リアクティブ X.509 認証

サーブレット X.509 認証と同様に、リアクティブ x509 認証フィルターを使用すると、クライアントから提供された証明書から認証トークンを抽出できます。

次の例は、リアクティブ x509 セキュリティ構成を示しています。

  • Java

  • Kotlin

@Bean
public SecurityWebFilterChain securityWebFilterChain(ServerHttpSecurity http) {
	http
		.x509(withDefaults())
		.authorizeExchange(exchanges -> exchanges
		    .anyExchange().permitAll()
		);
	return http.build();
}
@Bean
fun securityWebFilterChain(http: ServerHttpSecurity): SecurityWebFilterChain {
    return http {
        x509 { }
        authorizeExchange {
            authorize(anyExchange, authenticated)
        }
    }
}

上記の構成では、principalExtractor も authenticationManager も指定されていない場合、デフォルトが使用されます。デフォルトのプリンシパルエクストラクターは SubjectDnX509PrincipalExtractor であり、クライアントから提供された証明書から CN(共通名)フィールドを抽出します。デフォルトの認証マネージャーは ReactivePreAuthenticatedAuthenticationManager で、ユーザーアカウントの検証を実行し、principalExtractor によって抽出された名前のユーザーアカウントが存在し、ロック、無効化、有効期限が切れていないことを確認します。

次の例は、これらのデフォルトをオーバーライドする方法を示しています。

  • Java

  • Kotlin

@Bean
public SecurityWebFilterChain securityWebFilterChain(ServerHttpSecurity http) {
	SubjectDnX509PrincipalExtractor principalExtractor =
	        new SubjectDnX509PrincipalExtractor();

	principalExtractor.setSubjectDnRegex("OU=(.*?)(?:,|$)");

	ReactiveAuthenticationManager authenticationManager = authentication -> {
		authentication.setAuthenticated("Trusted Org Unit".equals(authentication.getName()));
		return Mono.just(authentication);
	};

	http
		.x509(x509 -> x509
		    .principalExtractor(principalExtractor)
		    .authenticationManager(authenticationManager)
		)
		.authorizeExchange(exchanges -> exchanges
		    .anyExchange().authenticated()
		);
	return http.build();
}
@Bean
fun securityWebFilterChain(http: ServerHttpSecurity): SecurityWebFilterChain? {
    val customPrincipalExtractor = SubjectDnX509PrincipalExtractor()
    customPrincipalExtractor.setSubjectDnRegex("OU=(.*?)(?:,|$)")
    val customAuthenticationManager = ReactiveAuthenticationManager { authentication: Authentication ->
        authentication.isAuthenticated = "Trusted Org Unit" == authentication.name
        Mono.just(authentication)
    }
    return http {
        x509 {
            principalExtractor = customPrincipalExtractor
            authenticationManager = customAuthenticationManager
        }
        authorizeExchange {
            authorize(anyExchange, authenticated)
        }
    }
}

前の例では、CN ではなくクライアント証明書の OU フィールドからユーザー名が抽出され、ReactiveUserDetailsService を使用したアカウントルックアップはまったく実行されません。代わりに、提供された証明書が "Trusted Org Unit" という名前の OU に発行された場合、リクエストは認証されます。

相互 TLS を使用して X.509 認証を有効にするように Netty および WebClient または curl コマンド行ツールを構成する例については、github.com/spring-projects/spring-security-samples/tree/main/servlet/java-configuration/authentication/x509 (英語) を参照してください。