Spring Security с сертификатом X.509

Question

Я постепенно схожу с ума, пытаясь настроить Spring Security 3.0.0 для защиты приложения.

Я настроил сервер (пристань) для запроса аутентификации клиента (с использованием смарт-карты). Однако я не могу понять, правильно ли реализованы applicationContext-security.xml и UserDetailsService.

Сначала из файла контекста приложения:

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
  xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
   xmlns:context="http://www.springframework.org/schema/context"
   xmlns:security="http://www.springframework.org/schema/security"
   xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-3.0.xsd
            http://www.springframework.org/schema/context http://www.springframework.org/schema/context/spring-context-3.0.xsd
            http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security-3.0.xsd">


<security:global-method-security secured-annotations="enabled" />

<security:http auto-config="true">
    <security:intercept-url pattern="/**" access="IS_AUTHENTICATED_ANONYMOUSLY" requires-channel="https"/>
    <security:x509 subject-principal-regex="CN=(.*?)," user-service-ref="accountService" />
</security:http>

<bean id="accountService" class="com.app.service.AccountServiceImpl"/>

UserDetailsService выглядит так:

public class AccountServiceImpl implements AccountService, UserDetailsService {

private static final Log log = LogFactory.getLog(AccountServiceImpl.class);

private AccountDao accountDao;

@Autowired
public void setAccountDao(AccountDao accountDao) {
    this.accountDao = accountDao;
}

public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException, DataAccessException {

    log.debug("called loadUserByUsername()");
    System.out.println("called loadByUsername()");

    Account result = accountDao.getByEdpi(s);
    return result;

}

}

Приложение имеет «первую страницу» с кнопкой входа в систему, поэтому для доступа к ней не требуется никакой аутентификации.

Любая помощь приветствуется.

Answer 1

Приложение имеет «первую страницу» с кнопкой входа в систему, поэтому для доступа к ней не требуется никакой аутентификации.

Здесь что-то не так. Если вы настроите свой сервлет-контейнер на , требующий аутентификации клиента, у вас не будет такой открытой для всех страницы, в этом случае рукопожатие аутентификации не будет успешным для пользователей без смарт-карты, и они выиграли даже не вижу страницу ошибки контейнера - вместо этого будет ошибка браузера.

Это можно сделать, сделав контейнер для разрешения аутентификации клиента и сделав страницу входа открытой для анонимных пользователей и защитив другие страницы SpringSec. Но я не буду рекомендовать это для приложения смарт-карты-PKI. Проверка подлинности смарт-карты подразумевает важность безопасности, и более надежно, чтобы пользователи, не являющиеся смарт-картами, заблаговременно отказывались от рукопожатия контейнера. В этом случае вы по-прежнему можете иметь удобную страницу входа на другом порту с кнопкой «Вход», связанной с вашим приложением.

Если вам нужна помощь с настройкой SpringSecurity, пожалуйста, добавьте больше информации о проблемах в ваш пост.

Answer 2

С точки зрения конфигурации это выглядит хорошо. Какую ошибку вы видите? Видите ли вы, что ваш UserDetailsService вызывается с сертификатом CN из сертификата X.509?