响应式 X.509 认证

本站(springdoc.cn)中的内容来源于 spring.io ,原始版权归属于 spring.io。由 springdoc.cn 进行翻译,整理。可供个人学习、研究,未经许可,不得进行任何转载、商用或与之相关的行为。 商标声明:Spring 是 Pivotal Software, Inc. 在美国以及其他国家的商标。

Servlet X.509认证 类似,响应式x509认证过滤器允许从客户提供的证书中提取认证令牌(token)。

下面的例子显示了一个响应式的x509安全配置。

  • Java

  • Kotlin

@Bean
public SecurityWebFilterChain securityWebFilterChain(ServerHttpSecurity http) {
	http
		.x509(withDefaults())
		.authorizeExchange(exchanges -> exchanges
		    .anyExchange().permitAll()
		);
	return http.build();
}
@Bean
fun securityWebFilterChain(http: ServerHttpSecurity): SecurityWebFilterChain {
    return http {
        x509 { }
        authorizeExchange {
            authorize(anyExchange, authenticated)
        }
    }
}

在前面的配置中,当既没有提供 principalExtractor 也没有提供 authenticationManager 时,会使用默认值。默认的 principal 提取器是 SubjectDnX509PrincipalExtractor,它从客户提供的证书中提取CN(通用名称)字段。默认的认证管理器是 ReactivePreAuthenticatedAuthenticationManager,它执行用户账户验证,检查由 principalExtractor 提取的名称的用户账户是否存在,以及它是否被锁定、禁用或过期。

下面的例子演示了如何覆盖这些默认值。

  • Java

  • Kotlin

@Bean
public SecurityWebFilterChain securityWebFilterChain(ServerHttpSecurity http) {
	SubjectDnX509PrincipalExtractor principalExtractor =
	        new SubjectDnX509PrincipalExtractor();

	principalExtractor.setSubjectDnRegex("OU=(.*?)(?:,|$)");

	ReactiveAuthenticationManager authenticationManager = authentication -> {
		authentication.setAuthenticated("Trusted Org Unit".equals(authentication.getName()));
		return Mono.just(authentication);
	};

	http
		.x509(x509 -> x509
		    .principalExtractor(principalExtractor)
		    .authenticationManager(authenticationManager)
		)
		.authorizeExchange(exchanges -> exchanges
		    .anyExchange().authenticated()
		);
	return http.build();
}
@Bean
fun securityWebFilterChain(http: ServerHttpSecurity): SecurityWebFilterChain? {
    val customPrincipalExtractor = SubjectDnX509PrincipalExtractor()
    customPrincipalExtractor.setSubjectDnRegex("OU=(.*?)(?:,|$)")
    val customAuthenticationManager = ReactiveAuthenticationManager { authentication: Authentication ->
        authentication.isAuthenticated = "Trusted Org Unit" == authentication.name
        Mono.just(authentication)
    }
    return http {
        x509 {
            principalExtractor = customPrincipalExtractor
            authenticationManager = customAuthenticationManager
        }
        authorizeExchange {
            authorize(anyExchange, authenticated)
        }
    }
}

在前面的例子中,用户名是从客户端证书的OU字段中提取的,而不是CN,而且根本不使用 ReactiveUserDetailsService 进行账户查询。相反,如果所提供的证书颁发给一个名为 “Trusted Org Unit” 的OU,则请求是已认证的。

关于配置 NettyWebClientcurl 命令行工具以使用相互TLS(双向认证)并启用X.509认证的例子,见 github.com/spring-projects/spring-security-samples/tree/main/servlet/java-configuration/authentication/x509