spring-security - Zuul が Eureka に登録されたマイクロサービスにリダイレクトした後、認証されたプリンシパルが失われる

Question

Netflix スタックを操作するために、次のように設定しています。

• エウレカサーバー
• Zuul プロキシ (Eureka に登録済み) を使用して外部に公開されたモジュール
• 多数のバックエンド マイクロサービス (Eureka に登録済み)

私の問題は、プロキシで (マイクロサービスにリダイレクトされる) URL を 2 回目または 3 回目に呼び出すと、認証されたプリンシパルが失われることです。

ログ エントリは次のとおりです。

09:14:31.300  INFO 8720 --- [nio-8080-exec-7] o.s.b.a.audit.listener.AuditListener     : AuditEvent [timestamp=Mon Sep 14 09:14:31 CEST 2015, principal=anonymousUser, type=AUTHORIZATION_FAILURE, data={message=Access is denied, type=org.springframework.security.access.AccessDeniedException}]
09:14:33.387  INFO 8720 --- [io-8080-exec-10] o.s.b.a.audit.listener.AuditListener     : AuditEvent [timestamp=Mon Sep 14    09:14:33 CEST 2015, principal=eadmin, type=AUTHENTICATION_SUCCESS, data={details=org.springframework.security.web.authentication.WebAuthenticationDetails@fffde5d4: RemoteIpAddress: 0:0:0:0:0:0:0:1; SessionId: DE9DEDCB6A809133C54ABC3403A46B38}]
09:14:33.387  INFO 8720 --- [io-8080-exec-10] o.s.b.a.audit.listener.AuditListener     : AuditEvent [timestamp=Mon Sep 14 09:14:33 CEST 2015, principal=eadmin, type=AUTHENTICATION_SUCCESS, data={details=org.springframework.security.web.authentication.WebAuthenticationDetails@fffde5d4: RemoteIpAddress: 0:0:0:0:0:0:0:1; SessionId: DE9DEDCB6A809133C54ABC3403A46B38}]
09:14:35.407  INFO 8720 --- [nio-8080-exec-1] o.s.c.n.zuul.filters.ProxyRouteLocator   : Finding route for path: /userregistryservice/user-registry/getAllRoles
09:23:40.119  INFO 8720 --- [nio-8080-exec-2] o.s.c.n.zuul.filters.ProxyRouteLocator   : Finding route for path: /userregistryservice/user-registry/getAllRoles
09:24:06.689  INFO 8720 --- [nio-8080-exec-3] o.s.b.a.audit.listener.AuditListener     : AuditEvent [timestamp=Mon Sep 14 09:24:06 CEST 2015, principal=anonymousUser, type=AUTHORIZATION_FAILURE, data={message=Access is denied, type=org.springframework.security.access.AccessDeniedException}]

Zuul プロキシを実装しました。プリンシパルをリクエスト ヘッダーに渡してリダイレクトしますが、リクエストが 2 回目に送信されると、このフィルターは呼び出されません ( Spring Security はリクエストを匿名リクエストとしてキャプチャします)。

ここで何が起こっているのかについてのアイデアはありますか?

ありがとう

編集: Fiddler で調査したところ、2 つの要求が成功した後、拒否された要求が HTTP 302 コードで応答されることがわかりました。

編集 #2 : これは私の Spring のブート セキュリティ構成です。

@Autowired
private RequestHeaderAuthenticationFilter siteminderFilter;

@Override
protected void configure(HttpSecurity http) throws Exception {
 // @formatter:off
    http.anonymous().and().addFilter(siteminderFilter)
        .authorizeRequests()
        .antMatchers("/authfallback/**", "/access_requests.css")
        .permitAll()
        .antMatchers("/auth/**")
        .fullyAuthenticated()
        .antMatchers("/**/metrics")
        .hasAnyRole("SYSTEM", "ADMIN")
        .antMatchers("/logs")
        .hasAnyRole("SYSTEM", "ADMIN")
        .antMatchers("/user-registry/**")
        .hasAnyRole("SYSTEM", "ADMIN")
        .antMatchers("/AdminTools/**", "/api-docs")
        .hasAnyRole("ADMIN")
        .antMatchers("/sdoc.jsp", "o2c.html")
        .denyAll()
        .antMatchers("/**")
        .hasAnyRole("SYSTEM", "ENGINEERING", "CUSTOMER", "EXECUTIVE", "ADMIN").and().formLogin()
        .loginPage("/authfallback/login").defaultSuccessUrl("/index.html", false)
        .permitAll().and().logout()
        .invalidateHttpSession(true).logoutUrl("/logout").logoutSuccessHandler(wamLogoutHandler).and()
        .exceptionHandling().accessDeniedPage("/auth/authorizationrequest").and().csrf().disable();
 // @formatter:on
}