Требовать HTTPS с пружинной безопасностью за обратным прокси -сервером ⇐ JAVA

[Гость]

У меня есть приложение Spring MVC, закрепленное с помощью Spring Security. Большая часть приложения использует простой HTTP для сохранения ресурсов, но небольшая часть обрабатывает более конфиденциальную информацию и требует канала HTTPS. < /P>

Извлечение из Security-config.xml < /code>: < /p>

Код: Выделить всё

...



< /code>

Все работали нормально, пока мы не решили перенести его на основной сервер, где серверы приложений работают за обратными прокси. And as now HTTPS is processed by the reverse proxies the application server only sees HTTP requests, and disallows access to the /sec/**

hierarchy.

After some research, I found that the proxies add a X-Forwarded-Proto: https header (*), but in Spring Security

Код: Выделить всё

HttpServletRequest.isSecure()

используется для определения предлагаемой безопасности канала (извлечение из SecureChannelProcessor javadoc).

Как я могу сказать Spring Security, что x-forwarded-proto: https Header Достаточно для того, что я могу соблюдать, но я знаю. Администратору Proxies действительно не нравится это решение, потому что за прокси -серверами есть много применений, и конфигурация может вырасти до не управляемого состояния. < /p>

I в настоящее время использует Spring Security 3.2 с конфигурацией XML, но я готов принять ответы на основе Java и /или более поздней версии. Удалите заголовок, если он присутствовал в входящем запросе, поэтому приложение может быть уверено в нем.

Подробнее здесь: https://stackoverflow.com/questions/300 ... erse-proxy