获取 Grails、Spring 安全核心插件和 Tomcat 以使用 X.509 证书身份验证
Getting Grails , Spring Security Core Plugin, and Tomcat to use X.509 Certificate authentication
我正在创建一个简单的原型,用作模型来更改使用 Spring 安全核心的现有 Grails 应用程序对最终用户进行身份验证的方式。
Grails 版本 - 2.3.11
Spring 安全核心版本 - 1.2.7.3
我创建了自己的 CA,颁发了自己的服务器证书,颁发了客户端证书,并配置了我的 Tomcat 7 实例和浏览器以使用上述证书。
我修改了Tomcatserver.xml如下:
<Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol"
maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
truststoreFile="/Users/mybox/Documents/apache-tomcat-7.0.64/conf/cacerts.jks" truststorePass="password"
keystoreFile="/Users/mybox/Documents/apache-tomcat-7.0.64/conf/keystore.jks" keystorePass="password"
clientAuth="true" sslProtocol="TLS" />
在 Grails 项目本身中,我修改了几个文件:
在Config.groovy中我添加了:
// Added by the Spring Security Core plugin:
grails.plugins.springsecurity.userLookup.userDomainClassName = 'com.pkiprototype.User'
grails.plugins.springsecurity.userLookup.authorityJoinClassName = 'com.pkiprototype.UserRole'
grails.plugins.springsecurity.authority.className = 'com.pkiprototype.Role'
grails.plugin.springsecurity.useX509 = true
grails.plugin.springsecurityx509.continueFilterChainOnUnsuccessfulAuthentication = true
grails.plugin.springsecurity.controllerAnnotations.staticRules = [
'/': ['permitAll'],
'/sample': ['permitAll'],
'/index': ['permitAll'],
'/index.gsp': ['permitAll'],
'/assets/**': ['permitAll'],
'/**/js/**': ['permitAll'],
'/**/css/**': ['permitAll'],
'/**/images/**': ['permitAll'],
'/**/favicon.ico': ['permitAll'],
'/dbconsole/**': ['permitAll']
]
在BuildConfig.groovy中我添加了:
grails.tomcat.keystorePath = "${basedir}/grails-app/conf/keystore.jks"
grails.tomcat.keyStorePassword = "password"
我在那个位置也有 keystore.jks。
我有一个超级简单的控制器:
package com.pkiprototype
class SampleController {
def springSecurityService
def User = {
def currentUser = springSecurityService. getCurrentUser ()
render "Welcome user:" + currentUser. username + "\n Your role is:" + currentUser. getAuthorities ()
}
def index() { }
}
我的 bootstrap.groovy 中有一个用户,其用户名与我已加载到浏览器中的客户端证书中用户的 CN 相匹配。
当我点击页面 https://localhost:8443/pkiprototype-0.1/sample/User 时,系统提示我使用我的证书。但是随后页面抛出错误 "An error has occurred",当我检查 Tomcat 的 stacktrace.log 时,我得到以下信息:
2015-09-15 15:27:25,420 [http-bio-8443-exec-7] ERROR StackTrace - Full Stack Trace:
java.lang.NullPointerException: Cannot get property 'username' on null object
at com.pkiprototype.SampleController$_closure1.doCall(SampleController.groovy:9)
at grails.plugin.cache.web.filter.PageFragmentCachingFilter.doFilter(PageFragmentCachingFilter.java:189)
at grails.plugin.cache.web.filter.AbstractFilter.doFilter(AbstractFilter.java:63)
at java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1142)
at java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:617)
at java.lang.Thread.run(Thread.java:745)
我错过了什么? Spring Security Core 不应该读取和使用我提供给浏览器的证书来查找用户,然后将其传递给控制器操作和呈现的页面吗?
我想通了!
问题出在这一行:
grails.plugin.springsecurity.useX509 = true
Config.groovy 中 Spring 安全核心插件引用的版本 1 的正确语法是 grails。plugins
我将行更改为
grails.plugins.springsecurity.useX509 = true
瞧!有用。
请注意,Grails Community SLACK 是一个非常有价值的帮助资源(这对我解决这个问题非常有帮助),http://slack-signup.grails.org/
我正在创建一个简单的原型,用作模型来更改使用 Spring 安全核心的现有 Grails 应用程序对最终用户进行身份验证的方式。
Grails 版本 - 2.3.11 Spring 安全核心版本 - 1.2.7.3
我创建了自己的 CA,颁发了自己的服务器证书,颁发了客户端证书,并配置了我的 Tomcat 7 实例和浏览器以使用上述证书。
我修改了Tomcatserver.xml如下:
<Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol"
maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
truststoreFile="/Users/mybox/Documents/apache-tomcat-7.0.64/conf/cacerts.jks" truststorePass="password"
keystoreFile="/Users/mybox/Documents/apache-tomcat-7.0.64/conf/keystore.jks" keystorePass="password"
clientAuth="true" sslProtocol="TLS" />
在 Grails 项目本身中,我修改了几个文件:
在Config.groovy中我添加了:
// Added by the Spring Security Core plugin:
grails.plugins.springsecurity.userLookup.userDomainClassName = 'com.pkiprototype.User'
grails.plugins.springsecurity.userLookup.authorityJoinClassName = 'com.pkiprototype.UserRole'
grails.plugins.springsecurity.authority.className = 'com.pkiprototype.Role'
grails.plugin.springsecurity.useX509 = true
grails.plugin.springsecurityx509.continueFilterChainOnUnsuccessfulAuthentication = true
grails.plugin.springsecurity.controllerAnnotations.staticRules = [
'/': ['permitAll'],
'/sample': ['permitAll'],
'/index': ['permitAll'],
'/index.gsp': ['permitAll'],
'/assets/**': ['permitAll'],
'/**/js/**': ['permitAll'],
'/**/css/**': ['permitAll'],
'/**/images/**': ['permitAll'],
'/**/favicon.ico': ['permitAll'],
'/dbconsole/**': ['permitAll']
]
在BuildConfig.groovy中我添加了:
grails.tomcat.keystorePath = "${basedir}/grails-app/conf/keystore.jks"
grails.tomcat.keyStorePassword = "password"
我在那个位置也有 keystore.jks。
我有一个超级简单的控制器:
package com.pkiprototype
class SampleController {
def springSecurityService
def User = {
def currentUser = springSecurityService. getCurrentUser ()
render "Welcome user:" + currentUser. username + "\n Your role is:" + currentUser. getAuthorities ()
}
def index() { }
}
我的 bootstrap.groovy 中有一个用户,其用户名与我已加载到浏览器中的客户端证书中用户的 CN 相匹配。
当我点击页面 https://localhost:8443/pkiprototype-0.1/sample/User 时,系统提示我使用我的证书。但是随后页面抛出错误 "An error has occurred",当我检查 Tomcat 的 stacktrace.log 时,我得到以下信息:
2015-09-15 15:27:25,420 [http-bio-8443-exec-7] ERROR StackTrace - Full Stack Trace:
java.lang.NullPointerException: Cannot get property 'username' on null object
at com.pkiprototype.SampleController$_closure1.doCall(SampleController.groovy:9)
at grails.plugin.cache.web.filter.PageFragmentCachingFilter.doFilter(PageFragmentCachingFilter.java:189)
at grails.plugin.cache.web.filter.AbstractFilter.doFilter(AbstractFilter.java:63)
at java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1142)
at java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:617)
at java.lang.Thread.run(Thread.java:745)
我错过了什么? Spring Security Core 不应该读取和使用我提供给浏览器的证书来查找用户,然后将其传递给控制器操作和呈现的页面吗?
我想通了!
问题出在这一行:
grails.plugin.springsecurity.useX509 = true
Config.groovy 中 Spring 安全核心插件引用的版本 1 的正确语法是 grails。plugins
我将行更改为
grails.plugins.springsecurity.useX509 = true
瞧!有用。
请注意,Grails Community SLACK 是一个非常有价值的帮助资源(这对我解决这个问题非常有帮助),http://slack-signup.grails.org/