JSESSIONID безопасная загрузка Flag-Spring и Spring Security(SAML)

Question

JSESSIONID безопасная загрузка Flag-Spring и Spring Security(SAML)

JSESSIONID не был установлен флаг "Безопасный" в нашем приложении весенней загрузки. Приложение поддерживает единый вход с OKTA в качестве нашего IDP, и мы используем Spring Security-SAML

Ниже приведен простой процесс приложения.

Браузер -> HTTPS -> AWS-ALB -> HTTP -> Spring Boot APP -> URL-адрес OKTA (HTTPS).

Здесь прекращение SSL происходит в ALB, и с точки зрения загрузочного приложения Spring, приложение находится на HTTP.

Проблема в том, что в нашем отчете по анализу средств безопасности есть жалобы на то, что в JSESSIONID не включен флаг "secure". Когда я пытаюсь включить безопасный cookie, как показано ниже, первоначальный запрос имеет JSESSIONID как "безопасный", а после аутентификации "безопасный" флаг удаляется.

server.session.cookie.secure: true

Хотя этот поток SO предоставляет способ добавить "безопасный" флаг, я не мог связать это с завершением SSL в сценарии на стороне ALB, и поток подтверждения SAML (вызов приложения в OKTA) происходит по HTTP к HTTPS.

Любая идея, как на JessionID безопасный флаг может быть установлен / сохранен?

0

spring-boot spring-security single-sign-on jsessionid aws-alb

Источник

user3827273 31 янв '19 в 18:16

1 ответ

Другие вопросы по тегам spring-boot spring-security single-sign-on jsessionid aws-alb

user3827273 01 фев '19 в 14:10 2019-02-01 14:10 · Answer 1 · 2019-02-01 14:10

Добавление server.tomcat.protocol-header=x-forwarded-proto в весенней загрузочной конфигурации это решило проблему.

Я неправильно понял, что флаги Cookie (безопасные, только для http) будут отображаться в заголовках запросов в инструментах разработчика Chrome, но это не так, поскольку флаги отображаются только в заголовке ответа, поскольку Set-Cookie Заголовок только в ответе.