时间戳

首页 > 解决方案 > Grails 3.3.2 Spring Security CAS 不能通过负载均衡器工作,但可以通过部署在其上的内部服务器正常工作

grails - Grails 3.3.2 Spring Security CAS 不能通过负载均衡器工作,但可以通过部署在其上的内部服务器正常工作

问题描述

我们有一个使用 Spring Security Core 和 Spring Security CAS 插件的 Grails 3.3.2 应用程序。使用自定义 userDetailsS​​ervice 类从 Oracle 数据库中获取用户信息。当点击部署应用程序实例的 tomcat 服务器的内部 URL 时,此应用程序通过 CAS 登录很好,但是当我们尝试通过负载均衡器访问应用程序时,我们会遇到重定向循环和错误。

这是设置。我们有两个实例;一个配置为直接在应用服务器上访问,另一个通过充当反向代理的负载均衡器访问。直接在服务器上访问一个工作正常(重定向到 CAS,您登录,CAS 重定向回来,然后您就进入了)。通过负载均衡器重定向到 CAS,您登录,CAS 将您重定向回来,凭证被正确传递,但随后 Groovy 中的某些东西将其匿名化,您得到拒绝访问,然后返回 CAS。但是 CAS 票是有效的,所以 CAS 把你送回去,然后循环往复。在浏览器确定存在错误并停止它之前,它会重复 5 或 6 次。

将日志记录设置为调试,我们可以看到哪里出了问题,但无法弄清楚原因。


2020-07-16 12:07:46.179 DEBUG --- [io-8443-exec-21] o.s.security.web.FilterChainProxy        : / at position 9 of 11 in additional filter chain; firing Filter: 'GrailsRememberMeAuthenticationFilter'
2020-07-16 12:07:46.179 DEBUG --- [io-8443-exec-21] w.f.GrailsRememberMeAuthenticationFilter : SecurityContextHolder not populated with remember-me token, as it already contained: 'grails.plugin.springsecurity.authentication.GrailsAnonymousAuthenticationToken@dc4d198: Principal: org.springframework.security.core.userdetails.User@dc730200: Username: __grails.anonymous.user__; Password: [PROTECTED]; Enabled: false; AccountNonExpired: false; credentialsNonExpired: false; AccountNonLocked: false; Granted Authorities: ROLE_ANONYMOUS; Credentials: [PROTECTED]; Authenticated: true; Details: org.springframework.security.web.authentication.WebAuthenticationDetails@7798: RemoteIpAddress: XXX.XXX.XX.XXX; SessionId: null; Granted Authorities: ROLE_ANONYMOUS'

当它仅在内部服务器上用于我们的应用程序实例时,我们的自定义 userDetailsS​​ervice 被用作主体而不是grails.anonymous.user


2020-07-16 12:07:46.947 DEBUG --- [nio-8443-exec-6] o.s.security.web.FilterChainProxy        : / at position 9 of 11 in additional filter chain; firing Filter: 'GrailsRememberMeAuthenticationFilter'
2020-07-16 12:07:46.947 DEBUG --- [nio-8443-exec-6] w.f.GrailsRememberMeAuthenticationFilter : SecurityContextHolder not populated with remember-me token, as it already contained: 'org.springframework.security.cas.authentication.CasAuthenticationToken@a53948f3: Principal: edu.utica.grails.security.UticaUserDetails@6e9a437b: Username: XXXXXX; Password: [PROTECTED]; Enabled: true; AccountNonExpired: true; credentialsNonExpired: true; AccountNonLocked: true; Granted Authorities: ROLE_ADMIN,ROLE_FINAID,ROLE_STUDENT,ROLE_USER; Credentials: [PROTECTED]; Authenticated: true; Details: org.springframework.security.web.authentication.WebAuthenticationDetails@ffff4c9c: RemoteIpAddress: XXX.XX.XXXX.XX; SessionId: CFC5F608B6E1A847F43BD18FC91480F2; Granted Authorities: ROLE_ADMIN, ROLE_FINAID, ROLE_STUDENT, ROLE_USER Assertion: org.jasig.cas.client.validation.AssertionImpl@7c7827d0 Credentials (Service/Proxy Ticket): ST-eff75341bc2e4124b1563d16823ce021-XXX.XXXX.XXX'

谁能告诉我为什么在一个实例中 SecurityContextHolder 从我们的 userDetailsS​​ervice 获取主体并且 CAS 工作正常,而在负载均衡器后面的另一个实例中,SecurityContextHolder 正在获取 'grails.plugin.springsecurity.authentication.GrailsAnonymousAuthenticationToken@dc4d198: Principal: org .springframework.security.core.userdetails.User@dc730200:用户名:grails.anonymous.user

谢谢你,迈克

标签: grailsspring-securityspring-security-casgrails-3.3.x

解决方案

好吧,我确信通过 Grails 配置可以解决这个问题,但我还没有弄清楚。

通过在负载均衡器中进行一些设置更改,我们确实让应用程序通过负载均衡器工作,这现在允许 CAS 单点登录为 grails 应用程序工作。我不是通过做出改变来完成这项工作的人,所以我将尽我所能解释所做的事情。

我们想在内部服务器上运行这些应用程序,因此我们试图设置一个第 7 层 https 负载均衡器,以便来自不同服务器的所有应用程序都有一个面向公众的 URL。首次设置时,使用了“Instant SSL”服务类型。这应该设置为具有自动 HTTP 重定向,但不适用于我的 grails 应用程序。一旦第 7 层负载均衡器更改为没有自动重定向的普通 HTTPS 服务,它就可以正常工作。

我们不确定为什么会有所作为,因为无论如何我们一直在使用 https://。

推荐阅读