Деплоинг на tomcat ломает авторизацию SpringSecurity

0

2

Тестовый проект SpringBoot.

protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
                .antMatchers("/admin/**").authenticated()
                .anyRequest().permitAll()
                .and()
            .formLogin()
                .loginPage("/signin")
                .permitAll()
                .failureUrl("/signin?error=1")
                .loginProcessingUrl("/authenticate")
                .and()
            .logout()
                .logoutUrl("/logout")
                .permitAll()
                .logoutSuccessUrl("/signin?logout")
                .and()
            .rememberMe()
                .rememberMeServices(rememberMeServices())
                .key("remember-me-key");
    }

Т.е. при обращении к /admin должно перекинуть на /signin, где пользователь заполняет форму, а при проверка авторизации осуществляется спрингом по урл /authenticate.

Вот ровно так работает до деплоя на томкат. После деплоя - адрес проекта получается вида http://localhost:9080/project/, и теперь все эти урлы, участвующие в авторизации, должны работать относительно адреса проекта.

Но как бы не так. Форма авторизации отправляется на http://localhost:9080/authenticate, а не на http://localhost:9080/project/authenticate. Как это пофиксить? не прописывать же имя проекта в шаблоне формы?

Ссылка

←	Объединение строковых литералов разного типа

Рассинхронизация тредов

→

Томкат же не торчит напрямую во внешний мир? Есть же некий реверс прокси? Вот на нём рерайти урлы.

Hater ★★
(01.11.17 17:30:35 MSK)

<Context path=""/>

ya-betmen ★★★★★
(01.11.17 17:31:23 MSK)

Кстати

SpringBoot

до деплоя на томкат.

Но зачем?

Hater ★★
(01.11.17 17:32:35 MSK)

Ответ на: комментарий от Hater 01.11.17 17:30:35 MSK

пробую локально - работает, как описал.

настроил прокси в nginx:


location / {
          proxy_pass http://localhost:9080/Spring-1.0/;
          proxy_set_header Host            $host;
          proxy_set_header X-Forwarded-Server $host;
          proxy_set_header X-Forwarded-For $remote_addr;
          proxy_redirect http://domain.com/Spring-1.0 http://domain.com;
          proxy_redirect http://domain.com/authenticate http://domain.com/Spring-1.0/authenticate;
       }

Оно мне пишет, что

403 Forbidden

Request page: /Spring-1.0/authenticate

bvn13 ★★★★★
(01.11.17 17:33:58 MSK) автор топика

Ответ на: комментарий от Hater 01.11.17 17:32:35 MSK

Ну для потренироваться, как первое.

bvn13 ★★★★★
(01.11.17 17:34:37 MSK) автор топика

Ссылка

Ответ на: комментарий от ya-betmen 01.11.17 17:31:23 MSK

не распарсил. это куда-ть?

bvn13 ★★★★★
(01.11.17 17:34:46 MSK) автор топика

Ответ на: комментарий от Hater 01.11.17 17:30:35 MSK

я так понимаю, что спрингбут маппит не тот урл. он маппит абсолютный /authenticate, а надо - относительно проекта - /Spring-1.0/authenticate.

Как это исправить?

bvn13 ★★★★★
(01.11.17 17:41:01 MSK) автор топика
Последнее исправление: bvn13 01.11.17 17:41:25 MSK (всего исправлений: 1)

Ответ на: комментарий от bvn13 01.11.17 17:41:01 MSK

Я так понимаю что URI проекта /Spring-1.0. Тогда надо удалить из правила nginx proxy_redirect и оставить что-то вроде

location / {
          proxy_pass http://localhost:9080/Spring-1.0/;
       }

Hater ★★
(01.11.17 17:46:47 MSK)

Ответ на: комментарий от Hater 01.11.17 17:46:47 MSK

я сделал теперь так:

 location /authenticate {
          proxy_pass http://localhost:9080/Spring-1.0/authenticate;
          proxy_set_header Host            $host;
          proxy_set_header X-Forwarded-Server $host;
          proxy_set_header X-Forwarded-For $remote_addr;
          proxy_redirect http://domain.com/Spring-1.0 http://domain.com;
       }

При этом получаю

403 Forbidden

Request page: /Spring-1.0/authenticate

bvn13 ★★★★★
(01.11.17 17:48:44 MSK) автор топика

Ссылка

Ответ на: комментарий от bvn13 01.11.17 17:34:46 MSK

Предполагаю, что в server.xml томкэта.

UnknownNPC
(01.11.17 19:21:27 MSK)

Ссылка

Ответ на: комментарий от bvn13 01.11.17 17:33:58 MSK

А разьве, любая машинка воспримет 2 РАЗА auten/*(!??)(!) Каким ли: это SEPARATOR = + выправить, либо в лок добавить что должно читаться , (типа етцODF, ну иль /**/).

anonymous
(01.11.17 19:21:52 MSK)

Ссылка

Ответ на: комментарий от bvn13 01.11.17 17:34:46 MSK

context.xml

ya-betmen ★★★★★
(01.11.17 19:46:13 MSK)

Ответ на: комментарий от ya-betmen 01.11.17 19:46:13 MSK

где это? что это?

bvn13 ★★★★★
(01.11.17 23:59:04 MSK) автор топика

Ссылка

Ответ на: комментарий от ya-betmen 01.11.17 19:46:13 MSK

не помогло

bvn13 ★★★★★
(02.11.17 00:52:40 MSK) автор топика

Ответ на: комментарий от bvn13 02.11.17 00:52:40 MSK

Проверь, в джарнике в корне должен быть каталог META-INF в нем лежать context.xml. И проверь что Context у тебя прописан только в context.xml и в server.xml его нет. Если и там и там то работать не будет.

ya-betmen ★★★★★
(02.11.17 08:49:06 MSK)

Ответ на: комментарий от ya-betmen 02.11.17 08:49:06 MSK

не, эта шляпа не работает. я даже задеплоил из веб-интерфейса не файл-war, а каталог, указав конкретный ContextPath. Все равно не работает. При авторизации перекидывает на domain.com/authenticate (post-запрос делается), ошибка 404. Если же я в браузере отладчиком изменяю урл на domain.com/Spring-1.0/authenticate и делаю POST запрос, то ловлю ошибку 403 Forbidden. Складывается ощущение, что SpringBoot чего-то не понимает.

bvn13 ★★★★★
(02.11.17 10:18:52 MSK) автор топика

Ссылка

а зачем ты в проекте указываешь абсолютные ссылки от root?

anonymous
(02.11.17 12:40:17 MSK)

Ответ на: комментарий от anonymous 02.11.17 12:40:17 MSK

а вот и нет. везде /link

bvn13 ★★★★★
(02.11.17 13:08:59 MSK) автор топика

некий scav из irc-канала #java-talks сказал, что деплоить SpringBoot на томкат (и вообще куда-либо) - не комильфо. Нужно делать StandAlone.

шаблон для systemd service описан тут

но у меня получилось запустить только как java -jar file.jar с полными путями

[Unit]
Description=myapp
After=syslog.target

[Service]
User=myapp
ExecStart=/usr/bin/java -jar /var/myapp/myapp.jar
SuccessExitStatus=143

[Install]
WantedBy=multi-user.target

bvn13 ★★★★★
(02.11.17 13:18:07 MSK) автор топика
Последнее исправление: bvn13 02.11.17 13:18:21 MSK (всего исправлений: 1)

Ссылка

https://stackoverflow.com/questions/20405474/add-context-path-to-spring-boot-...

drsm ★★
(02.11.17 13:33:00 MSK)

Ответ на: комментарий от drsm 02.11.17 13:33:00 MSK

да причем тут context path? меня дефолтный устраивает. проблема не в этом. а в том, что 403 Ошибка на пост запрос. хотя все .permitAll()

bvn13 ★★★★★
(02.11.17 13:35:05 MSK) автор топика

Ссылка

Спринг секьюрити - говно. А ты всё продолжаешь упорно набивать шишки на граблях энтерпрайза.

~~dzidzitop~~ ★★
(02.11.17 21:14:44 MSK)
Последнее исправление: dzidzitop 02.11.17 21:15:00 MSK (всего исправлений: 1)

Ответ на: комментарий от dzidzitop 02.11.17 21:14:44 MSK

неговно в студию!
что не говно? какая альтернатива? почему спринг-секьюрити говно?

bvn13 ★★★★★
(02.11.17 22:58:12 MSK) автор топика
Последнее исправление: bvn13 02.11.17 22:58:26 MSK (всего исправлений: 1)

Ответ на: комментарий от bvn13 02.11.17 22:58:12 MSK

Говно, потому что делает простые вещи (аутентификацию, например) ненормально сложными, с побочными эффектами и потому, что дебажить эту хрень невозможно.

Неговно - написать аутентификацию самостоятельно.

~~dzidzitop~~ ★★
(02.11.17 23:06:54 MSK)