spring - 如何让 SpringSecurity/Grails 与终止 SSL 的负载均衡器很好地配合

Question

我们在 Tomcat 上部署了一个 Grails 应用程序，该应用程序部署在终止 SSL 的负载均衡器后面(负载均衡器然后与端口 8080 上的 tomcat 实例通信)。我们已经将 SpringSecurity 配置为需要所有资源的安全通道，注意来自负载均衡器的 header ，强制使用 https 并映射来自负载均衡器的端口:

grails.plugin.springsecurity.secureChannel.useHeaderCheckChannelSecurity = true
grails.plugin.springsecurity.auth.forceHttps = true
grails.plugin.springsecurity.portMapper.httpPort = 80
grails.plugin.springsecurity.portMapper.httpsPort = 443
grails.plugin.springsecurity.secureChannel.definition = [
        '/**': 'REQUIRES_SECURE_CHANNEL'
]

其中大部分工作正常 - 来自 Grails 内部的重定向正按预期使用 https 协议(protocol)，以及大多数 ajax 请求。

但是有一些 ajax 请求不正常工作。它们都与与 j_spring_security_check 等 j_spring_security* 端点交互的结果有关。例如，如果用户尝试通过 ajax 登录，我们会在浏览器中收到此错误(这是成功登录启动的重定向):

 Mixed Content: The page at 'https://www.servernamehere.com/' was loaded over HTTPS, but 
 requested an insecure XMLHttpRequest endpoint 'http://www.servernamehere.com/login/ajaxSuccess'.
 This request has been blocked; the content must be served over HTTPS.

认证失败会出现同样的问题:

Mixed Content: The page at 'https://www.servernamehere.com/' was loaded over HTTPS, but requested 
an insecure XMLHttpRequest endpoint 'http://www.servernamehere.com/login/authfail?ajax=true'. 
This request has been blocked; the content must be served over https.

我们如何配置 spring security 来理解来自身份验证事件的所有重定向都需要是 https？

Answer 1

我们能够通过创建自定义重定向策略(实现 org.springframework.security.web.RedirectStrategy)并用我们的自定义重定向策略 bean 替换默认重定向策略 bean 来解决此问题。自定义重定向策略检查负载均衡器传入的 header ，并确保将响应重定向到适当的协议(protocol)