在进行身份验证之前检查Spring-Security中的X509证书吊销状态

eh57zj3b 于 2022-11-11 发布在 Spring

关注(0)|答案(2)|浏览(204)

在验证x509客户端证书之前，是否可以通过spring-security中的CRL来检查它的吊销状态？我已经检查了文档（http：//static.springsource.org/spring-security/site/docs/3.0.x/reference/x509.html），但它没有提到任何关于CRL的内容。
实现UserService只给你用户名而不是X509 Certificate。任何帮助都将不胜感激！
谢谢你！

spring-security

来源：https://stackoverflow.com/questions/8506661/check-x509-certificate-revocation-status-in-spring-security-before-authenticatin

2条答案

按热度按时间

ldioqlga1#

我不确定Spring-Security的具体情况，但是如果它是基于JRE的信任管理器（如果它是Oracle/Sun JRE），那么您可以通过将这些系统属性设置为true来激活CRL检查：com.sun.net.ssl.checkRevocation和com.sun.security.enableCRLDP，并设置Security.setProperty("ocsp.enable", "true")（感谢@WillSargent指出这是一个Security属性，而不是系统属性）。
更多详细信息，请访问：

http://docs.oracle.com/javase/6/docs/technotes/guides/security/jsse/JSSERefGuide.html#CERTPATH
http://docs.oracle.com/javase/6/docs/technotes/guides/security/certpath/CertPathProgGuide.html#AppC
http://blogs.oracle.com/xuelei/entry/enable_ocsp_checking

赞(0）回复(0）举报 2022-11-11

bakd9h0s2#

SSL握手是由servlet容器执行的，而不是由Spring Security执行的，因此任何CRL检查都应该在此时进行。Spring Security将其视为“预身份验证”场景。
SpringSecurity只读取（已经通过SSL验证的）证书，并允许您将其链接到本地用户帐户。

赞(0）回复(0）举报 2022-11-11