Tomcat 上的 Spring Security SAML 元数据 URL-6ren

Tomcat 上的 Spring Security SAML 元数据 URL

转载作者：行者123 更新时间：2023-11-28 21:58:28

25

4

我正在开发一个基于 java 的 Web 应用程序，在 Tomcat 服务器上使用 Spring Security SAML 实现 SSO。此应用程序将扮演服务提供者角色 (SP)。检索此 SP 的元数据的默认 Spring URL 是:

https://www.server.com:8080/context/saml/metadata

这工作得很好，按预期返回了元数据 XML 文件。但是，当我将 DefaultServlet servlet-mappings 添加到 web.xml 时，我遇到了问题。即使是像这样基本的东西:

<servlet-mapping>
    <servlet-name>default</servlet-name>
    <url-pattern>*.gif</url-pattern>
</servlet-mapping>

如果 web.xml 中存在一个或多个默认 servlet 映射，上述 URL 将返回 404。任何人都知道什么可能导致这种情况并有可能的解决方案？

更新:我已经将上面的确切 servlet 映射放入 Spring Security SAML 示例应用程序中，它还会阻止元数据 URL 工作。如果我将其注释掉或删除，它会按预期工作。下面是 web.xml:

<?xml version="1.0" encoding="UTF-8"?>
<web-app version="2.4" 
xmlns="http://java.sun.com/xml/ns/j2ee" 
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 
xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd">

<display-name>Spring Security SAML</display-name>
<description>Sample application demonstrating Spring security SAML integration.</description>

<context-param>
    <param-name>contextConfigLocation</param-name>
    <param-value>
        /WEB-INF/securityContext.xml
    </param-value>
</context-param>

<servlet>
    <servlet-name>saml</servlet-name>
    <servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>
    <load-on-startup>1</load-on-startup>
</servlet>

<servlet-mapping>
    <servlet-name>saml</servlet-name>
    <url-pattern>/saml/web/*</url-pattern>
</servlet-mapping>

<filter>
    <filter-name>springSecurityFilterChain</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping>
    <filter-name>springSecurityFilterChain</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>

<!-- This servlet mapping prevents the /saml/metadata URL from working. -->
 <servlet-mapping>
    <servlet-name>default</servlet-name>
    <url-pattern>*.gif</url-pattern>
</servlet-mapping>

<listener>
    <listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
</listener>

<welcome-file-list>
    <welcome-file>index.jsp</welcome-file>
</welcome-file-list>

<error-page>
    <exception-type>java.lang.Exception</exception-type>
    <location>/error.jsp</location>
</error-page>


</web-app>

最佳答案

我已尝试按照以下步骤使用 Spring SAML 1.0.0.RELEASE 重现您的问题:

已下载 Spring SAML 源
将 sample/src/main/webapp/WEB-INF/web.xml 替换为您的 web.xml
使用 gradlew build tomcatRun 启动示例应用程序

但我无法重现您的问题，一切都会继续正常运行。该问题可能特定于某些 Tomcat 版本，请尝试按照我的步骤重现它，并最终尝试更改您的 Tomcat 版本。

更新:

正如您提到的那样，当我直接部署到 Tomcat 时，我能够复制它。 default servlet 似乎跳过了在 /* 中定义的过滤器的执行。以下配置应该适合您:

<?xml version="1.0" encoding="UTF-8"?>
<web-app version="2.4"
         xmlns="http://java.sun.com/xml/ns/j2ee"
         xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd">

    <display-name>Spring Security SAML</display-name>
    <description>Sample application demonstrating Spring security SAML integration.</description>

    <context-param>
        <param-name>contextConfigLocation</param-name>
        <param-value>
            /WEB-INF/securityContext.xml
        </param-value>
    </context-param>

    <servlet>
        <servlet-name>saml</servlet-name>
        <servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>
        <load-on-startup>1</load-on-startup>
    </servlet>

    <servlet-mapping>
        <servlet-name>saml</servlet-name>
        <url-pattern>/*</url-pattern>
    </servlet-mapping>

    <servlet-mapping>
        <servlet-name>jsp</servlet-name>
        <url-pattern>/WEB-INF/*</url-pattern>
    </servlet-mapping>

    <filter>
        <filter-name>springSecurityFilterChain</filter-name>
        <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
    </filter>
    <filter-mapping>
        <filter-name>springSecurityFilterChain</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>

    <servlet-mapping>
        <servlet-name>default</servlet-name>
        <url-pattern>/images/*</url-pattern>
    </servlet-mapping>

    <servlet-mapping>
        <servlet-name>default</servlet-name>
        <url-pattern>/css/*</url-pattern>
    </servlet-mapping>

    <servlet-mapping>
        <servlet-name>default</servlet-name>
        <url-pattern>*.gif</url-pattern>
    </servlet-mapping>

    <listener>
        <listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
    </listener>

    <welcome-file-list>
        <welcome-file>index.jsp</welcome-file>
    </welcome-file-list>

    <error-page>
        <exception-type>java.lang.Exception</exception-type>
        <location>/error.jsp</location>
    </error-page>


</web-app>

确保更改文件 org.springframework.security.saml.web.MetadataController 并将 @RequestMapping("/metadata") 替换为 @RequestMapping( "/saml/web/metadata")

关于Tomcat 上的 Spring Security SAML 元数据 URL，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/25212087/

25

4

0

文章推荐： tomcat - @RequestMapping (“/” ) 不可访问

文章推荐： python - 如何从 matplotlib 中的轴删除 xtics？

文章推荐： python - 带有日期时间的 Numpy 结构化数组

文章推荐： scala - 如何使用 Tomcat 7.x 部署 Typesafe Activator 应用程序？

saml - 为什么 SAML 服务提供商应该信任 SAML 响应？
阅读自 http://en.wikipedia.org/wiki/SAML_2.0 ，我试图了解保证在流程的第 5 步中发送的 SAMLResponse 的真实性的机制。根据我的理解，SAML 的设
saml - SAML 身份验证请求中是否允许使用属性？
是否可以在 SAML 身份验证请求中发送属性？ https://sp.example.com/SAML2 最佳答案从技术上讲，是的，这是可能的，因为 AuthnRequest 可
saml - SAML 如何真正提供安全性？
在阅读了一些文章和引用资料后，我发现它们实际上说明了什么是 SAML，它包含哪些组件，它是如何工作的。一些不错的链接如下: Good documentation about Shibboleth an
saml - SAML 工件的用途是什么？
我看过一堆关于如何通过重定向在身份提供商 (IdP)、服务提供商 (SP) 和浏览器之间传递的流程图。然而，现在对我来说似乎没有必要，所以我知道我错过了一些东西。有人可以向我提供一个使用案例，其中与
spring-saml - 使用 Spring Security SAML 将请求参数添加到 SAML 请求
我需要在 SAML 请求中添加一个请求参数(例如 locale=en)，以便让登录页面显示正确的语言。我怎么做？我试图将属性添加到作为参数发送到开始方法 (SamlEntryPoint) 的 Htt
saml-2.0 - Spring SAML : Incoming SAML message is invalid
我在将我的应用程序与 SAML 集成时遇到问题。以下是我的错误: org.springframework.security.saml.SAMLProcessingFilter.attemptAuth
saml - 如何验证 SAML 证书？
我是 SAML 的新手，对预期的签名和信任过程感到困惑。我正在编写一个 SP 并从 IDP 接收到一个签名的 samlp:Response，其中包括 KeyInfo:
saml - ADFS SAML 请求未使用预期的签名算法签名
ADFS 具有看似错误的意外行为。我有使用 SHA1 哈希算法进行数字签名的 SP。在此 SP 的 ADFS 上，我在高级选项卡上设置为使用 SHA256。对我来说，这些不相关是正常的，每一方选
saml - 如何在 SAML 登录响应断言中包含用户组属性
我正在使用 SAML 登录我的应用程序，我想在登录响应断言的属性中包含用户组。我想知道登录请求是否应指定该属性是必需的，或者这是一般需要在 IDP 上完成的配置，还是在专门为我的服务提供商的 IDP
saml - 寻找有关第一个 SAML 实现的反馈
我的任务是设计一个非常简单的 SSO(单点登录)流程。我的雇主已指定它应该在 SAML 中实现。我想在确认 SAML 规范的同时创建尽可能简单的消息。如果你们中的一些人能查看我的请求和响应消息，并告
saml - 如何调试 SAML 响应上的无效签名
我们正在使用ruby-saml将我们的应用程序建立为服务提供商，同时使用 Google 作为身份提供商，尽管我不认为这个问题特定于 Ruby 或该项目。我见过this answer from the
saml - 如何调试 SAML 响应上的无效签名
我们正在使用ruby-saml将我们的应用程序建立为服务提供商，同时使用 Google 作为身份提供商，尽管我不认为这个问题特定于 Ruby 或该项目。我见过this answer from the
saml - SAML token 的有效期应为多长时间
有人建议 SAML token 应该有效多长时间(在 SOA 基础架构中)？我想到了几个 (6-12) 小时。非常感谢马库斯最佳答案让您的 token 拥有如此长的生命周期通常不是一个好主意，因
saml - 在哪里获得 SAML 证书
我对 SAML 证书的这个概念很陌生。我目前正在为网站配置 SSO，需要知道如何生成 SAML 证书？我为本网站使用的设置不是通过 Azure，而是直接来自供应商网站，他们正在请求我的 SAML 证
saml - 什么是 SAML 配置文件和绑定(bind)？
我是 SAML 的新手。您能否用简单的英语解释一下什么是 SAML 配置文件和绑定(bind)，并提供几个示例。最佳答案 nrathus 在他的评论中指出，维基百科的 entry on SAML是一
saml - Keycloak 使用 SAML 注销
我在 Keycloak Server 4.2.1 中使用 saml 协议(protocol)注销时遇到问题。在 Keycloak 旁边有一个 Wildfly 9 服务器。在 Wildfly 服务器中部
saml - SAML 2.0 中的接收者与受众
有人能解释一下和有什么区别吗？收件人和观众在 SAML 2.0 中？我在这里从 OneLogin 中找到了非常模糊的解释: https://support.onelogin.com/hc/en
saml - Keycloak 客户端设置，SAML 私钥暴露
我知道在 SAML 协议(protocol)中，IDP 和 SP 他们拥有自己的 key 对，并且不会将他们的私钥暴露给对方。我假设下面的领域 key 是 IDP key 对，这是有道理的，因为私钥
saml - SAML token 是否缓存/存储在浏览器的任何位置？
场景: 浏览器(用户)向服务提供商 (SP) 请求资源。 SP 重定向(通过 SAML 请求)到身份提供商 (IdP)。由于是首次登录，用户会向 (IdP) 提供他/她的有效凭据。然后，IdP 将
saml - JWT 和 SAML 的区别？
JWT(Json Web Token)和 SAML 的主要区别是什么？请向我推荐任何带有 Spring 安全性的示例。提前致谢。最佳答案两个SAML和 JWT是不依赖于任何编程语言的安全 toke

首页

博学

6Ren·AI

商城

Tomcat 上的 Spring Security SAML 元数据 URL