SpingSecurity 重定向uri白名单使用域名校验

最新推荐文章于 2024-07-19 20:24:55 发布
最新推荐文章于 2024-07-19 20:24:55 发布
阅读量1k 收藏 1
点赞数
分类专栏: JAVA security 文章标签: java 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42555971/article/details/128911643
版权

文章目录

背景

oauth2.0 授权码模式登录,需要对重定向 uri 进行白名单校验

默认规则:SpingSecurity 关于重定向 uri 白名单的校验是使用”等于“,即重定向 uri 需要完全等于白名单内其中一个 uri 才能通过检测

需求:重定向 uri 的域名等于白名单内其中一个 uri 即可通过检测

 

分析

经过百度和谷歌一通搜索,并没有找到相关的文章,而 SpingSecurity 的官网解析得也比较难懂,所以决定通过 debug 寻找切入点

  1. 授权码登录请求 /oauth/authorize,类名为 AuthorizationEndpoint,对重定向 uri 的校验位于 redirectResolver.resolveRedirect 方法

在这里插入图片描述

  1. 进入接口 RedirectResolver
    在这里插入图片描述

  2. 接口默认实现类为 DefaultRedirectResolver,校验方法为 obtainMatchingRedirect(registeredRedirectUris, requestedRedirect)在这里插入图片描述

  3. 进入 obtainMatchingRedirect 方法,发现校验关键方法为 redirectMatches(requestedRedirect, redirectUri)
    在这里插入图片描述

  4. 进入 redirectMatches,可以看到需要域名、端口号、路径、请求参数都一致才能校验通过
    在这里插入图片描述

分析到这里,已经找到关键点了,下面就是如何修改了
 

优化

  1. 创建新类 RedirectResolver,实现 RedirectResolver 接口
  2. 重写 redirectMatches 方法,修改为只对重定向 uri 域名的校验
  3. 重写 obtainMatchingRedirect 方法
  4. AuthorizationServerEndpointsConfigurer 载入 RedirectResolver

redirectMatches 方法,只保留对 host 域名、port 端口的校验

@Override
protected boolean redirectMatches(String requestedRedirect, String redirectUri) {
    UriComponents requestedRedirectUri = UriComponentsBuilder.fromUriString(requestedRedirect).build();
    UriComponents registeredRedirectUri = UriComponentsBuilder.fromUriString(redirectUri).build();

    boolean schemeMatch = isEqual(registeredRedirectUri.getScheme(), requestedRedirectUri.getScheme());
    boolean userInfoMatch = isEqual(registeredRedirectUri.getUserInfo(), requestedRedirectUri.getUserInfo());
    boolean hostMatch = hostMatches(registeredRedirectUri.getHost(), requestedRedirectUri.getHost());
    boolean portMatch = matchPorts ? registeredRedirectUri.getPort() == requestedRedirectUri.getPort() : true;

    return schemeMatch && userInfoMatch && hostMatch && portMatch;
}

obtainMatchingRedirect 方法,重定向 uri 修改为请求 uri

private String obtainMatchingRedirect(Set<String> redirectUris, String requestedRedirect) {
    Assert.notEmpty(redirectUris, "Redirect URIs cannot be empty");

    if (redirectUris.size() == 1 && requestedRedirect == null) {
        return redirectUris.iterator().next();
    }

    for (String redirectUri : redirectUris) {
        if (requestedRedirect != null && redirectMatches(requestedRedirect, redirectUri)) {
                return requestedRedirect;
        }
    }

    throw new RedirectMismatchException("Invalid redirect: " + requestedRedirect
            + " does not match one of the registered values.");
}

RedirectResolver 全貌

注意: obtainMatchingRedirect 方法为 private,不能重写,所以需要重写 resolveRedirect 方法


@Configuration
public class RedirectResolver extends DefaultRedirectResolver {

    /**
     * 重定向
     *
     * @param redirectUris      白名单
     * @param requestedRedirect 请求uri
     * @return
     */
    private String obtainMatchingRedirect(Set<String> redirectUris, String requestedRedirect) {
        Assert.notEmpty(redirectUris, "Redirect URIs cannot be empty");

        if (redirectUris.size() == 1 && requestedRedirect == null) {
            return redirectUris.iterator().next();
        }

        for (String redirectUri : redirectUris) {
            if (requestedRedirect != null && redirectMatches(requestedRedirect, redirectUri)) {
                    return requestedRedirect;
            }
        }

        throw new RedirectMismatchException("Invalid redirect: " + requestedRedirect
                + " does not match one of the registered values.");
    }

    /**
     * 判断重定向 uri 是否符合规则
     *
     * @param requestedRedirect 请求uri
     * @param redirectUri       白名单
     * @return
     */
    @Override
    protected boolean redirectMatches(String requestedRedirect, String redirectUri) {
        UriComponents requestedRedirectUri = UriComponentsBuilder.fromUriString(requestedRedirect).build();
        UriComponents registeredRedirectUri = UriComponentsBuilder.fromUriString(redirectUri).build();

        boolean schemeMatch = isEqual(registeredRedirectUri.getScheme(), requestedRedirectUri.getScheme());
        boolean userInfoMatch = isEqual(registeredRedirectUri.getUserInfo(), requestedRedirectUri.getUserInfo());
        boolean hostMatch = hostMatches(registeredRedirectUri.getHost(), requestedRedirectUri.getHost());
        boolean portMatch = matchPorts ? registeredRedirectUri.getPort() == requestedRedirectUri.getPort() : true;

        return schemeMatch && userInfoMatch && hostMatch && portMatch;
    }


    /**
     * 父类函数
     */
    private boolean matchPorts = true;
    private Collection<String> redirectGrantTypes = Arrays.asList("implicit", "authorization_code");
    private boolean matchSubdomains = false;

    private boolean isEqual(String str1, String str2) {
        if (StringUtils.isEmpty(str1) && StringUtils.isEmpty(str2)) {
            return true;
        } else if (!StringUtils.isEmpty(str1)) {
            return str1.equals(str2);
        } else {
            return false;
        }
    }

    @Override
    public String resolveRedirect(String requestedRedirect, ClientDetails client) throws OAuth2Exception {

        Set<String> authorizedGrantTypes = client.getAuthorizedGrantTypes();
        if (authorizedGrantTypes.isEmpty()) {
            throw new InvalidGrantException("A client must have at least one authorized grant type.");
        }
        if (!containsRedirectGrantType(authorizedGrantTypes)) {
            throw new InvalidGrantException(
                    "A redirect_uri can only be used by implicit or authorization_code grant types.");
        }

        Set<String> registeredRedirectUris = client.getRegisteredRedirectUri();
        if (registeredRedirectUris == null || registeredRedirectUris.isEmpty()) {
            throw new InvalidRequestException("At least one redirect_uri must be registered with the client.");
        }
        return obtainMatchingRedirect(registeredRedirectUris, requestedRedirect);
    }

    /**
     * @param grantTypes some grant types
     * @return true if the supplied grant types includes one or more of the redirect types
     */
    private boolean containsRedirectGrantType(Set<String> grantTypes) {
        for (String type : grantTypes) {
            if (redirectGrantTypes.contains(type)) {
                return true;
            }
        }
        return false;
    }
}

AuthorizationServerEndpointsConfigurer 载入 RedirectResolver

@Configuration
@EnableAuthorizationServer
public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter {

    @Resource
    RedirectResolver redirectResolver;
    
	...
	
    @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) {
 		 ...
         endpoints.redirectResolver(redirectResolver);
         ...
    }
    
}
我有一只肥螳螂
关注
专栏目录
25. Spring Boot 2.x 最佳实践之 Spring Security+ Swagger+自定义拦截器Token权限校验
极客星云-CSDN博客
05-17 2556
这篇博文来总结下Spring Boot 2.x+ Spring Security+ 自定义拦截器实现带Token权限控制最佳实战攻略.
Spring Security-全面详解(学习总结---从入门到深化)
12-01 1952
虽然Spring Security给我们提供了登录页面,但在实际项目中,更 多的是使用自己的登录页面。Spring Security也支持用户自定义登 录页面。用法如下:1、编写登录页面2、在Spring Security配置类自定义登录页面//Spring Security配置@Override// 自定义表单登录.loginPage("/login.html") //自定义登录页面.usernameParameter("username")// 表单中的用户名项。
文件上传黑名单和白名单校验
东方
07-29 4919
js , mime抓包改字段相对简单不多介绍。 重点介绍: 文章目录黑名单校验:截断上传: 用的不多,因为对PHP有版本要求: 黑名单校验: 在Apache的配置文件中,有能够被解析的后缀名的名单: 下面这个 自己的理解就是,单独的配置文件,优先级高于 config 可以自定义解析规则使用条件 这个是all 就可以 ,但是默认不开启。 直接上传hat文件即可生效。 比如自定义解析规...
如果已经登录,输入白名单路由想访问白名单页面被重定向其他页面
m0_67841039的博客
06-21 318
如果用户已经登录,但尝试访问白名单页面时被重定向到了其他页面,这可能是由于路由守卫的逻辑设置不正确。
spring security源码追踪理解(二)
最新发布
Interest1_wyt的博客
07-19 740
spring security源码追踪理解
IP白名单校验工具
yiqiu1959的博客
02-07 2238
package com.chinaentropy.screen.common.utils; import java.util.*; import java.util.regex.Pattern; /** * @author Suqi * @version 1.0 * @date 2022/2/7 14:45 * @desc 配置白名单工具类 */ public final class IpWhiteCheckUtil { // IP的正则 private static Patt
任意文件上传漏洞,添加白名单校验
apple_pingwan的博客
01-13 1321
为解决任意文件上传漏洞,添加白名单校验文件后缀名。1)添加配置文件。 2)添加白名单校验方法。3)在文件上传接口中,调用白名单校验接口。
Spring Security白名单失效问题
PinelliaLogic的博客
05-04 1906
Security核心配置类 SecurityConfig 中的 SecurityFilterChain 下的拦截规则哪里添加。SpringBoot版本:2.7.5。白名单中也要有需要放行路径。
循序渐进学习spring security 第十四篇 自定义验证码认证逻辑,自定义动态权限下URL白名单配置
huangxuanheng的专栏
08-08 1554
文章目录学习目标回顾自定义认证逻辑,增加验证码校验创建项目:security-verify创建类:UsernamePasswordProvider编写获取验证码接口配置URL白名单测试如何添加URL白名单DefaultFilterInvocationSecurityMetadataSource 源码剖析将过滤器 MenuFilterInvocationSecurityMetadataSource 改为继承DefaultFilterInvocationSecurityMetadataSource配置URL白
SpringCloud微服务整合Spring Security进行统一鉴权
lyy的博客
04-15 3743
有一个大坑,记得如果是单机操作多个微服务项目,要给每个微服务添加session cookie name,如下server : port : 8003 servlet : session : cookie : #防止 Cookie 冲突,冲突会导致登录验证不通过一定一定要做这一步。
springsecurity教程
qq_35872777的博客
05-28 1万+
1、什么是springsecurity:
spring-Security(二):校验流程
liyu121的博客
05-11 1309
spring-Security登录流程图如下,请仔细看AbstractAuthenticationProcessingFilter 抽象类/** * 调用 #requiresAuthentication(HttpServletRequest, HttpServletResponse) 决定是否需要进行验证操作。 * 如果需要验证,则会调用 #attemptAuthenticat...
重定向(Redirect)
Pursuit_li的博客
11-09 4551
重定向(Redirect)就是通过各种方法将各种网络请求重新定个方向转到其它位置(如:网页重定向域名重定向、路由选择的变化也是对数据报文经由路径的一种重定向)。
Spring Security6.2.2配置白名单
qq_31706527的博客
03-14 1466
Spring Security6.2.2中AuthenticationFailureHandler、AuthorizeRequests已弃用,这个问题研究了很久。经过百度搜索和chatGPT查询,重要找到了解决方法,直接放代码。代码中的“/captcha”就是要变为不需要验证登录的路径。小白一个,如果有不对的地方还请大神指正!
spring实战-Spring-security权限认证白名单
热门推荐
乔布斯基的博客
08-21 2万+
第九篇:spring实战-Spring-security权限认证白名单 当我们为程序设置权限认证时,主要是希望能够保护需要保护的功能,并不是说所有的功能都需要被保护起来,比如说系统主页,帮助中心等等 此时我们可以通过白名单的方式,让某些功能对未登录用户公开,Spring-security提供了对固定路径,或者模糊匹配路径的保护 com.halfworlders.idat.config
Spring Security 实现动态刷新 URL 白名单
hdfg159的专栏
12-31 892
RequestMatcher SpringSecurity 动态刷新 白名单 URL
SpringSecurity Oauth2 - 10 自定义SpEL权限表达式配置白名单url不需要token认证和鉴权
你今天真好看呀
11-10 4351
*** MethodSecurityExpressionOperations 接口方法的属性/*** SecurityExpressionRoot 类中的属性/*** 判断是否是白名单WhiteUrl,不校验权限,不需要token// 白名单url,直接返回true return true;} /*** 修改 SecurityExpressionRoot 类中的该方法** 登录请求url是否是白名单WhiteUrl,如果是则不需要校验权限,直接返回true。
SpringSecurity白名单路径不走自定义过滤器
qq_52614517的博客
07-01 1025
第二步:自定义过滤器不要注入到Spring容器中(也就是不要使用@Component注解)在securityConfig中使用new的方式将filter注册到security filter链中,交由security去管理。第一步:在SpringSecurity的配置类中重写public void configure(WebSecurity web)方法。这样springsecurity白名单的路径就不会走自定义过滤器。参考:http://t.csdn.cn/AogH8。具体原因可以看上面博主的博文。
spring security工作的大致流程
yu001207的博客
10-17 1778
spring security工作的大致流程,可以帮助你理解
Spring Security OAuth2:构建SSO应用的简易指南
本教程旨在详细介绍如何使用Spring Security OAuth2和Spring Boot框架实现单点登录(Single Sign-On, SSO)的过程。我们将涉及以下几个关键步骤和概念: 1. **概述** - SSO基于OAuth2的授权代码授权类型,它允许...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值