个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
26
4
我有一个通过多个子域访问的应用程序,因为动态显示的品牌和支持信息。我们正在转向 SSO 解决方案,这让这变得有点有趣。目前,我将 Spring Security SAML (1.0.1) 添加到 Spring Security 组合中,并在 IdP 使用 WSO2 Identity Server。它运行良好。
当同一地址有多个 DNS 条目时,存在问题的地方是保留服务提供商端的子域。例如,假设我有以下子域指向完全相同的位置,guy1.mistersite.com 和 guy2.mistersite.com。当应用服务器首次通过 guy1.mistersite.com 首次启动时绝对第一次访问应用程序时,来自 SP 的 AuthnRequest 将在 AssertionConsumerServiceURL 和 Issuer 中指示它来自 guy1.mistersite.com。好的。现在从 guy2.mistersite.com 尝试下一次访问,AssertionConsumerServiceURL 和 Issuer 实际上在 AuthnRequest 中仍然有 guy1.mistersite.com。真可惜。
查看代码,您可以看到它被有效地缓存在
org.springframework.security.saml.metadata.MetadataGeneratorFilter。当 processMetadataInitialization() 方法被命中时,检查是否设置了 hostsSPName、entityAlias 和 defaultBaseURL。如果他们是,那么,继续前进。这就说得通了。
继承 MetadataGeneratorFilter 并覆盖 processMetadataInitialization() 真的是一种有效且“安全”的解决方案吗?
我已经做了一些概念证明,并注释掉了所有的空检查,所以每次点击这个方法时都会重新建立每个值,所以在一个简单的情况下,这很好用。我想知道,因为这个 bean 本质上是一个单例,当整个不同的子域请求同时出现时会发生什么。有没有可能东西会变得困惑?该方法中的同步块(synchronized block)是否足以防止这种考虑?
所以,是的,如果这是一种安全和理智的方法来解决这个问题,比如我是否走在正确的轨道上,请告诉我!还有什么要考虑的。我是对的,我不是什么? :)
我们正在考虑在基础设施和子域方面改变方法模型,所以我想坚持使用新类扩展 Spring Security SAML 的可行性这个话题。
提前致谢! ;)
以下是我对该方法的快速修复(基本上只是评论了一些东西):
protected void processMetadataInitialization(HttpServletRequest request) throws ServletException {
// In case the hosted SP metadata weren't initialized, let's do it now
//Forcing this to reload the host SP name every time to deal with various subdomains where a user could come to for the same app (think branding for partner companies)
// if (manager.getHostedSPName() == null) {
synchronized (MetadataManager.class) {
// if (manager.getHostedSPName() == null) {
try {
log.info("No default metadata configured, generating with default values, please pre-configure metadata for production use");
// Defaults
String alias = generator.getEntityAlias();
String baseURL = getDefaultBaseURL(request);
// Use default baseURL if not set
// if (generator.getEntityBaseURL() == null) {
log.warn("Generated default entity base URL {} based on values in the first server request. Please set property entityBaseURL on MetadataGenerator bean to fixate the value.", baseURL);
generator.setEntityBaseURL(baseURL);
// } else {
baseURL = generator.getEntityBaseURL();
// }
// Use default entityID if not set
// if (generator.getEntityId() == null) {
generator.setEntityId(getDefaultEntityID(baseURL, alias));
// }
EntityDescriptor descriptor = generator.generateMetadata();
ExtendedMetadata extendedMetadata = generator.generateExtendedMetadata();
log.info("Created default metadata for system with entityID: " + descriptor.getEntityID());
MetadataMemoryProvider memoryProvider = new MetadataMemoryProvider(descriptor);
memoryProvider.initialize();
MetadataProvider metadataProvider = new ExtendedMetadataDelegate(memoryProvider, extendedMetadata);
manager.addMetadataProvider(metadataProvider);
manager.setHostedSPName(descriptor.getEntityID());
manager.refreshMetadata();
} catch (MetadataProviderException e) {
log.error("Error generating system metadata", e);
throw new ServletException("Error generating system metadata", e);
}
// }
}
// }
}
<bean id="metadataGeneratorFilter" class="org.springframework.security.saml.metadata.MetadataGeneratorFilter">
<constructor-arg>
<bean class="org.springframework.security.saml.metadata.MetadataGenerator">
<property name="extendedMetadata">
<bean class="org.springframework.security.saml.metadata.ExtendedMetadata">
<property name="idpDiscoveryEnabled" value="false"/>
<property name="signMetadata" value="false"/>
</bean>
</property>
<!-- We leave these out and values are defaulted to entityId = url that user came in on
and entityId = <entityBaseUrl>/saml/metadata. We have to configure a SP in WSO2 for every
subdomain we have -->
<property name="wantAssertionSigned" value="false" />
</bean>
</constructor-arg>
</bean>
最佳答案
我一直在谷歌上搜索这个,它已经看到了两种可能的方法。根据规范,您可以将身份验证请求作为 SP 进行签名,以便指定 AssertionConsumerServiceURL 而无需在之前作为 SP 元数据交换的一部分发布和配置它,但我不完全理解如何使用 Spring安全 SAML 扩展。这里是 source的信息。
我自己一直在争论的另一个问题是覆盖 MetadataGenerator 中的 buildSPSSODescriptor,然后查找该环境的可能子域(我们的数据库中有可用的子域),然后我将遍历该列表并为每个创建一个条目.
就像你这样做的最后一种方式似乎也是一种黑客行为。希望这会有所帮助。
你最后做了什么?
关于spring-security - Spring Security SAML 使用多个子域访问同一个应用程序(同一个 IP),我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/31729160/
26
4
0
我试图四处移动一些 div,但我似乎无法通过对象对象选择它们: http://jsfiddle.net/kL3c8/1/ 1 2
我在 WP 网站上使用 Ninja Forms。有 2 个不同的字段(文本框和提交按钮)是单独的 DIV,它们都是单个 DIV 的子项。 它们出现在连续的行上,但我似乎无法在同一行上找到它们。帮忙?
我专门针对第 n 个 child (2n),但是具有给定类的 sibling 的第一个、第三个等应用了 css。 http://jsfiddle.net/relitnosmoge/9HCnH/1/ .
我有一个页面可以引入数据库条目并显示它们,并且我已经为所有其他条目/列表提供了这种样式: hjl:nth-child(odd) { background: #F2F2F2;} 这是我的 HTML/PH
我正在显示每个字母具有相同背景(宽度 31px )的字母表。我需要一半的字母宽度为 30px。这由以下人员处理: div.alpha:nth-child(even) {width: 30px;} 但是
我需要从一些大的嵌套字典中获取一些值。出于懒惰,我决定编写一个递归调用自身的函数,直到找到最后一个 child ,或者叶子为空。 由于会弹出字典,并且每次调用都会生成一个新字典,我想知道这有多有效。
我有 2 个 css 类 leftColumn 和 rightColumn 排列在 React SPA 的行布局中。问题在于,当浏览器变窄时,rightColumn 会在 leftColumn“下方”
我有这个 fiddle ,我想在默认情况下仅显示第一张照片并隐藏其余照片,并通过每次鼠标滚动更改照片。 var i 由 mousescroll 确定,如果 i 5,我希望操作中断,因为没有第 n 个
我有一个父 div 和 2 个嵌套的子 div。当第二个子 div 不包含任何内容时,我想隐藏第一个子 div 和父 div。我想知道如何做到这一点? 我有 2 个子 div 的原因是因为我正在创建一
我有一个父 div 和 2 个嵌套的子 div。当第二个子 div 不包含任何内容时,我想隐藏第一个子 div 和父 div。我想知道如何做到这一点? 当 .portfolio-works-conta
我注意到在我的浏览器中,SSL 证书链始终至少有 2 个子 CA。总是这样吗?如果属实,有人知道为什么吗? 最佳答案 通常至少有一个中间 CA,因为它可以更轻松地管理子公司和管理滚动,但这不是必需的。
我在让交叉淡入淡出动画停止在最后一个子节点上时遇到了一些麻烦。我知道 animation-fill-mode: forwards ,但它似乎不起作用(我试过将它放在不同的地方,例如在最初的 .cros
我想水平对齐 3 个不同的子 div。这 3 个 div 包含 1 个图像(高度和宽度 px)。每个 div 都有一个悬停链接(但我希望我的 onmouseover 仅位于图像上方,而不是位于 div
我正忙于 Bigcommerce 网站的设计,发现列表项及其各自背景存在 css 语法问题。 列表项标题和列表项本身是从数据库生成的。这是我的代码的样子: .Left #SideCategoryLis
所以我有一个父 div(100% 宽度)和其中的 3 个子 div(也是 100% 宽度)。我如何将“默认显示的 div”设置为第二个子元素,以便左侧 div 向左离开屏幕,而右侧 div 向右离开屏
我正在尝试将 vector 拆分为 n 个部分。我检查了以下解决方案 How to split a vector into n "almost equal" parts 我根据这个评论得出了以下代码:
下面是我的div: Abc pqr function AppendDiv(10,11) { var eFrom = $('#' + 10); var toD
我试图让我的 html 页面与 JSF 一起工作,并且偶然发现了一个问题,即如何让 nth-child css 选择器与 jsf 一起工作 repeat标签?现在,对于 repeat 标签生成的每个元
这个问题在这里已经有了答案: How do you keep parents of floated elements from collapsing? [duplicate] (15 个答案) 关闭
试图整理我的 CSS,一团糟,我有许多 ID 分布在 div 和子 div 中,以便我能够在 CSS 中选择它们。 我想知道这样做的正确方法是什么? 我考虑过使用类,这似乎是一种更好的方法,但仍然在每
我是一名优秀的程序员,十分优秀!