6

Web アプリケーションに Spring Security を使用して CAS 認証をセットアップしようとしています。ドキュメントに従って、XML 構成の例を Java 構成に変換することができました。しかし、私はすべてを正しく行ったかどうか確信が持てず、セキュリティの機密性を考えると、誰かに間違いがないことを確認してもらいたい.

たとえば、デフォルト設定がもうないことを確認するにはどうすればよいですか (URL に対するリベラルなアクセス許可、異なる認証マネージャーおよび/またはプロバイダーなど...)。

現在の AuthenticationManager を取得する方法は正しいですか?

正しい方法で行ったように EntryPoint を構成していますか?

WebSecurityConfigurerAdapter の使用方法を理解すると、ややこしくなります...

これは私の @Cofiguration クラスです:

@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Bean(name="authenticationManager")
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception {
        // TODO Auto-generated method stub
        return super.authenticationManagerBean();
    }

    @Bean
    public ServiceProperties serviceProperties() {
        final ServiceProperties serviceProperties = new ServiceProperties();
        serviceProperties.setService("http://localhost:8088/webapp/login/cas");
        return serviceProperties;

    }

    @Bean
    public AuthenticationUserDetailsService<CasAssertionAuthenticationToken> authenticationUserDetailsService() {
        return new MyCasAssertionUserDetailsService();
    }

    @Autowired
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        super.configure(auth);
        final CasAuthenticationProvider casAuthenticationProvider = new CasAuthenticationProvider();
        casAuthenticationProvider.setServiceProperties(serviceProperties());
        casAuthenticationProvider.setAuthenticationUserDetailsService(authenticationUserDetailsService());
        casAuthenticationProvider.setTicketValidator(new Cas20ProxyTicketValidator("https://my.cas.server.com/cas"));
        casAuthenticationProvider.setKey("MY-KEY");
        auth.authenticationProvider(casAuthenticationProvider);


    }

    @Bean
    public CasAuthenticationEntryPoint casEntryPoint() {
        final CasAuthenticationEntryPoint casEntryPoint = new CasAuthenticationEntryPoint();
        casEntryPoint.setServiceProperties(serviceProperties());
        casEntryPoint.setLoginUrl("https://my.cas.server.com/cas/activateAndLogin");
        return casEntryPoint;
    }

    // filter to invoke the CAS server when the user click on "Logout from CAS" in the local logout success page
    @Bean
    public LogoutFilter requestSSOLogoutToCASServerLogoutFilter() {
        final LogoutFilter logoutFilter = new LogoutFilter("https://my.cas.server.com/cas/logout", new SecurityContextLogoutHandler());
        logoutFilter.setFilterProcessesUrl("/logout/cas");
        return logoutFilter;
    }

    // filter that receives the request to logout from the CAS server
    @Bean
    public SingleSignOutFilter singleSignOutFilter() {
        return new org.jasig.cas.client.session.SingleSignOutFilter();
    }


    @Override
    protected void configure(HttpSecurity http) throws Exception {

        final CasAuthenticationFilter casAuthenticationFilter = new CasAuthenticationFilter();
        casAuthenticationFilter.setAuthenticationManager(authenticationManager());

        http
            .exceptionHandling().authenticationEntryPoint(casEntryPoint())
        .and()
            .logout()
                .logoutSuccessUrl("/cas-logout") // which page to redirect the User after the local log-out succeeded
                .permitAll() // all users can logout
        .and()
            .authorizeRequests()
                .anyRequest().authenticated()
        .and()
            .addFilter(casAuthenticationFilter)
            .addFilterBefore(requestSSOLogoutToCASServerLogoutFilter(), LogoutFilter.class)
            .addFilterBefore(singleSignOutFilter(), CasAuthenticationFilter.class)
            ;
    }
}
4

0 に答える 0