tomcat - 让 Grails、Spring Security Core Plugin 和 Tomcat 使用 X.509 证书身份验证

Question

我正在创建一个简单的原型(prototype)，用作更改使用 Spring Security Core 的现有 Grails 应用程序对最终用户进行身份验证的方式的模型。

Grails 版本 - 2.3.11Spring Security 核心版本 - 1.2.7.3

我创建了自己的 CA，颁发了自己的服务器证书，颁发了客户端证书，并配置了我的 Tomcat 7 实例和浏览器以使用上述证书。

我修改了 Tomcat server.xml 如下:

<Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol"
               maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
               truststoreFile="/Users/mybox/Documents/apache-tomcat-7.0.64/conf/cacerts.jks" truststorePass="password"
               keystoreFile="/Users/mybox/Documents/apache-tomcat-7.0.64/conf/keystore.jks" keystorePass="password"
               clientAuth="true" sslProtocol="TLS" />

在 Grails 项目本身中，我修改了几个文件:

在 Config.groovy 我添加了:

// Added by the Spring Security Core plugin:
grails.plugins.springsecurity.userLookup.userDomainClassName = 'com.pkiprototype.User'
grails.plugins.springsecurity.userLookup.authorityJoinClassName = 'com.pkiprototype.UserRole'
grails.plugins.springsecurity.authority.className = 'com.pkiprototype.Role'
grails.plugin.springsecurity.useX509 = true
grails.plugin.springsecurityx509.continueFilterChainOnUnsuccessfulAuthentication = true
grails.plugin.springsecurity.controllerAnnotations.staticRules = [
    '/':                ['permitAll'],
    '/sample':          ['permitAll'],
    '/index':           ['permitAll'],
    '/index.gsp':       ['permitAll'],
    '/assets/**':       ['permitAll'],
    '/**/js/**':        ['permitAll'],
    '/**/css/**':       ['permitAll'],
    '/**/images/**':    ['permitAll'],
    '/**/favicon.ico':  ['permitAll'],
    '/dbconsole/**':  ['permitAll']
]

在 BuildConfig.groovy 我添加了:

grails.tomcat.keystorePath = "${basedir}/grails-app/conf/keystore.jks"
grails.tomcat.keyStorePassword = "password"

我在那个位置也有 keystore.jks。

我有一个 super 简单的 Controller :

package com.pkiprototype

class SampleController {

    def springSecurityService

        def User = {
            def currentUser = springSecurityService. getCurrentUser ()
            render "Welcome user:"  +   currentUser. username + "\n Your role is:" + currentUser. getAuthorities ()
        }

    def index() { }
}

我的 bootstrap.groovy 中有一个用户，其用户名与我已加载到浏览器中的客户端证书中用户的 CN 相匹配。

当我点击页面 https://localhost:8443/pkiprototype-0.1/sample/User ，系统提示我使用我的证书。但是随后页面抛出错误“发生错误”，当我检查 Tomcat 的 stacktrace.log 时，我得到以下信息:

2015-09-15 15:27:25,420 [http-bio-8443-exec-7] ERROR StackTrace  - Full Stack Trace:
java.lang.NullPointerException: Cannot get property 'username' on null object
    at com.pkiprototype.SampleController$_closure1.doCall(SampleController.groovy:9)
    at grails.plugin.cache.web.filter.PageFragmentCachingFilter.doFilter(PageFragmentCachingFilter.java:189)
    at grails.plugin.cache.web.filter.AbstractFilter.doFilter(AbstractFilter.java:63)
    at java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1142)
    at java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:617)
    at java.lang.Thread.run(Thread.java:745)

我错过了什么？我提供给浏览器的证书不应该被 Spring Security Core 读取和使用，以找到用户并将其传递给 Controller ​​操作和呈现的页面吗？

Answer 1

我想通了!

问题是这一行:

grails.plugin.springsecurity.useX509 = true

Config.groovy 中 Spring Security Core 插件引用的版本 1 的正确语法是 grails。plugins

我把这行改成了

grails.plugins.springsecurity.useX509 = true

瞧!有用。

请注意，Grails Community SLACK 是一个非常有值(value)的帮助资源(这对我解决这个问题非常有帮助)，http://slack-signup.grails.org/