Spring Webflux Security - авторизованная конечная точка на основе сертификата клиента

Да, это возможно. Вы можете даже дополнительно защитить свое веб-приложение, проверив поле CN сертификата и заблокировав его, если у него нет правильного имени. Я не уверен, возможно ли это с помощью Spring Security из коробки, но я знаю, что это возможно с AOP с помощью AspectJ. Таким образом, вы можете перехватить запрос после успешного подтверждения ssl и до того, как он попадет в ваш контроллер. Я бы определенно посоветовал прочитать эту статью: Введение в AspectJ, поскольку это поможет вам понять основную концепцию библиотеки.

Что вы можете сделать, так это создать аннотацию, например: AdditionalCertificateValidations, которая может принимать список разрешенных и запрещенных общих имен. См. Реализацию ниже. Таким образом, вы можете выбрать для каждого контроллера, какой CN вы хотите разрешить или запретить.

@Retention(RetentionPolicy.RUNTIME)
@Target(ElementType.METHOD)
public @interface AdditionalCertificateValidations {

    String[] allowedCommonNames()       default {};
    String[] notAllowedCommonNames()    default {};

}

Послесловие вы можете аннотировать свой контроллер с помощью приведенной выше аннотации и указать общие имена:

@Controller
public class HelloWorldController {

    @AdditionalCertificateValidations(allowedCommonNames = {"my-common-name-a", "my-common-name-b"}, notAllowedCommonNames = {"my-common-name-c"})
    @GetMapping(value = "/api/hello", produces = MediaType.TEXT_PLAIN_VALUE)
    public ResponseEntity<String> hello() {
        return ResponseEntity.ok("Hello");
    }

}

Теперь вам нужно предоставить реализацию аннотации. Фактический класс, который будет перехватывать запрос, а также проверять содержимое сертификата.

@Aspect
@Configuration
@EnableAspectJAutoProxy
public class AdditionalCertificateValidationsAspect {

    private static final String KEY_CERTIFICATE_ATTRIBUTE = "javax.servlet.request.X509Certificate";
    private static final Pattern COMMON_NAME_PATTERN = Pattern.compile("(?<=CN=)(.*?)(?=,)");

    @Around("@annotation(certificateValidations)")
    public Object validate(ProceedingJoinPoint joinPoint,
                           AdditionalCertificateValidations certificateValidations) throws Throwable {

        List<String> allowedCommonNames = Arrays.asList(certificateValidations.allowedCommonNames());
        List<String> notAllowedCommonNames = Arrays.asList(certificateValidations.notAllowedCommonNames());

        Optional<String> allowedCommonName = getCommonNameFromCertificate()
                .filter(commonName -> allowedCommonNames.isEmpty() || allowedCommonNames.contains(commonName))
                .filter(commonName -> notAllowedCommonNames.isEmpty() || !notAllowedCommonNames.contains(commonName));

        if (allowedCommonName.isPresent()) {
            return joinPoint.proceed();
        } else {
            return ResponseEntity.badRequest().body("This certificate is not a valid one");
        }
    }

    private Optional<String> getCommonNameFromCertificate() {
        return getCertificatesFromRequest()
                .map(Arrays::stream)
                .flatMap(Stream::findFirst)
                .map(X509Certificate::getSubjectX500Principal)
                .map(X500Principal::getName)
                .flatMap(this::getCommonName);
    }

    private Optional<X509Certificate[]> getCertificatesFromRequest() {
        return Optional.ofNullable((X509Certificate[]) ((ServletRequestAttributes) RequestContextHolder.currentRequestAttributes())
                .getRequest()
                .getAttribute(KEY_CERTIFICATE_ATTRIBUTE));
    }

    private Optional<String> getCommonName(String subjectDistinguishedName) {
        Matcher matcher = COMMON_NAME_PATTERN.matcher(subjectDistinguishedName);

        if (matcher.find()) {
            return Optional.of(matcher.group());
        } else {
            return Optional.empty();
        }
    }

}

С приведенной выше конфигурацией клиент с разрешенным общим именем получит код состояния 200 с приветственным сообщением, а другие клиенты получат код состояния 400 с сообщением: Этот сертификат недействителен. Вы можете использовать указанные выше параметры со следующей дополнительной библиотекой:

<dependency>
    <groupId>org.aspectj</groupId>
    <artifactId>aspectjweaver</artifactId>
</dependency>

Пример проекта можно найти здесь: GitHub - Mutual-TLS-SSL

Примеры фрагментов кода можно найти здесь:

• AdditionalCertificateValidations
• AdditionalCertificateValidationsAspect
• HelloWorldController

=============== обновление 1 #

Я обнаружил, что имя CN также можно проверить только с помощью пружинной защиты. См. Подробное объяснение с примерами здесь: https://www.baeldung.com/x-509-authentication-in-spring-security#2-spring-security-configuration

Сначала вам нужно указать Spring перехватывать каждый запрос, авторизовать и аутентифицировать, переопределив метод configure вашей собственной логикой, см. Ниже пример. Он извлечет поле общего имени и обработает его как имя пользователя и проверит с помощью UserDetailsService, известен ли пользователь. Ваш контроллер также должен быть помечен @PreAuthorize("hasAuthority('ROLE_USER')")

@SpringBootApplication
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class X509AuthenticationServer extends WebSecurityConfigurerAdapter {
    ...
 
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests().anyRequest().authenticated()
          .and()
          .x509()
            .subjectPrincipalRegex("CN=(.*?)(?:,|$)")
            .userDetailsService(userDetailsService());
    }
 
    @Bean
    public UserDetailsService userDetailsService() {
        return new UserDetailsService() {
            @Override
            public UserDetails loadUserByUsername(String username) {
                if (username.equals("Bob")) {
                    return new User(username, "", 
                      AuthorityUtils
                        .commaSeparatedStringToAuthorityList("ROLE_USER"));
                }
                throw new UsernameNotFoundException("User not found!");
            }
        };
    }
}

=============== обновление 2 #

Я как-то упустил суть, это должно быть неблокирующим способом. Реактивный поток похож на пример, представленный в первом обновлении выше. Следующая конфигурация поможет вам:

@Bean
public SecurityWebFilterChain securityWebFilterChain(ServerHttpSecurity http) {
    return http
            .x509(Customizer.withDefaults())
            .authorizeExchange(exchanges -> exchanges.anyExchange().authenticated())
            .build();
}

@Bean
public MapReactiveUserDetailsService mapReactiveUserDetailsService() {
    UserDetails bob = User.withUsername("Bob")
            .authorities(new SimpleGrantedAuthority("ROLE_USER"))
            .password("")
            .build();

    return new MapReactiveUserDetailsService(bob);
}

Я создал рабочий пример реализации на основе приведенных выше данных, подробности см. Здесь: GitHub - безопасность Spring с проверкой общего имени