SpingSecurity 重定向uri白名单使用域名校验

最新推荐文章于 2024-09-12 15:50:44 发布
最新推荐文章于 2024-09-12 15:50:44 发布
阅读量1k 收藏 1
点赞数
分类专栏: JAVA security 文章标签: java 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42555971/article/details/128911643
版权

文章目录

背景

oauth2.0 授权码模式登录,需要对重定向 uri 进行白名单校验

默认规则:SpingSecurity 关于重定向 uri 白名单的校验是使用”等于“,即重定向 uri 需要完全等于白名单内其中一个 uri 才能通过检测

需求:重定向 uri 的域名等于白名单内其中一个 uri 即可通过检测

 

分析

经过百度和谷歌一通搜索,并没有找到相关的文章,而 SpingSecurity 的官网解析得也比较难懂,所以决定通过 debug 寻找切入点

  1. 授权码登录请求 /oauth/authorize,类名为 AuthorizationEndpoint,对重定向 uri 的校验位于 redirectResolver.resolveRedirect 方法

在这里插入图片描述

  1. 进入接口 RedirectResolver
    在这里插入图片描述

  2. 接口默认实现类为 DefaultRedirectResolver,校验方法为 obtainMatchingRedirect(registeredRedirectUris, requestedRedirect)在这里插入图片描述

  3. 进入 obtainMatchingRedirect 方法,发现校验关键方法为 redirectMatches(requestedRedirect, redirectUri)
    在这里插入图片描述

  4. 进入 redirectMatches,可以看到需要域名、端口号、路径、请求参数都一致才能校验通过
    在这里插入图片描述

分析到这里,已经找到关键点了,下面就是如何修改了
 

优化

  1. 创建新类 RedirectResolver,实现 RedirectResolver 接口
  2. 重写 redirectMatches 方法,修改为只对重定向 uri 域名的校验
  3. 重写 obtainMatchingRedirect 方法
  4. AuthorizationServerEndpointsConfigurer 载入 RedirectResolver

redirectMatches 方法,只保留对 host 域名、port 端口的校验

@Override
protected boolean redirectMatches(String requestedRedirect, String redirectUri) {
    UriComponents requestedRedirectUri = UriComponentsBuilder.fromUriString(requestedRedirect).build();
    UriComponents registeredRedirectUri = UriComponentsBuilder.fromUriString(redirectUri).build();

    boolean schemeMatch = isEqual(registeredRedirectUri.getScheme(), requestedRedirectUri.getScheme());
    boolean userInfoMatch = isEqual(registeredRedirectUri.getUserInfo(), requestedRedirectUri.getUserInfo());
    boolean hostMatch = hostMatches(registeredRedirectUri.getHost(), requestedRedirectUri.getHost());
    boolean portMatch = matchPorts ? registeredRedirectUri.getPort() == requestedRedirectUri.getPort() : true;

    return schemeMatch && userInfoMatch && hostMatch && portMatch;
}

obtainMatchingRedirect 方法,重定向 uri 修改为请求 uri

private String obtainMatchingRedirect(Set<String> redirectUris, String requestedRedirect) {
    Assert.notEmpty(redirectUris, "Redirect URIs cannot be empty");

    if (redirectUris.size() == 1 && requestedRedirect == null) {
        return redirectUris.iterator().next();
    }

    for (String redirectUri : redirectUris) {
        if (requestedRedirect != null && redirectMatches(requestedRedirect, redirectUri)) {
                return requestedRedirect;
        }
    }

    throw new RedirectMismatchException("Invalid redirect: " + requestedRedirect
            + " does not match one of the registered values.");
}

RedirectResolver 全貌

注意: obtainMatchingRedirect 方法为 private,不能重写,所以需要重写 resolveRedirect 方法


@Configuration
public class RedirectResolver extends DefaultRedirectResolver {

    /**
     * 重定向
     *
     * @param redirectUris      白名单
     * @param requestedRedirect 请求uri
     * @return
     */
    private String obtainMatchingRedirect(Set<String> redirectUris, String requestedRedirect) {
        Assert.notEmpty(redirectUris, "Redirect URIs cannot be empty");

        if (redirectUris.size() == 1 && requestedRedirect == null) {
            return redirectUris.iterator().next();
        }

        for (String redirectUri : redirectUris) {
            if (requestedRedirect != null && redirectMatches(requestedRedirect, redirectUri)) {
                    return requestedRedirect;
            }
        }

        throw new RedirectMismatchException("Invalid redirect: " + requestedRedirect
                + " does not match one of the registered values.");
    }

    /**
     * 判断重定向 uri 是否符合规则
     *
     * @param requestedRedirect 请求uri
     * @param redirectUri       白名单
     * @return
     */
    @Override
    protected boolean redirectMatches(String requestedRedirect, String redirectUri) {
        UriComponents requestedRedirectUri = UriComponentsBuilder.fromUriString(requestedRedirect).build();
        UriComponents registeredRedirectUri = UriComponentsBuilder.fromUriString(redirectUri).build();

        boolean schemeMatch = isEqual(registeredRedirectUri.getScheme(), requestedRedirectUri.getScheme());
        boolean userInfoMatch = isEqual(registeredRedirectUri.getUserInfo(), requestedRedirectUri.getUserInfo());
        boolean hostMatch = hostMatches(registeredRedirectUri.getHost(), requestedRedirectUri.getHost());
        boolean portMatch = matchPorts ? registeredRedirectUri.getPort() == requestedRedirectUri.getPort() : true;

        return schemeMatch && userInfoMatch && hostMatch && portMatch;
    }


    /**
     * 父类函数
     */
    private boolean matchPorts = true;
    private Collection<String> redirectGrantTypes = Arrays.asList("implicit", "authorization_code");
    private boolean matchSubdomains = false;

    private boolean isEqual(String str1, String str2) {
        if (StringUtils.isEmpty(str1) && StringUtils.isEmpty(str2)) {
            return true;
        } else if (!StringUtils.isEmpty(str1)) {
            return str1.equals(str2);
        } else {
            return false;
        }
    }

    @Override
    public String resolveRedirect(String requestedRedirect, ClientDetails client) throws OAuth2Exception {

        Set<String> authorizedGrantTypes = client.getAuthorizedGrantTypes();
        if (authorizedGrantTypes.isEmpty()) {
            throw new InvalidGrantException("A client must have at least one authorized grant type.");
        }
        if (!containsRedirectGrantType(authorizedGrantTypes)) {
            throw new InvalidGrantException(
                    "A redirect_uri can only be used by implicit or authorization_code grant types.");
        }

        Set<String> registeredRedirectUris = client.getRegisteredRedirectUri();
        if (registeredRedirectUris == null || registeredRedirectUris.isEmpty()) {
            throw new InvalidRequestException("At least one redirect_uri must be registered with the client.");
        }
        return obtainMatchingRedirect(registeredRedirectUris, requestedRedirect);
    }

    /**
     * @param grantTypes some grant types
     * @return true if the supplied grant types includes one or more of the redirect types
     */
    private boolean containsRedirectGrantType(Set<String> grantTypes) {
        for (String type : grantTypes) {
            if (redirectGrantTypes.contains(type)) {
                return true;
            }
        }
        return false;
    }
}

AuthorizationServerEndpointsConfigurer 载入 RedirectResolver

@Configuration
@EnableAuthorizationServer
public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter {

    @Resource
    RedirectResolver redirectResolver;
    
	...
	
    @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) {
 		 ...
         endpoints.redirectResolver(redirectResolver);
         ...
    }
    
}
Spring Security-antMatchers 访问控制-url-匹配、白名单
西京刀客
09-23 1万+
文章目录一、问题背景二、spring security访问控制 url 匹配1. 匹配规则1.1 antMatcher()1.2 regexMatchers()三、实战配置demo举例 一、问题背景 每个不同的业务服务有的接口需要认证后才能访问,有的接口是不需要认证就可以访问的,有的接口可能是需要某些权限、角色才可以访问。 二、spring security访问控制 url 匹配 Spring Security——访问控制 url 匹配 参考URL: http://www.wjxin.cn/wjx/2020
25. Spring Boot 2.x 最佳实践之 Spring Security+ Swagger+自定义拦截器Token权限校验
极客星云-CSDN博客
05-17 2593
这篇博文来总结下Spring Boot 2.x+ Spring Security+ 自定义拦截器实现带Token权限控制最佳实战攻略.
如果已经登录,输入白名单路由想访问白名单页面被重定向其他页面
m0_67841039的博客
06-21 377
如果用户已经登录,但尝试访问白名单页面时被重定向到了其他页面,这可能是由于路由守卫的逻辑设置不正确。
Nginx中白名单域设置(解决Host注入问题)
最新发布
fxtxz2的专栏
09-12 693
nginx这个Host注入攻击,还是比较容易解决的。
IP白名单校验工具
yiqiu1959的博客
02-07 2261
package com.chinaentropy.screen.common.utils; import java.util.*; import java.util.regex.Pattern; /** * @author Suqi * @version 1.0 * @date 2022/2/7 14:45 * @desc 配置白名单工具类 */ public final class IpWhiteCheckUtil { // IP的正则 private static Patt
文件上传黑名单和白名单校验
东方
07-29 5001
js , mime抓包改字段相对简单不多介绍。 重点介绍: 文章目录黑名单校验:截断上传: 用的不多,因为对PHP有版本要求: 黑名单校验: 在Apache的配置文件中,有能够被解析的后缀名的名单: 下面这个 自己的理解就是,单独的配置文件,优先级高于 config 可以自定义解析规则使用条件 这个是all 就可以 ,但是默认不开启。 直接上传hat文件即可生效。 比如自定义解析规...
任意文件上传漏洞,添加白名单校验
apple_pingwan的博客
01-13 1354
为解决任意文件上传漏洞,添加白名单校验文件后缀名。1)添加配置文件。 2)添加白名单校验方法。3)在文件上传接口中,调用白名单校验接口。
循序渐进学习spring security 第十四篇 自定义验证码认证逻辑,自定义动态权限下URL白名单配置
huangxuanheng的专栏
08-08 1583
文章目录学习目标回顾自定义认证逻辑,增加验证码校验创建项目:security-verify创建类:UsernamePasswordProvider编写获取验证码接口配置URL白名单测试如何添加URL白名单DefaultFilterInvocationSecurityMetadataSource 源码剖析将过滤器 MenuFilterInvocationSecurityMetadataSource 改为继承DefaultFilterInvocationSecurityMetadataSource配置URL白
SpringCloud微服务整合Spring Security进行统一鉴权
lyy的博客
04-15 3869
有一个大坑,记得如果是单机操作多个微服务项目,要给每个微服务添加session cookie name,如下server : port : 8003 servlet : session : cookie : #防止 Cookie 冲突,冲突会导致登录验证不通过一定一定要做这一步。
Spring Security-全面详解(学习总结---从入门到深化)
12-01 2007
虽然Spring Security给我们提供了登录页面,但在实际项目中,更 多的是使用自己的登录页面。Spring Security也支持用户自定义登 录页面。用法如下:1、编写登录页面2、在Spring Security配置类自定义登录页面//Spring Security配置@Override// 自定义表单登录.loginPage("/login.html") //自定义登录页面.usernameParameter("username")// 表单中的用户名项。
springsecurity教程
qq_35872777的博客
05-28 1万+
1、什么是springsecurity:
Spring Security白名单失效问题
PinelliaLogic的博客
05-04 2025
Security核心配置类 SecurityConfig 中的 SecurityFilterChain 下的拦截规则哪里添加。SpringBoot版本:2.7.5。白名单中也要有需要放行路径。
spring-Security(二):校验流程
liyu121的博客
05-11 1342
spring-Security登录流程图如下,请仔细看AbstractAuthenticationProcessingFilter 抽象类/** * 调用 #requiresAuthentication(HttpServletRequest, HttpServletResponse) 决定是否需要进行验证操作。 * 如果需要验证,则会调用 #attemptAuthenticat...
重定向(Redirect)
Pursuit_li的博客
11-09 4625
重定向(Redirect)就是通过各种方法将各种网络请求重新定个方向转到其它位置(如:网页重定向域名重定向、路由选择的变化也是对数据报文经由路径的一种重定向)。
Spring Security6.2.2配置白名单
qq_31706527的博客
03-14 1602
Spring Security6.2.2中AuthenticationFailureHandler、AuthorizeRequests已弃用,这个问题研究了很久。经过百度搜索和chatGPT查询,重要找到了解决方法,直接放代码。代码中的“/captcha”就是要变为不需要验证登录的路径。小白一个,如果有不对的地方还请大神指正!
spring实战-Spring-security权限认证白名单
热门推荐
乔布斯基的博客
08-21 2万+
第九篇:spring实战-Spring-security权限认证白名单 当我们为程序设置权限认证时,主要是希望能够保护需要保护的功能,并不是说所有的功能都需要被保护起来,比如说系统主页,帮助中心等等 此时我们可以通过白名单的方式,让某些功能对未登录用户公开,Spring-security提供了对固定路径,或者模糊匹配路径的保护 com.halfworlders.idat.config
手把手教你java中如何使用Spring security(一)
uuuyy_的博客
01-20 702
背景 阅读本文你应该熟悉基本的Core Java,J2EE和Spring MVC的知识。 什么是Spring Security? 这是一个基于Java的安全解决方案。它主要适用于基于Spring框架构建的基于Java的Web应用程序。它为基于J2EE的企业软件应用程序提供全面的安全服务。它功能强大,灵活性更高。您可以非常轻松地将spring安全服务插入到您的应用程序中。 认证和授权是Spring Security中包含的两个主要操作。 1.身份验证是要求用户提供有效凭据来验明正身。 2....
SpringSecurity
weixin_45701868的博客
07-08 2103
SpringSecurity
Spring Security 实现动态刷新 URL 白名单
hdfg159的专栏
12-31 972
RequestMatcher SpringSecurity 动态刷新 白名单 URL
SpringSecurity Oauth2 - 10 自定义SpEL权限表达式配置白名单url不需要token认证和鉴权
你今天真好看呀
11-10 4410
*** MethodSecurityExpressionOperations 接口方法的属性/*** SecurityExpressionRoot 类中的属性/*** 判断是否是白名单WhiteUrl,不校验权限,不需要token// 白名单url,直接返回true return true;} /*** 修改 SecurityExpressionRoot 类中的该方法** 登录请求url是否是白名单WhiteUrl,如果是则不需要校验权限,直接返回true。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值