如何解决 Spring SAML2 SLO 中的 POST 请求 405 错误
问题描述 投票:0回答:1
我正在尝试实现 Spring Security SAML2 SSO/SLO 并成功实现了 SSO,但是当我尝试遵循 Spring Security 文档来实现 SLO 时,我得到了这个 405 Method Not Allowed 状态。
我尝试禁用cors和csrf,但我仍然遇到同样的问题,我还尝试排除过滤器中的
/logout/saml2/slo我尝试搜索此问题,但找不到任何有关此问题的信息,我所能找到的只是他们在 Saml2 Response 方面存在问题。
我还确保 jks 良好并且别名和密码正确。
我期待这会成功,并能够在之后证明 SAML2 响应。
@Bean
public RelyingPartyRegistrationRepository relyingPartyRegistrations() throws Exception {
if (DomainUtil.isSSOEnabled()) {
byte[] decodeCertBase64 = Base64.getDecoder().decode(spSigningCertificateBase64.trim());
char[] password = "REMOVED".toCharArray();
try (InputStream inputStream = getSamlMetadataInputStream(samlMetadata);
ByteArrayInputStream certStream = new ByteArrayInputStream(decodeCertBase64);
FileInputStream fileInputStream = new FileInputStream("/BDO/fedlet/fedletkeystore.jks")) {
KeyStore keyStore = KeyStore.getInstance(KeyStore.getDefaultType());
keyStore.load(fileInputStream, password);
String alias = keyStore.aliases().nextElement();
RSAPrivateKey privateKey = (RSAPrivateKey) keyStore.getKey(alias, password);
CertificateFactory certificateFactory = CertificateFactory.getInstance("X.509");
X509Certificate cert = (X509Certificate) certificateFactory.generateCertificate(certStream);
Saml2X509Credential signingCredential = Saml2X509Credential.signing(privateKey, cert);
RelyingPartyRegistration.Builder builder = RelyingPartyRegistrations.fromMetadata(inputStream)
.registrationId(samlRegistrationId)
.signingX509Credentials(signing -> signing.add(signingCredential))
.assertingPartyDetails(details-> details
.singleLogoutServiceBinding(Saml2MessageBinding.POST)
.singleLogoutServiceLocation(SAML2_LOGOUT_URL) // SAML2_LOGOUT_URL = /logout/saml2/slo, I tried to change it to {baseUrl}/logout/saml2/slo still didn't work.
.singleLogoutServiceResponseLocation("/logout"));
if (StringUtils.isNotBlank(samlEntityId)) {
builder.entityId(samlEntityId);
}
return new InMemoryRelyingPartyRegistrationRepository(builder.build());
} catch (Exception e) {
log.error("relyingPartyRegistrations() : %s".formatted(e.getMessage()), e);
throw e;
}
}
return null;
}
这是我的安全过滤器链:
@Bean
@Order(3)
SecurityFilterChain samlWebChain(HttpSecurity http, CustomUserDetailsService userDetailsServiceImp) throws Exception {
try {
http
.authorizeHttpRequests(auth -> auth
.requestMatchers("/api/**", "/error**").permitAll()
.requestMatchers(LOGIN_URL, SAML2_LOGOUT_URL).permitAll()
.requestMatchers("/accessDenied").permitAll()
.requestMatchers("/config/**", "/common/**").authenticated()
.anyRequest().access(new CustomAuthorizationManager()))
.headers(headers -> headers
.contentSecurityPolicy(securityPolicy -> {
String cspUrl = FileUtil.getApplicationMingleUserActivityDomain();
cspUrl = cspUrl.startsWith(".") ? cspUrl.substring(1) : cspUrl;
securityPolicy.policyDirectives("frame-ancestors https://*." + cspUrl + ":*");
})
.frameOptions(frameOptions -> frameOptions.sameOrigin())
).csrf(httpSecurityCsrfConfigurer -> httpSecurityCsrfConfigurer.ignoringRequestMatchers(SAML2_LOGOUT_URL));
if (DomainUtil.isSSOEnabled()) {
http
.saml2Login(saml -> saml
.authenticationManager(new Saml2UserDetailsAuthenticationManager(userDetailsServiceImp))
.successHandler(myAuthenticationSuccessHandler())
)
.saml2Logout(Customizer.withDefaults());
}
http.exceptionHandling(e -> e.accessDeniedPage("/accessDenied"));
return http.build();
} catch (Exception e) {
log.error("samlWebChain() : %s".formatted(e.getMessage()), e);
throw e;
}
}
我尝试在我的控制器中添加
/logout/saml2/slo我不知道我还能在这里提供什么,请随时询问您是否需要更多信息,我会更新。
更新:2024 年 2 月 22 日
我包含了
saml2metadta()/saml2/metadata
更新:2024 年 2 月 23 日
在 siglleLogoutServiceLocation 中包含
{baseUrl}{registrationId}
1个回答
0
投票
投票
在检查 Spring Security 的日志跟踪后,我发现
valiation()Saml2LogoutRequestValidator创建 Saml2LogoutRequestValidator 的实现
public class CustomSaml2LogoutRequestValidator implements Saml2LogoutRequestValidator {
private static final Log log = LogFactory.getLog(CustomSaml2LogoutRequestValidator.class);
private final Saml2LogoutRequestValidator delegate = new OpenSamlLogoutRequestValidator();
@Override
public Saml2LogoutValidatorResult validate(Saml2LogoutRequestValidatorParameters parameters) {
Saml2LogoutValidatorResult result = delegate.validate(parameters);
log.debug("Result of validation is: %s".formatted(result.getErrors()));
return Saml2LogoutValidatorResult.success();
}
}
创建 Saml2LogoutResponseValidator 的实现
public class CustomSaml2LogoutResponseValidator implements Saml2LogoutResponseValidator {
private static final Log log = LogFactory.getLog(InforSaml2LogoutResponseValidator.class);
Saml2LogoutResponseValidator delegate = new OpenSamlLogoutResponseValidator();
@Override
public Saml2LogoutValidatorResult validate(Saml2LogoutResponseValidatorParameters parameters) {
Saml2LogoutValidatorResult result = delegate.validate(parameters);
log.debug("Result of validation is: %s".formatted(result.getErrors()));
return Saml2LogoutValidatorResult.success();
}
}
然后我创建这两个 bean,然后在我的 saml2 过滤器中使用它
if (Saml2Util.isSsoEnabled()) {
http
.csrf(httpSecurityCsrfConfigurer -> httpSecurityCsrfConfigurer.ignoringRequestMatchers("/login/**", "/logout/**", "/saml2/**"))
.saml2Login(saml -> saml
.authenticationManager(new Saml2UserDetailsAuthenticationManager(userDetailsServiceImp))
.successHandler(myAuthenticationSuccessHandler()))
.saml2Logout(saml -> saml
.logoutRequest(request -> request.logoutRequestValidator(logoutRequestValidator()))
.logoutResponse(response -> response.logoutResponseValidator(logoutResponseValidator())))
.saml2Metadata(Customizer.withDefaults());
}
我还发现我的 SSO 没有生成任何 SAMLResponse,我检查了 spring security saml2 库中的内容,发现我现有的实现与它期望的身份验证管理器类不匹配,我将其更改为
SimpleUrlAuthenticationSuccessHandler最新问题
- 为什么 AntD 表单组件不将输入保存到浏览器自动完成功能中
- 尽管提供者无法从我的消费者那里获取 FirebaseAuth 用户
- 创建/初始化任务但不立即启动
- Tkinter:生成网格时防止 Entry 小部件拉伸
- 您可以将移动用户发送到其浏览器设置以启用位置服务吗?
- 使用Select Case和OnKeyDown,如何获得第二个修饰键?
- 建立连接后客户端立即断开连接
- 如何使用一些Python库将整个文件解析为SGML格式?
- Microchip WLR089 ASF LoRaWAN 库初始化
- 视频租赁数据库中的 SQL 错误(连接三个表)
- 如果你想使用.net包通过ios类链或IOS谓词查找,页面对象模型语法是什么
- 在 Excel 上 - 如何从最近日期和匹配列值检索同一行上的值?
- Python中Unicode字符串的转换
- 如何计算处理 EOS 代币时拥抱脸部模型的教师强制准确率 (TFA)?
- 在 Python 中获取 FileNotFoundException
- 如何使用一些Python库将整个文件视为SGML格式?
- 如何创建引用向量并将其传递给子组件?
- 强制 Altair 图表显示年份
- 有没有强大的方法可以使用一些Python库将整个文件视为SGML格式?
- Twilio 函数(控制台 UI)中的 ES 代码失败,并出现意外的令牌“导出”错误。 CommonJS 中的代码可以工作。为什么?
© www.soinside.com 2019 - 2024. All rights reserved.