在 Cloud Foundry 上部署需要 HTTPS 的 Grails Web 应用程序

Question

我在 Cloud Foundry 上部署了一个非常简单的 Grails 测试应用程序，它使用 spring-security 登录页面。

我想为此登录页面要求 HTTPS 访问权限，这样密码就不会以明文形式发送。

我做的第一件事是使用 HTTPS 浏览到我的测试应用程序，该应用程序运行良好，因此确认 Cloud Foundry 可以为我的应用程序提供 HTTPS 请求。

接下来我将以下内容添加到 Config.groovy 以要求对我的页面进行 HTTPS 访问：

grails.plugins.springsecurity.auth.forceHttps = true

grails.plugins.springsecurity.secureChannel.definition = [
        '/': 'REQUIRES_SECURE_CHANNEL'
]

现在，当我尝试使用 grails cf-update 进行部署时，它会在 Trying to start application... 时挂起

如果我删除对 HTTPS 的要求，它就会成功。

我猜可能是检查应用程序是否已启动有问题。这是使用 HTTP url，然后由于我在日志中看不到任何问题而被重定向到 HTTPS？

有什么想法吗？

Answer 1

我发现 CloudFoundry + Spring Security 目前存在一个问题，HttpServletRequest.isSecure() 在使用 https 时没有返回正确的值。这胜过 Spring Security 在需要安全通道时执行无限重定向循环。

我在一个普通的 Spring 项目中见证了这一点，但这可能是你的 grails 项目所遭受的。目前的一种解决方法是包装您的 HttpServletRequests，以便 isSecure() 查看该方案以决定返回什么。

如果您在浏览器中尝试使用您的安全 URL，您会得到什么（假设应用程序已实际启动，尽管 grails 插件另有说明）

Answer 2

问题在于cloudfoundry terminates HTTPS at the loadbalancer。而且没有办法让 HTTPS 一直连接到您的应用程序，因此“REQUIRES_SECURE_CHANNEL”在 cloudfoundry 上不起作用。

如果您想尝试检查用户和负载均衡器之间是否使用了 HTTPS，您可以查看过滤器中的标头。例如。

    sslHeaderRequireFilter(controller:'*', action:'*') {
        before = {
            def headerNames = request.headerNames.collect{ it }             
            if(! headerNames.contains('sslclientcertstatus') ){
                render "Only available on https"
                return false    
            }                   
        }
    }