此版本仍在开发中,尚未被视为稳定版本。对于最新的稳定版本,请使用 Spring Security 6.3.3spring-doc.cn

此版本仍在开发中,尚未被视为稳定版本。对于最新的稳定版本,请使用 Spring Security 6.3.3spring-doc.cn

Spring Security 附带对 RP 和 AP 启动的 SAML 2.0 单点注销的支持。spring-doc.cn

简而言之,Spring Security 支持两种用例:spring-doc.cn

  • RP 启动的 - 您的应用程序有一个终端节点,当 POST 到该终端节点时,该终端节点将注销用户并向断言方发送 。 此后,置言方将发回 a 并允许应用程序响应saml2:LogoutRequestsaml2:LogoutResponsespring-doc.cn

  • AP 启动的 - 您的应用程序有一个终端节点,该终端节点将从断言方接收 。 您的应用程序将在此时完成注销,然后向断言方发送 。saml2:LogoutRequestsaml2:LogoutResponsespring-doc.cn

AP 发起的场景中,您的应用程序在注销后执行的任何本地重定向都将变得毫无意义。 一旦应用程序发送 ,它就不再拥有浏览器的控制权。saml2:LogoutResponse
AP 发起的场景中,您的应用程序在注销后执行的任何本地重定向都将变得毫无意义。 一旦应用程序发送 ,它就不再拥有浏览器的控制权。saml2:LogoutResponse

单点注销的最小配置

要使用 Spring Security 的 SAML 2.0 单点注销功能,您需要满足以下条件:spring-doc.cn

  • 首先,断言方必须支持 SAML 2.0 单点注销spring-doc.cn

  • 其次,应将断言方配置为对应用程序的端点进行签名和 POST 操作saml2:LogoutRequestsaml2:LogoutResponse/logout/saml2/slospring-doc.cn

  • 第三,您的应用程序必须具有 PKCS#8 私钥和用于对 s 和 s 进行签名的 X.509 证书saml2:LogoutRequestsaml2:LogoutResponsespring-doc.cn

您可以从初始最小示例开始,然后添加以下配置:spring-doc.cn

@Value("${private.key}") RSAPrivateKey key;
@Value("${public.certificate}") X509Certificate certificate;

@Bean
RelyingPartyRegistrationRepository registrations() {
    Saml2X509Credential credential = Saml2X509Credential.signing(key, certificate);
    RelyingPartyRegistration registration = RelyingPartyRegistrations
            .fromMetadataLocation("https://ap.example.org/metadata")
            .registrationId("id")
            .singleLogoutServiceLocation("{baseUrl}/logout/saml2/slo")
            .signingX509Credentials((signing) -> signing.add(credential)) (1)
            .build();
    return new InMemoryRelyingPartyRegistrationRepository(registration);
}

@Bean
SecurityFilterChain web(HttpSecurity http, RelyingPartyRegistrationRepository registrations) throws Exception {
    http
        .authorizeHttpRequests((authorize) -> authorize
            .anyRequest().authenticated()
        )
        .saml2Login(withDefaults())
        .saml2Logout(withDefaults()); (2)

    return http.build();
}
1 - 首先,将您的签名密钥添加到实例或多个实例RelyingPartyRegistration
2 - 其次,指示您的应用程序希望使用 SAML SLO 注销最终用户

运行时预期

鉴于上述配置,任何登录用户都可以向您的应用程序发送 以执行 RP 发起的 SLO。 然后,您的应用程序将执行以下操作:POST /logoutspring-doc.cn

  1. 注销用户并使会话失效spring-doc.cn

  2. 使用 a 根据与当前登录用户关联的 RelyingPartyRegistration 创建、签名和序列化 。Saml2LogoutRequestResolver<saml2:LogoutRequest>spring-doc.cn

  3. 根据 RelyingPartyRegistration 向断言方发送重定向或帖子spring-doc.cn

  4. 反序列化、验证和处理断言方发送的<saml2:LogoutResponse>spring-doc.cn

  5. 重定向到任何已配置的成功注销端点spring-doc.cn

此外,当断言方向 时,您的应用程序可以参与 AP 发起的注销:<saml2:LogoutRequest>/logout/saml2/slospring-doc.cn

  1. 使用 a 反序列化、验证和处理断言方发送的Saml2LogoutRequestHandler<saml2:LogoutRequest>spring-doc.cn

  2. 注销用户并使会话失效spring-doc.cn

  3. 根据与刚刚注销的用户关联的 RelyingPartyRegistration 创建、签名和序列化<saml2:LogoutResponse>spring-doc.cn

  4. 根据 RelyingPartyRegistration 向断言方发送重定向或帖子spring-doc.cn

添加后,将向服务提供商添加注销功能。 因为它是一项可选功能,所以您需要为每个 . 您可以通过设置 property 来执行此操作。saml2LogoutRelyingPartyRegistrationRelyingPartyRegistration.Builder#singleLogoutServiceLocation
1 - 首先,将您的签名密钥添加到实例或多个实例RelyingPartyRegistration
2 - 其次,指示您的应用程序希望使用 SAML SLO 注销最终用户
添加后,将向服务提供商添加注销功能。 因为它是一项可选功能,所以您需要为每个 . 您可以通过设置 property 来执行此操作。saml2LogoutRelyingPartyRegistrationRelyingPartyRegistration.Builder#singleLogoutServiceLocation

配置 Logout 端点

有三种行为可以由不同的终端节点触发:spring-doc.cn

  • RP 发起的注销,它允许经过身份验证的用户通过向断言方发送POST<saml2:LogoutRequest>spring-doc.cn

  • AP 发起的注销,允许断言方向应用程序发送<saml2:LogoutRequest>spring-doc.cn

  • AP 注销响应,允许断言方发送对 RP 发起的响应<saml2:LogoutResponse><saml2:LogoutRequest>spring-doc.cn

第一个是通过在 principal 类型为 时执行 normal 触发的。POST /logoutSaml2AuthenticatedPrincipalspring-doc.cn

第二个是通过 POST 到端点触发的,该端点由断言方签名。/logout/saml2/sloSAMLRequestspring-doc.cn

第三个是通过 POST 到端点触发的,该端点由断言方签名。/logout/saml2/sloSAMLResponsespring-doc.cn

由于用户已登录或原始注销请求已知,因此 已知。 因此, 默认情况下 不是这些 URL 的一部分。registrationId{registrationId}spring-doc.cn

此 URL 可在 DSL 中自定义。spring-doc.cn

例如,如果要将现有的依赖方迁移到 Spring Security,则断言方可能已经指向 。 要减少断言方的配置更改,您可以在 DSL 中配置过滤器,如下所示:GET /SLOService.saml2spring-doc.cn

http
    .saml2Logout((saml2) -> saml2
        .logoutRequest((request) -> request.logoutUrl("/SLOService.saml2"))
        .logoutResponse((response) -> response.logoutUrl("/SLOService.saml2"))
    );

您还应该在 .RelyingPartyRegistrationspring-doc.cn

自定义分辨率<saml2:LogoutRequest>

通常需要在 Spring Security 提供的默认值之外设置其他值。<saml2:LogoutRequest>spring-doc.cn

默认情况下,Spring Security 将发出 and supply:<saml2:LogoutRequest>spring-doc.cn

  • 属性 - fromDestinationRelyingPartyRegistration#getAssertingPartyDetails#getSingleLogoutServiceLocationspring-doc.cn

  • 属性 - GUIDIDspring-doc.cn

  • 元素 - 从<Issuer>RelyingPartyRegistration#getEntityIdspring-doc.cn

  • 元素 - 从<NameID>Authentication#getNamespring-doc.cn

要添加其他值,您可以使用 delegation,如下所示:spring-doc.cn

@Bean
Saml2LogoutRequestResolver logoutRequestResolver(RelyingPartyRegistrationRepository registrations) {
	OpenSaml4LogoutRequestResolver logoutRequestResolver =
			new OpenSaml4LogoutRequestResolver(registrations);
	logoutRequestResolver.setParametersConsumer((parameters) -> {
		String name = ((Saml2AuthenticatedPrincipal) parameters.getAuthentication().getPrincipal()).getFirstAttribute("CustomAttribute");
		String format = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient";
		LogoutRequest logoutRequest = parameters.getLogoutRequest();
		NameID nameId = logoutRequest.getNameID();
		nameId.setValue(name);
		nameId.setFormat(format);
	});
	return logoutRequestResolver;
}

然后,您可以在 DSL 中提供自定义,如下所示:Saml2LogoutRequestResolverspring-doc.cn

http
    .saml2Logout((saml2) -> saml2
        .logoutRequest((request) -> request
            .logoutRequestResolver(this.logoutRequestResolver)
        )
    );

自定义分辨率<saml2:LogoutResponse>

通常需要在 Spring Security 提供的默认值之外设置其他值。<saml2:LogoutResponse>spring-doc.cn

默认情况下,Spring Security 将发出 and supply:<saml2:LogoutResponse>spring-doc.cn

  • 属性 - fromDestinationRelyingPartyRegistration#getAssertingPartyDetails#getSingleLogoutServiceResponseLocationspring-doc.cn

  • 属性 - GUIDIDspring-doc.cn

  • 元素 - 从<Issuer>RelyingPartyRegistration#getEntityIdspring-doc.cn

  • 元素 -<Status>SUCCESSspring-doc.cn

要添加其他值,您可以使用 delegation,如下所示:spring-doc.cn

@Bean
public Saml2LogoutResponseResolver logoutResponseResolver(RelyingPartyRegistrationRepository registrations) {
	OpenSaml4LogoutResponseResolver logoutRequestResolver =
			new OpenSaml4LogoutResponseResolver(registrations);
	logoutRequestResolver.setParametersConsumer((parameters) -> {
		if (checkOtherPrevailingConditions(parameters.getRequest())) {
			parameters.getLogoutRequest().getStatus().getStatusCode().setCode(StatusCode.PARTIAL_LOGOUT);
		}
	});
	return logoutRequestResolver;
}

然后,您可以在 DSL 中提供自定义,如下所示:Saml2LogoutResponseResolverspring-doc.cn

http
    .saml2Logout((saml2) -> saml2
        .logoutRequest((request) -> request
            .logoutRequestResolver(this.logoutRequestResolver)
        )
    );

自定义身份验证<saml2:LogoutRequest>

要自定义验证,您可以实施自己的 . 此时,验证是最少的,因此您可以先委托给 default,如下所示:Saml2LogoutRequestValidatorSaml2LogoutRequestValidatorspring-doc.cn

@Component
public class MyOpenSamlLogoutRequestValidator implements Saml2LogoutRequestValidator {
	private final Saml2LogoutRequestValidator delegate = new OpenSamlLogoutRequestValidator();

	@Override
    public Saml2LogoutRequestValidator logout(Saml2LogoutRequestValidatorParameters parameters) {
		 // verify signature, issuer, destination, and principal name
		Saml2LogoutValidatorResult result = delegate.authenticate(authentication);

		LogoutRequest logoutRequest = // ... parse using OpenSAML
        // perform custom validation
    }
}

然后,您可以在 DSL 中提供自定义,如下所示:Saml2LogoutRequestValidatorspring-doc.cn

http
    .saml2Logout((saml2) -> saml2
        .logoutRequest((request) -> request
            .logoutRequestAuthenticator(myOpenSamlLogoutRequestAuthenticator)
        )
    );

自定义身份验证<saml2:LogoutResponse>

要自定义验证,您可以实施自己的 . 此时,验证是最少的,因此您可以先委托给 default,如下所示:Saml2LogoutResponseValidatorSaml2LogoutResponseValidatorspring-doc.cn

@Component
public class MyOpenSamlLogoutResponseValidator implements Saml2LogoutResponseValidator {
	private final Saml2LogoutResponseValidator delegate = new OpenSamlLogoutResponseValidator();

	@Override
    public Saml2LogoutValidatorResult logout(Saml2LogoutResponseValidatorParameters parameters) {
		// verify signature, issuer, destination, and status
		Saml2LogoutValidatorResult result = delegate.authenticate(parameters);

		LogoutResponse logoutResponse = // ... parse using OpenSAML
        // perform custom validation
    }
}

然后,您可以在 DSL 中提供自定义,如下所示:Saml2LogoutResponseValidatorspring-doc.cn

http
    .saml2Logout((saml2) -> saml2
        .logoutResponse((response) -> response
            .logoutResponseAuthenticator(myOpenSamlLogoutResponseAuthenticator)
        )
    );

自定义存储<saml2:LogoutRequest>

当您的应用程序发送 时,该值将存储在会话中,以便可以验证 中的参数和属性。<saml2:LogoutRequest>RelayStateInResponseTo<saml2:LogoutResponse>spring-doc.cn

如果你想将注销请求存储在会话以外的某个地方,你可以在 DSL 中提供你的自定义实现,如下所示:spring-doc.cn

http
    .saml2Logout((saml2) -> saml2
        .logoutRequest((request) -> request
            .logoutRequestRepository(myCustomLogoutRequestRepository)
        )
    );