gpt4 book ai didi

spring-boot - 使用 mTLS 保护 spring boot 应用程序 - 在 Swisscom App Cloud 上运行

转载 作者:太空宇宙 更新时间:2023-11-03 13:31:39 25 4
gpt4 key购买 nike

我有一个部署到 Swisscom App Cloud 的 spring boot 应用程序,它应该使用 mTLS 进行保护。

显然有 spring security ......特定于 Swisscom App Cloud 我在 https://docs.developer.swisscom.com/adminguide/securing-traffic.html 上阅读了有关保护流量的信息.

我不清楚这两者是如何一起玩的......

  • 如果我通过 spring security 启用 mTLS,它会照原样工作还是我需要为 Swisscom App Cloud 进行额外配置? (我遇到了 HTTP 路由,其中​​提到为 mTLS 传递客户端证书 https://docs.developer.swisscom.com/concepts/http-routing.html )
  • 在 Swisscom App Cloud 上配置 mTLS 是否可以替代我在其他情况下使用 spring security 启用的功能,或者我是否仍需要在我的应用程序中配置一些东西?
  • 保护流量提到了部署 list 和 BOSH list ,后者(可能还有其他)配置是否需要在 Swisscom App Cloud 上启用 mTLS(即除了部署 list 之外,我是否需要访问配置)?

更新

我的用例是我有一个 REST API,将由 Swisscom App Cloud 之外的客户端使用。决定使用 mTLS 对其进行保护。

最佳答案

您所指的管理指南适用于平台运营商(即 Swisscom),因此它不是最终用户可以利用的资源。

您的用例是什么?如果检查列表只是一项安全要求,请注意平台本身很快就会在内部使用 mTLS,因此直到应用程序容器的整个路径都是安全的。这对您的审核员来说可能就足够了。

如果您真的需要自己验证客户端证书,CF 的方法是利用 X-Forwarded-Client-Cert ( https://docs.cloudfoundry.org/concepts/http-routing.html#-forward-client-certificate-to-applications )。

但是,我们目前尚未启用此功能(之前不需要它),但我们可以这样做。

更新:

根据这个explanation , X-Forwarded-Client-Cert 的插入实际上是由平台透明地完成的。因此,如果您将客户端应用程序的证书添加到服务器应用程序的信任库中,它将验证客户端证书。

更新 2:正如您在下面的讨论中看到的那样,目前在概念上似乎没有简单的方法允许应用使用 X-Forwarded-Client-Cert 执行正确的 mTLS。目前唯一的选择是使用 tcp 路由,您可以向您的 Appcloud 支持团队提出请求。

关于spring-boot - 使用 mTLS 保护 spring boot 应用程序 - 在 Swisscom App Cloud 上运行,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/52840240/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com