过滤器。

public class setRedirectCookieForPostSAMLAction implements Filter {
   void setRedirectCookieIfRequired(HttpServletRequest request, HttpServletResponse response, Authentication authentication) {
        // If the user is not authenticated and is going to the saml redirect page
        if(authentication == null && 
            new AntPathRequestMatcher("/saml-redirect.html", null).matches(request)) {
            if(request has a redirectTo param) {
                 Set cookie "saml-redirect-post-action" to Base64(redirectTo);
            }
        }

}
}

• 创建一个成功处理程序ReadRedirectCookieForSAMLSuccessHandler，它将在用户使用 SSO 成功登录时运行（如上配置）。如果重定向 cookie，此成功处理程序只需要重定向用户。它还应该清除 cookie 重定向 cookie。

（不要忘记检查重定向看起来是否合法，并且只在重定向用户之前转到您的应用程序。）