1. 首页
  2. 问答
  3. 使用X.509证书的Spring Security

使用X.509证书的Spring Security

2010-02-10 84 views
0

我正慢慢地疯狂地试图配置Spring Security 3.0.0来保护应用程序。使用X.509证书的Spring Security

我已配置服务器(jetty)以要求客户端身份验证(使用智能卡)。但是,我似乎无法得到applicationContext-security.xml和UserDetailsS​​ervice实现的权利。

首先,从应用程序上下文文件:

<?xml version="1.0" encoding="UTF-8"?> 
<beans xmlns="http://www.springframework.org/schema/beans" 
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 
    xmlns:context="http://www.springframework.org/schema/context" 
    xmlns:security="http://www.springframework.org/schema/security" 
    xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-3.0.xsd 
      http://www.springframework.org/schema/context http://www.springframework.org/schema/context/spring-context-3.0.xsd 
      http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security-3.0.xsd"> 


<security:global-method-security secured-annotations="enabled" /> 

<security:http auto-config="true"> 
    <security:intercept-url pattern="/**" access="IS_AUTHENTICATED_ANONYMOUSLY" requires-channel="https"/> 
    <security:x509 subject-principal-regex="CN=(.*?)," user-service-ref="accountService" /> 
</security:http> 

<bean id="accountService" class="com.app.service.AccountServiceImpl"/>

这个UserDetailsS​​ervice看起来是这样的:

public class AccountServiceImpl implements AccountService, UserDetailsService { 

private static final Log log = LogFactory.getLog(AccountServiceImpl.class); 

private AccountDao accountDao; 

@Autowired 
public void setAccountDao(AccountDao accountDao) { 
    this.accountDao = accountDao; 
} 

public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException, DataAccessException { 

    log.debug("called loadUserByUsername()"); 
    System.out.println("called loadByUsername()"); 

    Account result = accountDao.getByEdpi(s); 
    return result; 

}

}

应用程序有一个 “头版” 用一个登录按钮,因此访问不应该要求任何形式的认证。

任何帮助表示赞赏。

来源

2010-02-10 Jason

回答

4

该应用程序具有带“登录”按钮的“首页”,因此对该应用程序的访问不应要求任何形式的身份验证。

有什么问题就在这里。如果你设置你的servlet容器需要客户端身份验证,你不能有这样的开放式的,所有的页面,在这种情况下,身份验证握手会为用户无需智能卡没有成功,他们甚至不会看到容器错误页面 - 这将是浏览器错误,而不是。

这是可以做到使容器允许客户端验证,使登录页面打开匿名用户和安全由SpringSec其他页面。但我不会为smartcard-PKI应用推荐这款产品。智能卡身份验证意味着安全重要性,让非智能卡用户在容器握手早期抛出更为可靠。在这种情况下,您仍然可以在另一个端口上拥有用户友好的登录页面,其中“登录”按钮链接到您的应用。

如果您需要SpringSecurity安装方面的帮助,请在您的文章中添加有关问题的更多信息。

来源

2012-03-14 20:56:16 alexkasko

+1

在Tomcat中,您可以将其设置为不需要客户端身份验证,而是通过在 EpicPandaForce

1

从配置角度来看,这看起来不错。你看到什么错误?你是否看到你的UserDetailsS​​ervice被X.509证书中的CN调用?

来源

2010-02-12 22:03:09

相关问题

 相关问题