El uso de la primavera de arranque OAuth 2 en la nube de IBM Java CF Buildpack ...
https://github.com/ericis/oauth-cf-https-issue
* He intentado todas las combinaciones de los siguientes.
Con esta configuración, la aplicación está atascado en un bucle sin fin de redirecciones, donde la estrategia de redireccionamiento OAuth lo envía a http
y luego esta configuración envía al https
.
http.requiresChannel().anyRequest().requiresSecure()
Sin esta configuración, los usuarios pueden iniciar sesión a través de http (deseado).
config completo:
http.
requiresChannel().anyRequest().requiresSecure().
authorizeRequests().
// allow access to...
antMatchers("favicon.ico", "/login", "/loginFailure", "/oauth2/authorization/ghe")
.permitAll().anyRequest().authenticated().and().oauth2Login().
// Codify "spring.security.oauth2.client.registration/.provider"
clientRegistrationRepository(this.clientRegistrationRepository()).
// setup OAuth2 client service to use clientRegistrationRepository
authorizedClientService(this.authorizedClientService()).
successHandler(this.successHandler()).
// customize login pages
loginPage("/login").failureUrl("/loginFailure").
userInfoEndpoint().
// customize the principal
userService(this.userService());
También he intentado:
Configuración del servidor para uso
https
server: useForwardHeaders: true tomcat: protocolHeader: x-forwarded-proto
filtro de servlet
import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; import javax.servlet.ServletException; import javax.servlet.ServletRequest; import javax.servlet.ServletResponse; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import org.slf4j.Logger; import org.slf4j.LoggerFactory; import org.springframework.beans.factory.annotation.Value; import org.springframework.stereotype.Component; @Component public class HttpToHttpsFilter implements Filter { private static final Logger log = LoggerFactory.getLogger(HttpToHttpsFilter.class); private static final String HTTP = "http"; private static final String SCHEME_HTTP = "http://"; private static final String SCHEME_HTTPS = "https://"; private static final String LOCAL_ID = "0:0:0:0:0:0:0:1"; private static final String LOCALHOST = "localhost"; @Value("${local.ip}") private String localIp; public HttpToHttpsFilter() { // Sonar } @Override public void doFilter(final ServletRequest req, final ServletResponse res, final FilterChain chain) throws IOException, ServletException { final HttpServletRequest request = (HttpServletRequest) req; final HttpServletResponse response = (HttpServletResponse) res; // http, not localhost, not localhost ipv6, not local IP if (HTTP.equals(request.getScheme()) && !LOCALHOST.equals(request.getRemoteHost()) && !LOCAL_ID.equals(request.getRemoteHost()) && (this.localIp != null && !this.localIp.equals(request.getRemoteHost()))) { final String query = request.getQueryString(); String oldLocation = request.getRequestURL().toString(); if (query != null) { oldLocation += "?" + query; } final String newLocation = oldLocation.replaceFirst(SCHEME_HTTP, SCHEME_HTTPS); try { log.info("HTTP redirect from {} to {} ", oldLocation, newLocation); response.sendRedirect(newLocation); } catch (IOException e) { log.error("Cannot redirect to {} {} ", newLocation, e); } } else { chain.doFilter(req, res); } } @Override public void destroy() { // Sonar } @Override public void init(FilterConfig arg0) throws ServletException { // Sonar } }
dependencias
dependencies {
//
// BASICS
// health and monitoring
// compile('org.springframework.boot:spring-boot-starter-actuator')
// security
compile('org.springframework.boot:spring-boot-starter-security')
// configuration
compile('org.springframework.boot:spring-boot-configuration-processor')
//
// WEB
// web
compile('org.springframework.boot:spring-boot-starter-web')
// thymeleaf view render
compile('org.springframework.boot:spring-boot-starter-thymeleaf')
// thymeleaf security extras
compile('org.thymeleaf.extras:thymeleaf-extras-springsecurity4')
//
// OAUTH
// OAuth client
compile('org.springframework.security:spring-security-oauth2-client')
// OAuth lib
compile('org.springframework.security:spring-security-oauth2-jose')
// OAuth config
compile('org.springframework.security.oauth.boot:spring-security-oauth2-autoconfigure:2.0.0.RELEASE')
//
// CLOUD
// cloud connectors (e.g. vcaps)
compile('org.springframework.boot:spring-boot-starter-cloud-connectors')
//
// TOOLS
runtime('org.springframework.boot:spring-boot-devtools')
//
// TEST
// test
testCompile('org.springframework.boot:spring-boot-starter-test')
// security test
testCompile('org.springframework.security:spring-security-test')
}
Esto fue resuelto. Los detalles sobre el tema relacionado con esto se pueden encontrar en: https://github.com/spring-projects/spring-security/issues/5535#issuecomment-407413944
Proyecto de ejemplo que ahora opera: https://github.com/ericis/oauth-cf-https-issue
La respuesta corta:
La aplicación necesita ser configurado de forma explícita a estar al tanto de las cabeceras de proxy. Había intentado configuración, pero al final tuvo que utilizar una instancia de la ForwardedHeaderFilter
clase que se añadió hace poco tiempo a la primavera.
@Bean
FilterRegistrationBean<ForwardedHeaderFilter> forwardedHeaderFilter() {
final FilterRegistrationBean<ForwardedHeaderFilter> filterRegistrationBean = new FilterRegistrationBean<ForwardedHeaderFilter>();
filterRegistrationBean.setFilter(new ForwardedHeaderFilter());
filterRegistrationBean.setOrder(Ordered.HIGHEST_PRECEDENCE);
return filterRegistrationBean;
}