【发布时间】:2021-07-12 13:24:13
【问题描述】:
关于如何使用 Spring Security 指定哪个客户端证书可以访问哪个特定的预定义端点的小问题。
预定义端点是指 Web 应用程序具有默认端点(不是我通过 @RestController 定义的那些),例如执行器端点 /actuator/health、/actuator/prometheus,或 Spring Cloud Config 端点,例如 /config/myservice/不可能@PreAuthorize。
我只想指定哪个客户端证书可以访问哪个端点,比如:
- 带有
UID=Alice的客户端证书可以访问/actuator/health和/config/myservice。 - 带有
UID=Bob的客户端证书可以访问/actuator/prometheus
网上有很多例子,How to extract X509 certificate:
- https://www.baeldung.com/x-509-authentication-in-spring-security
- https://blog.codecentric.de/en/2018/08/x-509-client-certificates-with-spring-security/
但是如何在应用中进行配置,即这种证书可以访问什么的映射呢?
谢谢
【问题讨论】:
-
您是否有一个用户存储库,您可以从该存储库中在
UserDetailsService中查找经过身份验证的用户的详细信息?如果是,则应该只是将用户名映射到数据库或文件系统中的某个位置,然后在您的UserDetailsService.loadUserByUsername方法中为用户分配正确的角色。至于如何保护特定 url 成为特定角色,您可以使用antMatcher以及WebSecurityConfigurerAdapter中的hasRole/hasPermission方法。 -
您好 Setu,感谢您的评论。不幸的是,没有用户商店。只有在可能的情况下,我才想避免任何形式的数据库交互,并保持解决方案简单。
-
即使没有用户存储,原理也一样。在您的
UserDetailsService.loadUserByUsername中有一些 if 条件检查用户名并为 Alice 和 Bob 分配适当的角色,即如果用户名是 Alice,则添加角色 HEALTH 和 MYSERVICE,否则如果用户名是 Bob,则添加角色 PROMETHEUS。然后在WebSecurityConfigurerAdapter的configure(HttpSecurity http)方法中定义antMatchers和hasRole条件。 Spring 不会直接提供将特定证书与特定 url 访问关联的方法,但使用角色可以实现这一点。 -
也许这个问题会有所帮助。 stackoverflow.com/questions/1102721/…
-
当然,谢谢。我还希望除了如何解析 X509(Spring Security 可以做得很好),如何定义,哪个证书可以访问什么路由,如果可能的话,使用代码 sn-p
标签: java spring-boot spring-security