草庐IT

java - Spring security x.509 身份验证 - 根据其颁发者证书颁发机构接受证书

coder 2024-03-14 原文

我正在使用 Spring Security 来 authenticate using an x.509 certificate ,并且仅当在浏览器 keystore 中配置的客户端证书存在于服务器信任库中时才有效。

目前的运作方式:

  • 我已将 SSL 客户端身份验证配置为可选(server.ssl.client-auth=want,如 this post)
  • 我已经配置了一个包含所有客户端证书的服务器信任库。如果客户端提供的证书在信任库中,则创建相互 SSL 连接。
  • 当我在服务器端信任库中拥有客户端证书时,Firefox 会打开一个弹出窗口,其中包含我的客户端证书,我可以选择并建立相互 SSL 连接。
  • 我已将 Spring Security 配置为从客户端证书的 SubjectDN 中提取用户名,并根据 UserDetailsService 检查它.如果为该用户名返回了 UserDetails 对象,则身份验证过程成功完成

问题是,如果我从服务器端信任库中删除客户端证书,Firefox 将不再打开此弹出窗口,并且只会建立单向 SSL 连接。即使根 CA 证书存在于服务器信任库中。

我想要的:

  • 在服务器信任存储中仅存储根证书颁发机构的证书
  • 当客户端出示服务器信任库中根 CA 颁发的证书时允许相互 SSL 连接(即使服务器信任库中不存在客户端证书)

我还对互联网上的两个资源很感兴趣。在 this tutorial在 Baeldung 上,它说所有客户端证书都必须存储在服务器信任库中,X.509 身份验证才能工作(这证实了我的经验)。

You must remember that for each user that should be verified by the server, its own certificate needs to be installed in the configured truststore. For small applications with only a few clients, this may perhaps be practicable, with an increasing number of clients it may lead to complex key-management for users.

然而,this tutorial通过 @ robinhowlett说是

The client will present its certificate in its keystore to the server, and the server will validate the client certificate’s chain using the CA certificate in the server’s truststore.

这基本上是我想要实现的,但我做不到。

底线:是否有人设法在服务器信任库中存储一个或多个根 CA 证书,并使用这些根 CA 颁发的客户端证书在 Spring 中通过 X.509 双向 SSL 握手进行身份验证安全吗?

我正在使用 Spring Boot 1.5.2.RELEASE (spring-security-web 4.2.2.RELEASE)。我已经使用 Firefox 53 测试了我的工作 SSL 身份验证。

最佳答案

我发现了我的问题 - 我正在修改信任库(删除客户端证书并仅保留 CA 证书),而服务器已启动(在我的情况下是 Tomcat)。但是信任库保存在内存中,并且只在 JVM 初始化时读取一次(详情 on this ServerFault post )。因此,Tomcat 不会在运行时读取信任库更改。

所以答案很简单:是的,如果信任库中只有 CA 证书,在 SSL 握手期间,服务器会与浏览器通信,它需要由受信任的 CA 颁发的客户端证书,然后浏览器会提示用户选择由受信任的 CA 颁发的证书(如果浏览器 keystore 中存在此类证书)。

但是,如果在服务器启动并运行时将 CA 动态添加到服务器信任库,则不会检测到它。新的 CA 只有在服务器重启后才能被识别(并且 JVM 被重新初始化)。

关于java - Spring security x.509 身份验证 - 根据其颁发者证书颁发机构接受证书,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/43766304/

securitySpringnoreferrernoopenernofollowjavaspring-bootspring-securityx509

有关java - Spring security x.509 身份验证 - 根据其颁发者证书颁发机构接受证书的更多相关文章

  1. ruby - 具有身份验证的私有(private) Ruby Gem 服务器 - 2

    我想安装一个带有一些身份验证的私有(private)Rubygem服务器。我希望能够使用公共(public)Ubuntu服务器托管内部gem。我读到了http://docs.rubygems.org/read/chapter/18.但是那个没有身份验证-如我所见。然后我读到了https://github.com/cwninja/geminabox.但是当我使用基本身份验证(他们在他们的Wiki中有)时,它会提示从我的服务器获取源。所以。如何制作带有身份验证的私有(private)Rubygem服务器?这是不可能的吗?谢谢。编辑:Geminabox问题。我尝试“捆绑”以安装新的gem..

  2. java - 等价于 Java 中的 Ruby Hash - 2

    我真的很习惯使用Ruby编写以下代码:my_hash={}my_hash['test']=1Java中对应的数据结构是什么? 最佳答案 HashMapmap=newHashMap();map.put("test",1);我假设? 关于java-等价于Java中的RubyHash,我们在StackOverflow上找到一个类似的问题: https://stackoverflow.com/questions/22737685/

  3. ruby - 如何根据特征实现 FactoryGirl 的条件行为 - 2

    我有一个用户工厂。我希望默认情况下确认用户。但是鉴于unconfirmed特征,我不希望它们被确认。虽然我有一个基于实现细节而不是抽象的工作实现,但我想知道如何正确地做到这一点。factory:userdoafter(:create)do|user,evaluator|#unwantedimplementationdetailshereunlessFactoryGirl.factories[:user].defined_traits.map(&:name).include?(:unconfirmed)user.confirm!endendtrait:unconfirmeddoenden

  4. java - 从 JRuby 调用 Java 类的问题 - 2

    我正在尝试使用boilerpipe来自JRuby。我看过guide从JRuby调用Java,并成功地将它与另一个Java包一起使用,但无法弄清楚为什么同样的东西不能用于boilerpipe。我正在尝试基本上从JRuby中执行与此Java等效的操作:URLurl=newURL("http://www.example.com/some-location/index.html");Stringtext=ArticleExtractor.INSTANCE.getText(url);在JRuby中试过这个:require'java'url=java.net.URL.new("http://www

  5. java - 我的模型类或其他类中应该有逻辑吗 - 2

    我只想对我一直在思考的这个问题有其他意见,例如我有classuser_controller和classuserclassUserattr_accessor:name,:usernameendclassUserController//dosomethingaboutanythingaboutusersend问题是我的User类中是否应该有逻辑user=User.newuser.do_something(user1)oritshouldbeuser_controller=UserController.newuser_controller.do_something(user1,user2)我

  6. java - 什么相当于 ruby​​ 的 rack 或 python 的 Java wsgi? - 2

    什么是ruby​​的rack或python的Java的wsgi?还有一个路由库。 最佳答案 来自Python标准PEP333:Bycontrast,althoughJavahasjustasmanywebapplicationframeworksavailable,Java's"servlet"APImakesitpossibleforapplicationswrittenwithanyJavawebapplicationframeworktoruninanywebserverthatsupportstheservletAPI.ht

  7. 区块链之加解密算法&数字证书 - 2

    目录一.加解密算法数字签名对称加密DES(DataEncryptionStandard)3DES(TripleDES)AES(AdvancedEncryptionStandard)RSA加密法DSA(DigitalSignatureAlgorithm)ECC(EllipticCurvesCryptography)非对称加密签名与加密过程非对称加密的应用对称加密与非对称加密的结合二.数字证书图解一.加解密算法加密简单而言就是通过一种算法将明文信息转换成密文信息,信息的的接收方能够通过密钥对密文信息进行解密获得明文信息的过程。根据加解密的密钥是否相同,算法可以分为对称加密、非对称加密、对称加密和非

  8. Observability:从零开始创建 Java 微服务并监控它 (二) - 2

    这篇文章是继上一篇文章“Observability:从零开始创建Java微服务并监控它(一)”的续篇。在上一篇文章中,我们讲述了如何创建一个Javaweb应用,并使用Filebeat来收集应用所生成的日志。在今天的文章中,我来详述如何收集应用的指标,使用APM来监控应用并监督web服务的在线情况。源码可以在地址 https://github.com/liu-xiao-guo/java_observability 进行下载。摄入指标指标被视为可以随时更改的时间点值。当前请求的数量可以改变任何毫秒。你可能有1000个请求的峰值,然后一切都回到一个请求。这也意味着这些指标可能不准确,你还想提取最小/

  9. 【Java 面试合集】HashMap中为什么引入红黑树,而不是AVL树呢 - 2

    HashMap中为什么引入红黑树,而不是AVL树呢1.概述开始学习这个知识点之前我们需要知道,在JDK1.8以及之前,针对HashMap有什么不同。JDK1.7的时候,HashMap的底层实现是数组+链表JDK1.8的时候,HashMap的底层实现是数组+链表+红黑树我们要思考一个问题,为什么要从链表转为红黑树呢。首先先让我们了解下链表有什么不好???2.链表上述的截图其实就是链表的结构,我们来看下链表的增删改查的时间复杂度增:因为链表不是线性结构,所以每次添加的时候,只需要移动一个节点,所以可以理解为复杂度是N(1)删:算法时间复杂度跟增保持一致查:既然是非线性结构,所以查询某一个节点的时候

  10. 【Java入门】使用Java实现文件夹的遍历 - 2

    遍历文件夹我们通常是使用递归进行操作,这种方式比较简单,也比较容易理解。本文为大家介绍另一种不使用递归的方式,由于没有使用递归,只用到了循环和集合,所以效率更高一些!一、使用递归遍历文件夹整体思路1、使用File封装初始目录,2、打印这个目录3、获取这个目录下所有的子文件和子目录的数组。4、遍历这个数组,取出每个File对象4-1、如果File是否是一个文件,打印4-2、否则就是一个目录,递归调用代码实现publicclassSearchFile{publicstaticvoidmain(String[]args){//初始目录Filedir=newFile("d:/Dev");Datebeg

随机推荐