SpringSecurity via ELB , Login redirect to http

ELB를 거친 WAS 에서 https로그인시에 http로 바뀐다. -_-;

추가 2018.04.27
시스템 인프라 구성을 볼 수 업는 상태여서 파악이 안되었지만.
추후 확인해보니 ELB Listener 에서 HTTPS -> HTTP 로 설정되어 있었다.

개발중.. ELB를 거친 Tomcat — spring boot — spring security
https로 ELB를 통해 어플리케이션에 접근시 로그인을 하면
http로 바뀌는 경우가 발생하였다.

추가 2018.04.27
http 로 변경하는 부분은 Spring Security 의 portMapper 에서 request Scheme
을 값을 참조하여 https, http 로 리다이렉트 url을 만들기 때문이다.
애초에 모든 http 접근을 https 로 변경 해주도록 해도 해결되는 문제다.

간단하게 유추한 발생 원인은 WAS에서 https로 인식되지 않는다 라는 것이었는데.

원인의 원인. 왜 https로 인식되지 않는지에 대해 다시 한번 유추해 보았다.

애초에 ELB를 거치면서 https 가 아닌 http로 WAS를 호출하는게 아닐까?
-_- 맞다..

추가 2018.04.27
AWS ELB의 Listener 구성 부터 보았으면. 해매지 않았을 문제.
ELB listener 구성에서 https -> http로 설정되어있었다.

AWS ELB를 거치며 HTTPS 인코딩되었던 전문은 decoding되고 WAS 로 넘어오게 된다.

이때 ELB나 여타 프록시에서 처리전 원본 Request정보를 넘겨줘야지
뒷단인 서버나 WAS 에서도 처리를 할텐데… 라고 생각했더니.

있다.

흠 .. 표준인지 닌지.. 실제 요청ip 를 X-Forwarded-For로 넘기는 proxy도 있고 X-real-ip로 넘기는 곳도 있단다.

정리!.

Image for post
Image for post

일단.
x-forwarded-for는 ip 정보고
x-forwarded-proto는 protocol 정보이다.

AWS ELB는 위의 두 정보들을 전부 넘겨주고 있다.

Spring Security의 successHandler에서 내부적으로
(HttpServletRequest) request.isSecure() 를 참조하는지 .
redirect될때 https로 로그인 요청하였더라도 http로 리다이렉트 된다.

그렇다면 request 에 대한 secure설정은 어떻게 해야하나.

tomcat 의 server.xml에 아래 한줄을 추가하면 된다.

<Valve className=”org.apache.catalina.valves.RemoteIpValve” protocolHeader=”x-forwarded-proto” />

request header의 x-forwarded-proto 값으로 protocol을 인식한다.
Engine, Host, or Context 안에 넣어야 한다.

아래를 참고하자

Spring boot의 embeded tomcat인 경우도 뭐.
application.properties에 server.tomcat.protocol-header=x-forwarded-proto
라고 입력하면 되겠다.

tomcat이 아닌 was에 설정하는 방법은 아래와 같다.

참고https://github.com/BroadleafCommerce/BroadleafCommerce/issues/424
phillipuniverse ‘s comment

Tomcat

server.xml (http://tomcat.apache.org/tomcat-7.0-doc/api/org/apache/catalina/valves/RemoteIpValve.html)

<Valve className="org.apache.catalina.valves.RemoteIpValve" protocolHeader="X-Forwarded-Proto" />

WebLogic

It looks like WebLogic expects a WL-Proxy-SSL header to be set to achieve the same behavior as Tomcat expecting the X-Forwarded-Proto (assuming that's how you've configured the RemoteIpValve). Although, Oracle recommends using the mod_wl Apache module rather than just proxying over mod_ajp or mod_jk which allows you to set a WLProxySSL directive in your https VirtualHost, making it even easier: http://docs.oracle.com/cd/E13222_01/wls/docs81/plugins/plugin_params.html#1143055.

JBoss

jboss-web.xml

<jboss-web>  
<valve>
<class-name>org.apache.catalina.valves.RemoteIpValve</class-name>
<param>
<param-name>protocolHeader</param-name>
<param-value>x-forwarded-proto</param-value>
</param>
</valve>
...
</jboss-web>

Jetty

jetty-web.xml (http://wiki.eclipse.org/Jetty/Tutorial/Apache)

<Call name="addConnector">
<Arg>
<New class="org.eclipse.jetty.server.nio.SelectChannelConnector">
...
<Set name="forwarded">true</Set>
</New>
</Arg>
</Call>

Glassfish (3.1.2+)

Good article describing config for ❤.1.2: http://stupidfredtricks.blogspot.com/2012/10/glassfish-31x-behind-ssl-terminating.html. Also, looks like an active bug opened a couple weeks ago: https://java.net/jira/browse/GLASSFISH-20842
domain.xml

<http default-virtual-server="server" max-connections="250" scheme-mapping="X-Forwarded-Proto">
  • 추가

elb 를 통해 https 도메인으로도 접근하고 싶고. http ip로 해당 was 에 직접 접근하고 싶기도 하다면.
PortMapper를 익명클래스로 상속생성하여 Spring security의 HttpSecurity객체와 등록되어 사용하는 여러 Handler에 셋팅하자.

Written by

엘디는 사랑입니다.

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store