在Cloud Foundry上部署需要HTTPS的Grails Web應用程序

Question

我在Cloud Foundry上部署了一個非常簡單的Grails測試應用程序，該應用程序使用spring-security作爲登錄頁面。

我想要求對此登錄頁面進行HTTPS訪問，以便密碼不以明文形式發送。

我做的第一件事就是使用HTTPS瀏覽我的測試應用程序，這很好，因此確認Cloud Foundry可以爲我的應用程序提供HTTPS請求服務。

接下來，我添加了以下到Config.groovy中要求HTTPS訪問我的網頁：

grails.plugins.springsecurity.auth.forceHttps = true 

grails.plugins.springsecurity.secureChannel.definition = [ 
     '/': 'REQUIRES_SECURE_CHANNEL' 
] 

現在，當我嘗試使用grails cf-update它掛在Trying to start application...

如果，如果我刪除的要求部署對於HTTPS它會成功。

我猜測可能是檢查應用程序是否已經啓動有問題。這是否使用HTTP網址，然後重定向到HTTPS，因爲我看不到日誌中的任何問題？

任何想法？

Answer 1

我發現目前CloudFoundry + Spring Security存在問題，其中HttpServletRequest.isSecure()在使用https時未返回正確的值。這要求Spring Security在需要安全通道時進行無限重定向循環。

我目睹了一個普通的Spring項目，但這可能是您的Grails項目所遭受的。目前的一種解決方法是包裝您的HttpServletRequests，以便isSecure()查看該方案以決定返回的內容。

如果試圖在瀏覽器中的安全網址，你怎麼弄（假設應用程序實際上已經開始，雖然Grails的插件告訴其他）

Answer 2

的問題是，cloudfoundry terminates HTTPS at the loadbalancer。並且無法將HTTPS一路獲取到您的應用，因此'REQUIRES_SECURE_CHANNEL'在cloudfoundry上不起作用。

如果你想要一個嚴重的黑客來試圖檢查用戶和負載均衡器之間是否使用了HTTPS，你可以看看過濾器中的標題。例如。

sslHeaderRequireFilter(controller:'*', action:'*') { 
     before = { 
      def headerNames = request.headerNames.collect{ it }    
      if(! headerNames.contains('sslclientcertstatus')){ 
       render "Only available on https" 
       return false  
      }     
     } 
    }