Spring Security Kerberos 配置IWA的关键步骤备忘

最新推荐文章于 2024-03-17 09:41:44 发布
最新推荐文章于 2024-03-17 09:41:44 发布
阅读量2.1k 收藏 1
点赞数
分类专栏: all 文章标签: iwa spring-security-kerberos
本文档介绍了在Windows域环境下,如何利用Spring Security Kerberos (SSK) 实现Integrated Windows Authentication (IWA)。主要内容包括SSK的功能,如Authentication Provider、Spnego Negotiate等,并详细阐述了配置IWA的关键步骤,包括SpnegoAuthenticationProcessingFilter的使用,KerberosServiceAuthenticationProvider的校验过程,以及在搭建过程中Windows Domain Controller的安装、keytab文件的生成和应用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

IWA: integrated windows authentication
简介:Windows域环境下,终端用户在使用电脑windows系统时已经通过域账户登录了,在使用一些application的时候,也想通过这种方式做认证,不需要在每个application再输入用户名密码。

Kerberos的认证原理貌似比较复杂,我也没看太懂,反正刚开始先用别人的封装把环境搭起来,这里使用了Spring Security Kerberos(以下简称SSK):
http://docs.spring.io/spring-security-kerberos/docs/1.0.1.RELEASE/reference/htmlsingle/

文档比较详细了,主要提供以下功能:
1. Authentication Provider
2. Spnego Negotiate
3. Using KerberosRestTemplate
4. Authentication with LDAP Services

在项目中使用了功能2,用户在访问我们登陆页面时,由SSK提供的Filter:SpnegoAuthenticationProcessingFilter负责检查用户Http Request中的Authorization Header,如果认证失败,会在entryPoint(SpnegoEntryPoint)的commence方法中执行以下代码,浏览器获取这个response后会自动发送kerberos ticket给当前url(这里流程可能不太严谨,没细看过negotiate的整个过程) 
response.addHeader("WWW-Authenticate", "Negotiate");
response.setStatus(401);


回到Filter,如果浏览器发来了kerberos ticket,就会有如下的逻辑去检查这个ticket: 
if ((header != nu
最低0.47元/天 解锁文章

200万优质内容无限畅学
Spring Security Kerberos 环境搭建
DoublePoint的博客
11-19 2926
如何将Kerberos用到具体的项目中才是我们真正需要掌握的,而网上能够查到的资料又非常稀少,为了将我2个月的研究过程进行整理,并希望能给恰巧遇到同样问题的你提供一点帮助,特整理了本篇文章,当然内容肯定会由很多错误的地方,还望嘴下留情,我们才好共同探讨。
SpringSecurity + Spnego + Kerberos 实现AD域单点登录
Letter的博客
10-16 2087
本文主要介绍了域的基本概念,Kerberos 的基本概念。以及如何结合实现域单点登录及域用户的同步管理。
spring-security-kerberos
05-13
Spring Security Kerberos 使用Spring Security Kerberos Extension,仅通过打开URL即可针对您的Web应用程序对用户进行身份验证。 无需输入用户名/密码,也无需安装其他软件。 行为守则 该项目遵守《贡献者公约》。 通过参与,您将遵守此代码。 请向报告不可接受的行为。 下载工件 请参阅以获取Maven信息库信息。 文献资料 确保阅读《 。 也提供了适用于Spring Security Kerberos代码的广泛JavaDoc。 样品 样本可以在spring-security-kerberos-samples 。 有关更多信息,请查阅参考文档。 从源头建造 Spring Security Kerberos使用基于的构建系统。 在下面的说明中,。/ 是从源树的根调用的,并用作构建的跨平台,自包含的引导程序机制。 先决条件 和。 确保您
java kerberos配置_java – Spring Security Kerberos用基本链接
weixin_42120997的博客
02-16 725
由于这个问题有点难度,我假设您已经熟悉了Spring Security Kerberos samples,它显示了如何使用表单auth配置kerberos auth作为回退.我没有证据表明它会起作用,但我认为你应该能够用基本的auth链接你的kerberos auth而没有任何问题.我分享了我对此的看法……思想1:FilterChains支持多种身份验证方法的技巧是正确设置身份验证筛选器的顺序.如...
KerberosRestTemplate的使用】
weixin_43866250的博客
06-07 222
【代码】【KerberosRestTemplate的使用】
SpringSpring 安全性 Kerberos
qq_57401254的博客
01-27 1157
这一部分介绍了核心功能 Spring Security Kerberos 提供给任何基于 Spring 的应用程序。
Spring Security Kerberos: 提升企业级应用安全性
gitblog_00080的博客
03-17 709
Spring Security Kerberos: 提升企业级应用安全性 是一个开源的安全框架,可以帮助开发者在基于 Java 的 Web 应用程序中实现 Kerberos 身份验证。 什么是 KerberosKerberos 是一种网络身份验证协议,它通过为用户提供一次性密码以确保安全登录。该协议能够防止中间人攻击和窃听,并且可以用于保护各种类型的网络通信。 Spring Security ...
Spirng Acegi 身份认证连载6
阿永专栏
10-16 722
Spirng Acegi 身份认证 j_acegi_logout                                                         
Kerberos认证原理与使用教程
热门推荐
m0_46168848的博客
02-21 1万+
Kerberos认证原理与使用教程
kerberos客户端与服务端搭建操作
weixin_40496191的博客
04-09 1996
文章目录一、关键字概念二、服务端搭建三、客户端搭建 一、关键字概念 Principal:Principal是用来表示参加认证实体,相当于用户名,用来来表示一个client或server唯一的身份。Principal是由三个部分组成:名字(name),实例(instance,可选,一般是所需密钥的服务器的主机名或ip),REALM(域)。格式是:name/instance@REALM name:可以是任意的字符串,比如说可能是操作系统下的用户名等。 instance:定义了用户在不同的role下使
griffin 集成kerberos
wang972779876的博客
04-29 307
安装griffin:具体安装详见https://griffin.apache.org/docs/quickstart-cn.html文档 Kerberos集成:griffin默认情况下是不支持kerberos的所以需要对代码进行改造: 改造点如下: (1)访问dataassets时,我们看不到hive的数据的,主要的原因在于hive开启了kerberos,而griffin通过thrift方式访问hivemetastore组件导致权限问题。 解决在HiveMetaStoreProxy中代理k.
java判断用户是否在某一个区域登录_Spring Security与Java应用安全保护
weixin_39588265的博客
11-29 221
Spring Security是一个强大且高度可定制的安全框架,致力于为Java应用提供身份认证和授权。第一本Spring Security中文版图书《Spring Security实战》现已上市,文末参与互动赢取新书~Spring Security 的前身是Acegi Security,在被收纳为Spring 子项目后正式更名为SpringSecurity。从5.1.3.RELEASE...
spring security中自定义authenticationProcessingFilter
看的恐惧
05-26 1675
[url]http://hszdz.iteye.com/blog/337652[/url] [code="xml"] [/code] [code="java"]public Authentication attemptAuthentication( HttpServl...
Spring Security Kerberos 1.0.0.RC1 发布
weixin_33726943的博客
06-02 151
Spring Security Kerberos 1.0.0.RC1 发布,此版本主要改进如下: 更新整个项目 更新了手册文档 Reference Documentation 添加了新的 KerberosRestTemplate 从头重写了示例 文章转载自 开源中国社区 [http://www.oschina.net] ...
使用RestTemplate Spring安全认证
weixin_34050427的博客
12-26 755
使用RestTemplate Spring安全认证 java spring 认证authentication 安全spring-security 我有提供2个独立的一整套服务2 Spring的web应用程序。 Web应用程序1具有Spring Security的使用认证。 现在,Web应用程序2需要访问Web应用程序1的服务。通常情况下,我们的RestTemplate类来发送请求到其他网...
java 实现 Spring Security Kerberos SSO 登录
最新发布
02-23
### Java Spring Security Kerberos SSO 实现指南 #### 配置环境变量 为了使应用程序能够成功连接到Kerberos服务器,需设置特定的安全属性: ```java System.setProperty("javax.security.auth.useSubjectCredsOnly", "false");[^1] ``` 此配置允许Java应用信任操作系统级别的认证凭证。 #### 添加依赖项 在`pom.xml`文件中加入必要的Maven依赖来支持Spring Security以及Jaas(Java Authentication and Authorization Service),这是处理Kerberos所需的基础库之一。对于Spring Boot项目来说,则应考虑使用starter包简化集成过程。 ```xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <!-- Other dependencies --> <dependency> <groupId>org.springframework.security.kerberos</groupId> <artifactId>spring-security-kerberos-web</artifactId> <version>${spring-security-kerberos.version}</version> </dependency> ``` #### 创建JAAS配置文件 创建名为`jaas.conf`的文件并放置于类路径下,定义服务端所需的登录模块及其参数。该文件通常包含如下内容: ``` com.sun.security.jgss.initiate { com.sun.security.auth.module.Krb5LoginModule required; }; ``` #### 自定义WebSecurityConfigurerAdapter 通过继承`WebSecurityConfigurerAdapter`来自定义安全策略,在其中指定Kerberos相关的过滤器和其他必要组件。 ```java @EnableWebSecurity public class WebSecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .antMatchers("/login").permitAll() // Allow access to login page without authentication. .anyRequest().authenticated(); // Require all other requests be authenticated. http .addFilterBefore(kerberosAuthenticationProcessingFilter(), BasicAuthenticationFilter.class); } private Filter kerberosAuthenticationProcessingFilter(){ final SpnegoAuthenticationProcessingFilter spnegoAuthenticationProcessingFilter = new SpnegoAuthenticationProcessingFilter(); // Additional configurations... return spnegoAuthenticationProcessingFilter; } } ``` #### 设置SPNEGO入口点 为了让客户端浏览器知道应该发起哪种类型的HTTP请求来进行身份验证,还需要注册一个特殊的入口处理器——即`SpnegoEntryPoint`. ```java @Bean public SpnegoEntryPoint spengoEntryPoint() { return new SpnegoEntryPoint("/login"); } ``` 以上就是基于Java平台利用Spring Security框架完成Kerberos协议下的单点登录功能的一个基本实现方案概述[^2]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值