Да, это возможно. Вы можете даже дополнительно защитить свое веб-приложение, проверив поле CN сертификата и заблокировав его, если у него нет правильного имени. Я не уверен, возможно ли это с помощью Spring Security из коробки, но я знаю, что это возможно с AOP с помощью AspectJ. Таким образом, вы можете перехватить запрос после успешного подтверждения ssl и до того, как он попадет в ваш контроллер. Я бы определенно посоветовал прочитать эту статью: Введение в AspectJ, поскольку это поможет вам понять основную концепцию библиотеки.
Что вы можете сделать, так это создать аннотацию, например: AdditionalCertificateValidations, которая может принимать список разрешенных и запрещенных общих имен. См. Реализацию ниже. Таким образом, вы можете выбрать для каждого контроллера, какой CN вы хотите разрешить или запретить.
@Retention(RetentionPolicy.RUNTIME)
@Target(ElementType.METHOD)
public @interface AdditionalCertificateValidations {
String[] allowedCommonNames() default {};
String[] notAllowedCommonNames() default {};
}
Послесловие вы можете аннотировать свой контроллер с помощью приведенной выше аннотации и указать общие имена:
@Controller
public class HelloWorldController {
@AdditionalCertificateValidations(allowedCommonNames = {"my-common-name-a", "my-common-name-b"}, notAllowedCommonNames = {"my-common-name-c"})
@GetMapping(value = "/api/hello", produces = MediaType.TEXT_PLAIN_VALUE)
public ResponseEntity<String> hello() {
return ResponseEntity.ok("Hello");
}
}
Теперь вам нужно предоставить реализацию аннотации. Фактический класс, который будет перехватывать запрос, а также проверять содержимое сертификата.
@Aspect
@Configuration
@EnableAspectJAutoProxy
public class AdditionalCertificateValidationsAspect {
private static final String KEY_CERTIFICATE_ATTRIBUTE = "javax.servlet.request.X509Certificate";
private static final Pattern COMMON_NAME_PATTERN = Pattern.compile("(?<=CN=)(.*?)(?=,)");
@Around("@annotation(certificateValidations)")
public Object validate(ProceedingJoinPoint joinPoint,
AdditionalCertificateValidations certificateValidations) throws Throwable {
List<String> allowedCommonNames = Arrays.asList(certificateValidations.allowedCommonNames());
List<String> notAllowedCommonNames = Arrays.asList(certificateValidations.notAllowedCommonNames());
Optional<String> allowedCommonName = getCommonNameFromCertificate()
.filter(commonName -> allowedCommonNames.isEmpty() || allowedCommonNames.contains(commonName))
.filter(commonName -> notAllowedCommonNames.isEmpty() || !notAllowedCommonNames.contains(commonName));
if (allowedCommonName.isPresent()) {
return joinPoint.proceed();
} else {
return ResponseEntity.badRequest().body("This certificate is not a valid one");
}
}
private Optional<String> getCommonNameFromCertificate() {
return getCertificatesFromRequest()
.map(Arrays::stream)
.flatMap(Stream::findFirst)
.map(X509Certificate::getSubjectX500Principal)
.map(X500Principal::getName)
.flatMap(this::getCommonName);
}
private Optional<X509Certificate[]> getCertificatesFromRequest() {
return Optional.ofNullable((X509Certificate[]) ((ServletRequestAttributes) RequestContextHolder.currentRequestAttributes())
.getRequest()
.getAttribute(KEY_CERTIFICATE_ATTRIBUTE));
}
private Optional<String> getCommonName(String subjectDistinguishedName) {
Matcher matcher = COMMON_NAME_PATTERN.matcher(subjectDistinguishedName);
if (matcher.find()) {
return Optional.of(matcher.group());
} else {
return Optional.empty();
}
}
}
С приведенной выше конфигурацией клиент с разрешенным общим именем получит код состояния 200 с приветственным сообщением, а другие клиенты получат код состояния 400 с сообщением: Этот сертификат недействителен. Вы можете использовать указанные выше параметры со следующей дополнительной библиотекой:
<dependency>
<groupId>org.aspectj</groupId>
<artifactId>aspectjweaver</artifactId>
</dependency>
Пример проекта можно найти здесь: GitHub - Mutual-TLS-SSL
Примеры фрагментов кода можно найти здесь:
=============== обновление 1 #
Я обнаружил, что имя CN также можно проверить только с помощью пружинной защиты. См. Подробное объяснение с примерами здесь: https://www.baeldung.com/x-509-authentication-in-spring-security#2-spring-security-configuration
Сначала вам нужно указать Spring перехватывать каждый запрос, авторизовать и аутентифицировать, переопределив метод configure
вашей собственной логикой, см. Ниже пример. Он извлечет поле общего имени и обработает его как имя пользователя и проверит с помощью UserDetailsService, известен ли пользователь. Ваш контроллер также должен быть помечен @PreAuthorize("hasAuthority('ROLE_USER')")
@SpringBootApplication
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class X509AuthenticationServer extends WebSecurityConfigurerAdapter {
...
@Override
protected void configure(HttpSecurity http) throws Exception {
http.authorizeRequests().anyRequest().authenticated()
.and()
.x509()
.subjectPrincipalRegex("CN=(.*?)(?:,|$)")
.userDetailsService(userDetailsService());
}
@Bean
public UserDetailsService userDetailsService() {
return new UserDetailsService() {
@Override
public UserDetails loadUserByUsername(String username) {
if (username.equals("Bob")) {
return new User(username, "",
AuthorityUtils
.commaSeparatedStringToAuthorityList("ROLE_USER"));
}
throw new UsernameNotFoundException("User not found!");
}
};
}
}
=============== обновление 2 #
Я как-то упустил суть, это должно быть неблокирующим способом. Реактивный поток похож на пример, представленный в первом обновлении выше. Следующая конфигурация поможет вам:
@Bean
public SecurityWebFilterChain securityWebFilterChain(ServerHttpSecurity http) {
return http
.x509(Customizer.withDefaults())
.authorizeExchange(exchanges -> exchanges.anyExchange().authenticated())
.build();
}
@Bean
public MapReactiveUserDetailsService mapReactiveUserDetailsService() {
UserDetails bob = User.withUsername("Bob")
.authorities(new SimpleGrantedAuthority("ROLE_USER"))
.password("")
.build();
return new MapReactiveUserDetailsService(bob);
}
Я создал рабочий пример реализации на основе приведенных выше данных, подробности см. Здесь: GitHub - безопасность Spring с проверкой общего имени
person
Hakan54
schedule
30.09.2020