springSecurityService.principal returns 在 tomcat 8.5 中作为 WAR 部署时为空
springSecurityService.principal returns Null when deployed as a WAR in tomcat 8.5
前言
我正在为 Grails 微服务联合设计 API 网关。此问题似乎与此 repository 中已提交的一系列问题有关,但没有提供解决方案。
版本和配置
Grails: 3.2.2
Tomcat: 8.5
插件版本:
compile 'org.grails.plugins:spring-security-core:3.1.2'
compile "org.grails.plugins:spring-security-rest:2.0.0.M2"
我正在使用 spring security rest 插件仅用于令牌身份验证。我通过 returning ROLE_NO_ROLES 为 getAuthorities() 中的所有用户自己完成授权部分。我拦截所有请求并根据我自己存储在数据库中的授权模式授权访问。
问题:
使用这些配置和策略,当我在本地系统上 运行 我的代码可以正常工作。当我将它作为 tomcat 中的 war 文件部署在服务器上时,它可以很好地处理对网关的所有请求,即模式 /umm/controller/action 的所有请求。 Spring 安全上下文存在,用户得到完美评估。
当我尝试通过 /umm/microservice/controller/action 形式的请求重定向来调用其他微服务时,springSecurityService.getCurrentUser() 和 springSecurityService?.principal?.username 开始为 return null。虽然我的令牌得到了完美的评估,但我没有得到任何安全上下文。
详情看这个issue。上述问题中还提供了重现错误的详细信息。
整个项目可用 here.
更新:2017 年 5 月 19 日
我尝试在本地计算机上的 Tomcat 中部署我的 war。 and this question 提供以下解决方案。
- 禁用tomcat缓存
- 设置
grails.plugin.springsecurity.sch.strategyName = org.springframework.security.core.context.SecurityContextHolder.MODE_INHERITABLETHREADLOCAL
到目前为止似乎没有任何效果。无论如何,SecurityContextHolder 正在 returning null。 SpringSecurityService 即所有用户检索功能。 getCurrentUser()、getPrincipal()、getAuthentication() 和 loadCurrentUser() return 空。
更新:2017 年 5 月 23 日
为了缩小问题范围,我使用
执行了独立 war
java -Dgrails.env=prod -jar build/libs/mywar-0.1.war
现在对于任何非 umm 请求,我都会收到 404, page not found。 我认为是生产环境的问题。该应用程序在开发过程中完全正常。
还尝试了 grails run-app,效果很好。为了排除生产环境的问题,我用grails dev war创建了war,但没有用。 war.
到目前为止没有任何效果
更新:2017 年 5 月 25 日
我可能应该问这个 http://security.stackexchange.com 但郑重声明,我也在这里问。
我在下面提供的答案包含解决方法。答案中解释了修复工作的机制。我的问题是:
- 此方法是否会在安全系统中引入任何漏洞或漏洞?
- 这个授权模式安全还是需要修改?
- 我正在通过插件进行身份验证,但授权我自己。有人可以绕过安全过滤器并直接攻击授权拦截器吗?因为如果有人可以做到这一点,他只需要以与令牌相同的格式给我一个管理员用户名,他就可以访问所有内容。
解决方法
我找到了解决该问题的方法。因为我只需要用户名,所以我在拦截器中抓取了其余令牌,对其进行解码并从中提取用户名。
这里是:
def extractUsername(def token){
Base64 coder = new Base64()
def tok = token - "Bearer "
def principal = tok.tokenize(".")
def dec = coder.decode(principal[1])
def sub = new String(dec)
def user = sub.tokenize(",")
def username=user[1].tokenize(":")
username = username[1]-"\""
return username-"\""
}
它对我有用,因为我不需要检查 springSecurityService.Principal 对象。如果真是这样,我将无法获得用户名。 springSecurityService.Principal 和 springSecurityService.getCurrentUser() 仍然返回 null。问题尚未解决。我之所以回答,是因为尽管有赏金,但我什至没有收到任何评论。 如果有人能解释为什么 spring-security-plugin 会这样.
,仍然欢迎回答原始问题
编辑:2017 年 5 月 25 日
我使用的解决方法是基于令牌的结构以及用户名嵌入到令牌中并且令牌只是 base64 编码的事实。
这是 spring 安全 REST 插件为 grails 生成的原始令牌:
eyJhbGciOiJIUzI1NiJ9.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.MPEXURGhJo5s75LfUSm5ckG99Byc7FCLyj1gYZJu1zk
这是解码版本:
"principal":"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","sub":"adminDB","roles":["ROLE_NO_ROLES"],"exp":1495715793,"iat":1495712193
此处的主体已签名并加密,但用户名未加密。所以可以通过上面给出的代码轻松提取出来。
前言
我正在为 Grails 微服务联合设计 API 网关。此问题似乎与此 repository 中已提交的一系列问题有关,但没有提供解决方案。
版本和配置
Grails: 3.2.2
Tomcat: 8.5
插件版本:
compile 'org.grails.plugins:spring-security-core:3.1.2'
compile "org.grails.plugins:spring-security-rest:2.0.0.M2"
我正在使用 spring security rest 插件仅用于令牌身份验证。我通过 returning ROLE_NO_ROLES 为 getAuthorities() 中的所有用户自己完成授权部分。我拦截所有请求并根据我自己存储在数据库中的授权模式授权访问。
问题:
使用这些配置和策略,当我在本地系统上 运行 我的代码可以正常工作。当我将它作为 tomcat 中的 war 文件部署在服务器上时,它可以很好地处理对网关的所有请求,即模式 /umm/controller/action 的所有请求。 Spring 安全上下文存在,用户得到完美评估。
当我尝试通过 /umm/microservice/controller/action 形式的请求重定向来调用其他微服务时,springSecurityService.getCurrentUser() 和 springSecurityService?.principal?.username 开始为 return null。虽然我的令牌得到了完美的评估,但我没有得到任何安全上下文。
详情看这个issue。上述问题中还提供了重现错误的详细信息。 整个项目可用 here.
更新:2017 年 5 月 19 日
我尝试在本地计算机上的 Tomcat 中部署我的 war。
- 禁用tomcat缓存
- 设置
grails.plugin.springsecurity.sch.strategyName = org.springframework.security.core.context.SecurityContextHolder.MODE_INHERITABLETHREADLOCAL
到目前为止似乎没有任何效果。无论如何,SecurityContextHolder 正在 returning null。 SpringSecurityService 即所有用户检索功能。 getCurrentUser()、getPrincipal()、getAuthentication() 和 loadCurrentUser() return 空。
更新:2017 年 5 月 23 日
为了缩小问题范围,我使用
执行了独立 warjava -Dgrails.env=prod -jar build/libs/mywar-0.1.war
现在对于任何非 umm 请求,我都会收到 404, page not found。 我认为是生产环境的问题。该应用程序在开发过程中完全正常。
还尝试了 grails run-app,效果很好。为了排除生产环境的问题,我用grails dev war创建了war,但没有用。 war.
更新:2017 年 5 月 25 日
我可能应该问这个 http://security.stackexchange.com 但郑重声明,我也在这里问。
我在下面提供的答案包含解决方法。答案中解释了修复工作的机制。我的问题是:
- 此方法是否会在安全系统中引入任何漏洞或漏洞?
- 这个授权模式安全还是需要修改?
- 我正在通过插件进行身份验证,但授权我自己。有人可以绕过安全过滤器并直接攻击授权拦截器吗?因为如果有人可以做到这一点,他只需要以与令牌相同的格式给我一个管理员用户名,他就可以访问所有内容。
解决方法
我找到了解决该问题的方法。因为我只需要用户名,所以我在拦截器中抓取了其余令牌,对其进行解码并从中提取用户名。
这里是:
def extractUsername(def token){
Base64 coder = new Base64()
def tok = token - "Bearer "
def principal = tok.tokenize(".")
def dec = coder.decode(principal[1])
def sub = new String(dec)
def user = sub.tokenize(",")
def username=user[1].tokenize(":")
username = username[1]-"\""
return username-"\""
}
它对我有用,因为我不需要检查 springSecurityService.Principal 对象。如果真是这样,我将无法获得用户名。 springSecurityService.Principal 和 springSecurityService.getCurrentUser() 仍然返回 null。问题尚未解决。我之所以回答,是因为尽管有赏金,但我什至没有收到任何评论。 如果有人能解释为什么 spring-security-plugin 会这样.
编辑:2017 年 5 月 25 日
我使用的解决方法是基于令牌的结构以及用户名嵌入到令牌中并且令牌只是 base64 编码的事实。
这是 spring 安全 REST 插件为 grails 生成的原始令牌:
eyJhbGciOiJIUzI1NiJ9.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.MPEXURGhJo5s75LfUSm5ckG99Byc7FCLyj1gYZJu1zk
这是解码版本:
"principal":"H4sIAAAAAAAAAJVSP0/bQBR/DkFBimgBqZU60KV0qxyJjplISpEqK6kaslCp6GI/3IPznbk7k2SpMpWBAUSLVJWvwDeBhQ9QtUNX5q59ZwhOuyBusfXu59+/57MrmDYaXsaacWH8VGQxl75JNZexwTDT3A79zKCO0OaItRzYpQlcH68EXgAlHllYCLbZHqsJJuNau7eNoa0PNCwrHd8wbmmWYF/pHf+WO1Qa/xEoqL3vJahswDwLQ5VJ21JydZByjdEGzBWzQIU7bvQopBuUljNhJqEVlKwnMAqgyjL7UZEqR2Ph4bXZzHJR66CtBzCTMmPI3X9JOtZZd/fOpqQEu/AJyoPUo0PdPXdQ3/H4TSUEpeZKmqWuTFTEt7gTJ/7R4vHl4emoWwKgTl7c/U0xf9KA0fmHP0/zor3QwuMJ6wWsPkjJzXzBvK7RKf/49vbLydX++ylSdojX99/H0spNc8OmSlKmmVUTOyLaftm9E3njbvLxFoZ+hyepQPqjpMXoVqIgprhlrcS4bwuz79rB6marvemeHTepsCjh8lWDpB/kyd3K/EDRwg5+H10cPvtJNG9geo+JDKn4uQLUypIe6s9nJ4vVr78O8hjjX/ovxDoTSxYDAAA=","sub":"adminDB","roles":["ROLE_NO_ROLES"],"exp":1495715793,"iat":1495712193
此处的主体已签名并加密,但用户名未加密。所以可以通过上面给出的代码轻松提取出来。