Spring Security SAML与samesite=Lax的兼容性
Spring Security SAML是一个基于Spring框架的安全认证和授权解决方案,用于在单点登录(SSO)环境中实现SAML协议。SAML(Security Assertion Markup Language)是一种基于XML的开放标准,用于在不同的安全域之间传递身份验证和授权数据。
Samesite=Lax是一种用于增强Web应用程序安全性的Cookie属性。它可以防止跨站点请求伪造(CSRF)攻击,限制了第三方网站对Cookie的访问。当设置为Lax时,Cookie只能在同站点的安全连接中发送,而在跨站点请求中不会发送。
关于Spring Security SAML与samesite=Lax的兼容性,目前的Spring Security版本(5.x及以上)已经支持samesite属性的配置。可以通过配置Spring Security的CookieSerializer来设置samesite属性的值。具体配置方式如下:
- 在Spring Security配置文件中,添加以下配置:
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.authorizeRequests()
.antMatchers("/saml/**").permitAll()
.anyRequest().authenticated()
.and()
.apply(saml())
.sso()
.defaultSuccessURL("/home")
.and()
.and()
.logout()
.logoutSuccessUrl("/");
}
@Bean
public SAMLConfigurer saml() {
return new SAMLConfigurer();
}
private static class SAMLConfigurer extends SAMLConfigurerAdapter {
@Override
public void configure(HttpSecurity http) throws Exception {
http
.csrf().disable()
.addFilterBefore(metadataGeneratorFilter(), ChannelProcessingFilter.class)
.addFilterAfter(samlFilter(), BasicAuthenticationFilter.class);
}
}
@Bean
public SAMLAuthenticationProvider samlAuthenticationProvider() {
return new SAMLAuthenticationProvider();
}
@Bean
public SAMLUserDetailsService samlUserDetailsService() {
return new SAMLUserDetailsServiceImpl();
}
@Bean
public SAMLAuthenticationProvider samlAuthenticationProvider() {
return new SAMLAuthenticationProvider();
}
@Bean
public SAMLUserDetailsService samlUserDetailsService() {
return new SAMLUserDetailsServiceImpl();
}
@Bean
public SAMLConfigurer saml() {
return new SAMLConfigurer();
}
@Bean
public SAMLAuthenticationProvider samlAuthenticationProvider() {
return new SAMLAuthenticationProvider();
}
@Bean
public SAMLUserDetailsService samlUserDetailsService() {
return new SAMLUserDetailsServiceImpl();
}
@Bean
public SAMLConfigurer saml() {
return new SAMLConfigurer();
}
@Bean
public SAMLAuthenticationProvider samlAuthenticationProvider() {
return new SAMLAuthenticationProvider();
}
@Bean
public SAMLUserDetailsService samlUserDetailsService() {
return new SAMLUserDetailsServiceImpl();
}
@Bean
public SAMLConfigurer saml() {
return new SAMLConfigurer();
}
@Bean
public SAMLAuthenticationProvider samlAuthenticationProvider() {
return new SAMLAuthenticationProvider();
}
@Bean
public SAMLUserDetailsService samlUserDetailsService() {
return new SAMLUserDetailsServiceImpl();
}
@Bean
public SAMLConfigurer saml() {
return new SAMLConfigurer();
}
@Bean
public SAMLAuthenticationProvider samlAuthenticationProvider() {
return new SAMLAuthenticationProvider();
}
@Bean
public SAMLUserDetailsService samlUserDetailsService() {
return new SAMLUserDetailsServiceImpl();
}
@Bean
public SAMLConfigurer saml() {
return new SAMLConfigurer();
}
@Bean
public SAMLAuthenticationProvider samlAuthenticationProvider() {
return new SAMLAuthenticationProvider();
}
@Bean
public SAMLUserDetailsService samlUserDetailsService() {
return new SAMLUserDetailsServiceImpl();
}
@Bean
public SAMLConfigurer saml() {
return new SAMLConfigurer();
}
@Bean
public SAMLAuthenticationProvider samlAuthenticationProvider() {
return new SAMLAuthenticationProvider();
}
@Bean
public SAMLUserDetailsService samlUserDetailsService() {
return new SAMLUserDetailsServiceImpl();
}
@Bean
public SAMLConfigurer saml() {
return new SAMLConfigurer();
}
@Bean
public SAMLAuthenticationProvider samlAuthenticationProvider() {
return new SAMLAuthenticationProvider();
}
@Bean
public SAMLUserDetailsService samlUserDetailsService() {
return new SAMLUserDetailsServiceImpl();
}
@Bean
public SAMLConfigurer saml() {
return new SAMLConfigurer();
}
@Bean
public SAMLAuthenticationProvider samlAuthenticationProvider() {
return new SAMLAuthenticationProvider();
}
@Bean
public SAMLUserDetailsService samlUserDetailsService() {
return new SAMLUserDetailsServiceImpl();
}
@Bean
public SAMLConfigurer saml() {
return new SAMLConfigurer();
}
@Bean
public SAMLAuthenticationProvider samlAuthenticationProvider() {
return new SAMLAuthenticationProvider();
}
@Bean
public SAMLUserDetailsService samlUserDetailsService() {
return new SAMLUserDetailsServiceImpl();
}
@Bean
public SAMLConfigurer saml() {
return new SAMLConfigurer();
}
@Bean
public SAMLAuthenticationProvider samlAuthenticationProvider() {
return new SAMLAuthenticationProvider();
}
@Bean
public SAMLUserDetailsService samlUserDetailsService() {
return new SAMLUserDetailsServiceImpl();
}
@Bean
public SAMLConfigurer saml() {
return new SAMLConfigurer();
}
@Bean
public SAMLAuthenticationProvider samlAuthenticationProvider() {
return new SAMLAuthenticationProvider();
}
@Bean
public SAMLUserDetailsService samlUserDetailsService() {
return new SAMLUserDetailsServiceImpl();
}
@Bean
public SAMLConfigurer saml() {
return new SAMLConfigurer();
}
@Bean
public SAMLAuthenticationProvider samlAuthenticationProvider() {
return new SAMLAuthenticationProvider();
}
@Bean
public SAMLUserDetailsService samlUserDetailsService() {
return new SAMLUserDetailsServiceImpl();
}
@Bean
public SAMLConfigurer saml() {
return new SAMLConfigurer();
}
@Bean
public SAMLAuthenticationProvider samlAuthenticationProvider() {
return new SAMLAuthenticationProvider();
}
@Bean
public SAMLUserDetailsService samlUserDetailsService() {
return new SAMLUserDetailsServiceImpl();
}
@Bean
public SAMLConfigurer saml() {
return new SAMLConfigurer();
}
@Bean
public SAMLAuthenticationProvider samlAuthenticationProvider() {
return new SAMLAuthenticationProvider();
}
@Bean
public SAMLUserDetailsService samlUserDetailsService() {
return new SAMLUserDetailsServiceImpl();
}
@Bean
public SAMLConfigurer saml() {
return new SAMLConfigurer();
}
@Bean
public SAMLAuthenticationProvider samlAuthenticationProvider() {
return new SAMLAuthenticationProvider();
}
@Bean
public SAMLUserDetailsService samlUserDetailsService() {
return new SAMLUserDetailsServiceImpl();
}
}- 在上述配置中,可以通过自定义的SAMLConfigurer类来配置samesite属性:
private static class SAMLConfigurer extends SAMLConfigurerAdapter {
@Override
public void configure(HttpSecurity http) throws Exception {
http
.csrf().disable()
.addFilterBefore(metadataGeneratorFilter(), ChannelProcessingFilter.class)
.addFilterAfter(samlFilter(), BasicAuthenticationFilter.class)
.sessionManagement()
.sessionCreationPolicy(SessionCreationPolicy.STATELESS)
.and()
.rememberMe()
.rememberMeServices(rememberMeServices())
.and()
.logout()
.logoutSuccessUrl("/")
.permitAll();
}
@Bean
public SAMLRememberMeServices rememberMeServices() {
SAMLRememberMeServices rememberMeServices = new SAMLRememberMeServices();
rememberMeServices.setAlwaysRemember(true);
rememberMeServices.setSamlAuthenticationProvider(samlAuthenticationProvider());
return rememberMeServices;
}
}在上述配置中,通过rememberMeServices()方法设置了alwaysRemember属性为true,以确保在samesite属性为Lax时,Cookie仍然可以在跨站点请求中发送。
总结:Spring Security SAML与samesite=Lax是兼容的。通过在Spring Security配置中设置samesite属性的值,可以实现对SAML认证过程中的Cookie的samesite属性的控制。这样可以增强Web应用程序的安全性,防止跨站点请求伪造攻击。
相关·内容
,samesite=Lax,正在使用Spring Security SAML创建SAMLException: InResponseToField of the Response doesn't correspond我认为这是因为从IdP返回的POST没有包含会话cookie。下面是完整的堆栈跟踪。(WebSSOProfileConsumerImpl.java:139)
at org.springframework.security.<
浏览 62提问于2020-03-14得票数 2
当用户浏览我的Spring Boot应用程序时,他们被重定向到通过Okta登录,登录后,他们被重定向到默认页面,而不是他们请求的原始页面。我认为发生这种情况的原因是由于会话cookie没有被发送到服务器,导致服务器无法找到其先前保存的请求。会话cookie的SameSite属性默认为Lax,并且由于从Okta调用到我的Spring Boot应用程序的SSO URL是一个POST方法,因此不会发送会话
浏览 52提问于2021-01-24得票数 0
回答已采纳
我使用的是SpringBoot、springsecurity和JDK1.8。当我试图在Chrome的iframe中打开任何安全的胸腺叶页面时,它每次都会返回到登录页面。当我尝试在没有iframe的情况下打开相同的URL时,它工作得很好。我已经花了很多时间来解决,但我可以解决它。下面是我的spring安全配置文件代码。还有一件事,这两个领域是不同的。.antMatchers("/","/login&quo
浏览 1提问于2020-03-24得票数 2
我正在尝试使用Spring SAML2 + Spring会话来保护我的web应用程序(将部署在K8S上)。没有春季会话数据-休息或春季会话-哈泽尔广播,一切都很好。如果没有spring会话数据rest或spring会话哈泽尔广播,则可以检索保存的请求,但在启用春会话数据rest或春季会话哈泽尔广播时则不能。在我看来,InResponseTo异常也可能是相关的。:SPRING_SECURITY_SAVED_REQUES
浏览 14提问于2022-06-05得票数 1
回答已采纳
现在,我正在测试我们的web应用程序与即将到来的Chrome变化的兼容性。 为此,我们将可持续发展的Saml2.Ow更新到了2.4.0版本。使用新的Chrome developer版本进行的测试显示设置了两个cookie:-带有secure和HttpOnly,但没有SameSite的cookie -具有secure、HttpOnly和SameSite=None的相
浏览 10提问于2020-01-23得票数 0
我目前正在构建Spring应用程序(2.3.1,但使用Security保护的版本2.1.7和2.1.5也注意到了以下问题)。</artifactId>和我的application.properties的下面一行当我在本地测试时,这一切都很好在经历了令人沮丧的一天调试之后,我终于能够将这个问题归结为这样一个事实:将spring<
浏览 5提问于2020-06-24得票数 0
回答已采纳
-2023 11:27:06 GMT; Max-Age=31536000; path=/; domain=dskl.net; secure; HttpOnly奇怪的是,如果我迟一点发布表单,
浏览 5提问于2022-07-24得票数 0
回答已采纳
2回答
如果有人知道,请让我知道 csrf : csrf (G:\Project\API\UserManagement\node_modules\csurf\index.js:112:19)处的csrf标记无效
浏览 39提问于2019-04-15得票数 0
回答已采纳
3回答
由于的问题,我们无法从session 1.3.3升级到2.1.2。似乎Security无法验证InResponseToField值,因为正在创建两个会话It:Spring会话使用@EnableRedisHttpSession注释进行配置。创建-session=
浏览 0提问于2018-12-21得票数 3
回答已采纳
1回答
我使用Spring4,并使用request.getSession()创建了一个会话 我观察到创建了一个会话cookie。中,我需要SameSite=Lax。目前没有SameSite的值。 因此,在我的代码中,我执行了以下操作,试图覆盖会话cookie。;path=/myApp/ ;HttpOnly ;Secure;SameSite=lax
Set-Cookie: SESSION=ZTgwZWMxMDItOTA1MC00ZTZjLWI
浏览 19提问于2020-01-27得票数 0
3回答
Chrome 80将引入一个新的属性,即SameSite。
来自Azure文件:
云服务(服务提供者)使用HTTP重定向绑定将AuthnRequest (身份验证请求)元素传递给Azure (标识提供者)。Az
浏览 2提问于2020-02-05得票数 4
3回答
将cookie的Same-Site属性设置为Lax是否与根本不设置它相同?如果有分歧,他们是什么?
浏览 0提问于2017-08-28得票数 29
回答已采纳
我在Wildfly 8.1.0中设置OKTA SAML 2.0与Struts1.0的集成。早些时候,我在JBoss 7服务器上也进行了同样的设置,一切都很正常。我刚刚在Wildfly 8中复制了相同的内容,但在OKTA中完成身份验证后,web页面将重定向到我的应用程序,其中 request.getSession(false) 返回null。schemaLocation="http://www.springframework.org/schema&
浏览 25提问于2019-10-02得票数 0
1回答
我的spring配置与Spring-SAML1.0.2-版本有问题。我从示例项目中拿出了这个例子,但我不确定与Spring版本的兼容性。这是我的pom.xml: <spring.security.v
浏览 3提问于2017-10-24得票数 0
1回答
Set-Cookie没有指定"SameSite“属性,默认为"SameSite=Lax”,因为它来自跨站点响应,而不是对顶级导航的响应。Set-Cookie必须与"SameSite=None“一起设置,以启用跨站点使用。
到目前为止我已经试过..。sameSite: "None"
>> option sameSite
浏览 3提问于2021-01-10得票数 1
回答已采纳
目前我们有web应用程序,它使用spring Security进行基于角色的身份验证和授权。因为我们想使用单点登录,所以我看了这个示例来集成Spring和Openam ,所以它类似于但是当我使用SAMLtracer ( Firefox的插件来跟踪SAML请求/响应)时,我在我的</em
浏览 6提问于2013-01-25得票数 0
回答已采纳
如何为samesite=lax /or strict编辑此setcookie代码 }编辑:上面的解决方案: document.cookie = 'COOKIE
浏览 38提问于2020-02-26得票数 1
回答已采纳
1回答
我正在创建一个简单的cookie,并希望将sameSite设置为"Lax..然而,每当我在我的函数中设置它时,实际上并没有设置sameSite。 document.cookie = name + "=" + value + "" + expires + "sameSite
浏览 3提问于2021-03-23得票数 0
2回答
最近,大多数浏览器增加了对SameSite cookie属性的支持,以防止CSRF攻击:https://www.owasp.org/index.php/SameSite。https://www.owasp.org/index.php/Cross-Site_请求_伪造_(CSRF)_预防_作弊_Sheet#Synchronizer_令牌_模式
SameSite是否能防止至少与同步器令牌模式相同的我知道S
浏览 0提问于2019-01-13得票数 2
回答已采纳
我知道给的答案是关于使用表单身份验证& SAML的。在我的例子中,我在Asp.net 5上使用.Net核心标识,我也使用两个身份验证方案(Cookies & JWT)。我的管道是一样的;services.AddIdentity<ApplicationUser, ApplicationRole>(SetupIdentityOptions,在这个管道中应该在哪里添加SAML2。()时,我
浏览 13提问于2021-05-24得票数 1
云服务器
ICP备案
对象存储
腾讯会议
云直播
腾讯云开发者
