Shinyproxy: SAML 인증 시간 초과(?) 오류

에 만든 2021년 02월 15일 · 6코멘트 · 출처: openanalytics/shinyproxy

다시 안녕! SAML을 사용하여 앱 개발을 진행하면서 탭이 일정 시간 동안 열려 있는 경우에만 발생하는 것으로 보이는 인증 문제를 발견했습니다(문제를 일으키는 정확한 시간 범위를 파악하지 못함). 그런 다음 사용자는 탭을 새로 고칩니다(이 시점에서 새 창이 트리거하는지 확실하지 않음). 이 비활성 시간이 지나면 ShinyProxy가 재인증을 시도하고 어떤 이유로 실패하는 것으로 보입니다. 내가 찾은 유일한 해결책은 IdP(auth.company.com)에 대한 브라우저에서 사이트 데이터를 지우는 것입니다. 작업이 완료되면 예상대로 작동합니다.

이 경우 ShinyProxy는 연속으로 여러 번 인증을 시도하지만(URL 표시줄에서 많은 SAML 리디렉션 콜백을 볼 수 있음) 결국 실패하고 http://my.company.com/app/saml에 덤프합니다

서버 로그에 다음이 표시됩니다.

shinyproxy-server_1  | 2021-02-15 04:00:11.531  INFO 1 --- [  XNIO-1 task-4] o.s.security.saml.log.SAMLDefaultLogger  : AuthNRequest;SUCCESS;XXX.XX.XX.XXX;https://my.company.com/app;http://auth.company.com/adfs/services/trust;;;
shinyproxy-server_1  | 2021-02-15 04:00:11.608  INFO 1 --- [  XNIO-1 task-4] colMessageXMLSignatureSecurityPolicyRule : Validation of protocol message signature succeeded, message type: {urn:oasis:names:tc:SAML:2.0:protocol}Response
shinyproxy-server_1  | 2021-02-15 04:00:11.609  INFO 1 --- [  XNIO-1 task-4] o.s.security.saml.log.SAMLDefaultLogger  : AuthNResponse;FAILURE;XXX.XX.XX.XXX;https://my.company.com/app;http://auth.company.com/adfs/services/trust;;;org.springframework.security.saml.SAMLStatusException: Response has invalid status code urn:oasis:names:tc:SAML:2.0:status:Responder, status message is null

뭔가 이상한 것은 첫 번째 인증 시도가 성공한 것처럼 보이지만 ShinyProxy가 어떤 이유로 그것을 좋아하지 않고 다시 시도한다는 것입니다.

전체 오류 역추적:

~~~Shinyproxy-server_1 |~~
~~org.springframework.security.saml.SAMLAuthenticationProvider.authenticate(SAMLAuthenticationProvider.java:88)에서Shinyproxy-server_1 |~~
~~org.springframework.security.authentication.ProviderManager.authenticate(ProviderManager.java:219)Shinyproxy-server_1 |~~
~~sun.reflect.GeneratedMethodAccessor63.invoke에서(알 수 없는 소스)Shinyproxy-server_1 |~~
~~java.lang.reflect.Method.invoke(Method.java:498)에서Shinyproxy-server_1 |~~
~~org.springframework.aop.framework.JdkDynamicAopProxy.invoke(JdkDynamicAopProxy.java:205)Shinyproxy-server_1 |~~
~~org.springframework.security.saml.SAMLProcessingFilter.attemptAuthentication(SAMLProcessingFilter.java:92)Shinyproxy-server_1 |~~
~~org.springframework.security.web.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:334)Shinyproxy-server_1 |~~
~~org.springframework.security.web.FilterChainProxy.doFilter(FilterChainProxy.java:186)Shinyproxy-server_1 |~~
~~org.springframework.security.web.authentication에서.~~
~~org.springframework.web.filter.OncePerRequestFilter.doFilter(OncePerRequestFilter.java:119)Shinyproxy-server_1 |~~
~~org.springframework.security.web.authentication.AbstractAuthenticationProcessingFilter.doFilter(AbstractAuthenticationProcessingFilter.java:200)Shinyproxy-server_1 |~~
~~org.springframework.security.web.authentication.logout.LogoutFilter.doFilter(LogoutFilter.java:116)Shinyproxy-server_1 |~~
~~org.springframework.security.web.csrf.CsrfFilter.doFilterInternal(CsrfFilter.java:117)Shinyproxy-server_1 |~~
~~org.springframework.security.web.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:334)Shinyproxy-server_1 |~~
~~org.springframework.security.web.header.HeaderWriterFilter.doFilterInternal(HeaderWriterFilter.java:77)Shinyproxy-server_1 |~~
~~org.springframework.security.web.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:334)Shinyproxy-server_1 |~~
~~org.springframework.security.web.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:334)Shinyproxy-server_1 |~~
~~org.springframework.web.filter.OncePerRequestFilter.doFilter(OncePerRequestFilter.java:119)Shinyproxy-server_1 |~~
~~org.springframework.security.saml.metadata.MetadataGeneratorFilter.doFilter(MetadataGeneratorFilter.java:87)Shinyproxy-server_1 |~~
~~org.springframework.security.web.FilterChainProxy.doFilterInternal(FilterChainProxy.java:215)Shinyproxy-server_1 |~~
~~org.springframework.web.filter.DelegatingFilterProxy.invokeDelegate(DelegatingFilterProxy.java:358)Shinyproxy-server_1 |~~
~~io.undertow.servlet.core.ManagedFilter.doFilter(ManagedFilter.java:61)Shinyproxy-server_1 |~~
~~org.springframework.web.filter.RequestContextFilter.doFilterInternal(RequestContextFilter.java:100)Shinyproxy-server_1 |~~
~~io.undertow.servlet.core.ManagedFilter.doFilter(ManagedFilter.java:61)Shinyproxy-server_1 |~~
~~org.springframework.boot.actuate.metrics.web.servlet.WebMvcMetricsFilter.doFilterInternal(WebMvcMetricsFilter.java:93)Shinyproxy-server_1 |~~
~~io.undertow.servlet.core.ManagedFilter.doFilter(ManagedFilter.java:61)Shinyproxy-server_1 |~~
~~org.springframework.web.filter.CharacterEncodingFilter.doFilterInternal(CharacterEncodingFilter.java:201)Shinyproxy-server_1 |~~
~~io.undertow.servlet.core.ManagedFilter.doFilter(ManagedFilter.java:61)Shinyproxy-server_1 |~~
~~io.undertow.servlet.handlers.FilterHandler.handleRequest(FilterHandler.java:84)Shinyproxy-server_1 |~~
~~io.undertow.servlet.handlers.ServletChain$1.handleRequest(ServletChain.java:68)Shinyproxy-server_1 |~~
~~io.undertow.server.handlers.PathHandler.handleRequest(PathHandler.java:91)Shinyproxy-server_1 |~~
~~io.undertow.servlet.handlers.RedirectDirHandler.handleRequest(RedirectDirHandler.java:68)Shinyproxy-server_1 |~~
~~io.undertow.servlet.handlers.security.ServletAuthenticationCallHandler.handleRequest(ServletAuthenticationCallHandler.java:57)Shinyproxy-server_1 |~~
~~io.undertow.security.handlers.AbstractConfidentialityHandler.handleRequest(AbstractConfidentialityHandler.java:46)Shinyproxy-server_1 |~~
~~io.undertow.security.handlers.AuthenticationMechanismsHandler.handleRequest(AuthenticationMechanismsHandler.java:60)Shinyproxy-server_1 |~~
~~io.undertow.security.handlers.AbstractSecurityContextAssociationHandler.handleRequest(AbstractSecurityContextAssociationHandler.java:43)Shinyproxy-server_1 |~~
~~io.undertow.server.handlers.PredicateHandler.handleRequest(PredicateHandler.java:43)Shinyproxy-server_1 |~~
~~io.undertow.servlet.handlers.ServletInitialHandler.access$100(ServletInitialHandler.java:78)Shinyproxy-server_1 |~~
~~io.undertow.servlet.handlers.ServletInitialHandler$2.call(ServletInitialHandler.java:130)Shinyproxy-server_1 |~~
~~io.undertow.servlet.core.ContextClassLoaderSetupAction$1.call(ContextClassLoaderSetupAction.java:43)Shinyproxy-server_1 |~~
~~io.undertow.servlet.handlers.ServletInitialHandler.access$000(ServletInitialHandler.java:78)Shinyproxy-server_1 |~~
~~io.undertow.server.Connectors.executeRootHandler(Connectors.java:370)Shinyproxy-server_1 |~~
~~org.jboss.threads.ContextClassLoaderSavingRunnable.run(ContextClassLoaderSavingRunnable.java:35)에서Shinyproxy-server_1 |~~
~~org.jboss.threads.EnhancedQueueExecutor$ThreadBody.doRunTask(EnhancedQueueExecutor.java:1558)Shinyproxy-server_1 |~~
~~java.lang.Thread.run(Thread.java:748)에서~~~

간단한 해결책은 "로그아웃" 버튼을 클릭하는 것이지만 해당 버튼은 SAML 오류 화면에 표시되지 않습니다. 요청 시 발생하도록 할 수 없기 때문에 디버그하기가 어렵습니다. 내 IdP 지원 담당자에 따르면 ADFS는 실제로 이 프로세스가 시작될 때 유효한 토큰을 발급하므로 ShinyProxy가 수신하는 토큰을 처리하는 방식에 로컬 문제인 것 같습니다. 브라우저 탭이 닫히지 않았기 때문에 아마도 로그인 쿠키가 만료되어 올바르게 갱신되지 않았을 것입니다. 하지만 제가 무슨 말을 하는지 잘 모르겠습니다.

오류가 다시 발생하면 좀 더 유용한 정보를 가지고 돌아올 것입니다. 하지만 누군가 이것을 보고 수정하는 방법에 대한 아이디어가 있는지 궁금했습니다.

question

출처

jat255

모든 6 댓글

SHA-1과 SHA-256 서명 알고리즘 사이의 불일치를 나타내는 유사한 오류 메시지를 가리키는 다음 문제를 발견했습니다. 하지만 오랜 기간 사용하지 않으면 간헐적으로 실패하므로 이것이 내 문제라고 생각하지 않습니다.

jat255 에 2021년 02월 15일

후속 조치로 앱의 SAML 부분을 DEBUG 수준 로깅으로 설정했으며 이러한 시간 초과 이벤트 중 하나에서 다음을 확인했습니다.

shinyproxy-server_1  | 2021-02-15 21:03:14.050 DEBUG 1 --- [  XNIO-1 task-2] o.s.s.s.context.SAMLContextProviderImpl  : No IDP specified, using default http://auth.company.com/adfs/services/trust
shinyproxy-server_1  | 2021-02-15 21:03:14.050 DEBUG 1 --- [  XNIO-1 task-2] o.s.security.saml.util.SAMLUtil          : Index for AssertionConsumerService not specified, returning default
shinyproxy-server_1  | 2021-02-15 21:03:14.051 DEBUG 1 --- [  XNIO-1 task-2] o.s.security.saml.SAMLEntryPoint         : Processing SSO using WebSSO profile
shinyproxy-server_1  | 2021-02-15 21:03:14.051 DEBUG 1 --- [  XNIO-1 task-2] o.s.s.saml.websso.WebSSOProfileImpl      : Using default consumer service with binding urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST
shinyproxy-server_1  | 2021-02-15 21:03:14.052 DEBUG 1 --- [  XNIO-1 task-2] o.s.s.saml.storage.HttpSessionStorage    : Storing message a17g5ahbxxxxxxxxxxx454jj to session hxxxxxxJ_E8xxxxxxxxHP_TwIxxxxxxxH
shinyproxy-server_1  | 2021-02-15 21:03:14.053  INFO 1 --- [  XNIO-1 task-2] o.s.security.saml.log.SAMLDefaultLogger  : AuthNRequest;SUCCESS;XXX.XX.XXX.XX;https://my.company.com/app;http://auth.company.com/adfs/services/trust;;;
shinyproxy-server_1  | 2021-02-15 21:03:14.805 DEBUG 1 --- [  XNIO-1 task-2] o.s.security.saml.SAMLProcessingFilter   : Request is to process authentication
shinyproxy-server_1  | 2021-02-15 21:03:14.806 DEBUG 1 --- [  XNIO-1 task-2] o.s.security.saml.SAMLProcessingFilter   : Attempting SAML2 authentication using profile urn:oasis:names:tc:SAML:2.0:profiles:SSO:browser
shinyproxy-server_1  | 2021-02-15 21:03:14.811 DEBUG 1 --- [  XNIO-1 task-2] o.s.s.saml.processor.SAMLProcessorImpl   : Retrieving message using binding urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST
shinyproxy-server_1  | 2021-02-15 21:03:14.816  INFO 1 --- [  XNIO-1 task-2] colMessageXMLSignatureSecurityPolicyRule : SAML protocol message was not signed, skipping XML signature processing
shinyproxy-server_1  | 2021-02-15 21:03:14.816 DEBUG 1 --- [  XNIO-1 task-2] o.s.security.saml.util.SAMLUtil          : Found endpoint org.opensaml.saml2.metadata.impl.AssertionConsumerServiceImpl<strong i="7">@6531c789</strong> for request URL https://my.company.com/app/saml/SSO based on location attribute in metadata
shinyproxy-server_1  | 2021-02-15 21:03:14.816 DEBUG 1 --- [  XNIO-1 task-2] o.s.s.saml.storage.HttpSessionStorage    : Message a17g5ahb0gieeh9b4e48ff6a3d454jj found in session hXmYJ_E8wf6F2plFsHP_TwIZS1Cg6n2Vu4wD4i2H, clearing
shinyproxy-server_1  | 2021-02-15 21:03:14.817 DEBUG 1 --- [  XNIO-1 task-2] o.s.s.s.w.WebSSOProfileConsumerImpl      : Verifying issuer of the Response
shinyproxy-server_1  | 2021-02-15 21:03:14.817 DEBUG 1 --- [  XNIO-1 task-2] o.s.s.s.w.WebSSOProfileConsumerImpl      : Verifying signature
shinyproxy-server_1  | 2021-02-15 21:03:14.820 DEBUG 1 --- [  XNIO-1 task-2] o.s.s.s.t.MetadataCredentialResolver     : Added 1 credentials resolved from metadata of entity http://auth.company.com/adfs/services/trust
shinyproxy-server_1  | 2021-02-15 21:03:14.826 DEBUG 1 --- [  XNIO-1 task-2] o.s.s.s.w.WebSSOProfileConsumerImpl      : Processing Bearer subject confirmation
shinyproxy-server_1  | 2021-02-15 21:03:14.836 DEBUG 1 --- [  XNIO-1 task-2] o.s.s.s.w.WebSSOProfileConsumerImpl      : Validation of authentication statement in assertion failed, skipping
shinyproxy-server_1  | org.springframework.security.authentication.CredentialsExpiredException: Authentication statement is too old to be used with value 2021-02-15T15:51:35.161Z
                        ...
shinyproxy-server_1  | 2021-02-15 21:03:14.839 DEBUG 1 --- [  XNIO-1 task-2] o.s.s.saml.SAMLAuthenticationProvider    : Error validating SAML message
shinyproxy-server_1  |
shinyproxy-server_1  | org.opensaml.common.SAMLException: Response doesn't have any valid assertion which would pass subject validation
                       ...
shinyproxy-server_1  |
shinyproxy-server_1  | 2021-02-15 21:03:14.841  INFO 1 --- [  XNIO-1 task-2] o.s.security.saml.log.SAMLDefaultLogger  : AuthNResponse;FAILURE;XXX.XX.XXX.XX;https://my.company.com/app;http://auth.company.com/adfs/services/trust;;;org.opensaml.common.SAMLException: Response doesn't have any valid assertion which would pass subject validation
shinyproxy-server_1  |  at org.springframework.security.saml.websso.WebSSOProfileConsumerImpl.processAuthenticationResponse(WebSSOProfileConsumerImpl.java:265)
                       ...
shinyproxy-server_1  |
shinyproxy-server_1  | 2021-02-15 21:03:14.842  INFO 1 --- [  XNIO-1 task-2] e.o.containerproxy.service.UserService   : Authentication failure [user: ] [error: Error validating SAML message]
shinyproxy-server_1  | 2021-02-15 21:03:14.848 DEBUG 1 --- [  XNIO-1 task-2] o.s.security.saml.SAMLProcessingFilter   : Authentication request failed: org.springframework.security.authentication.AuthenticationServiceException: Error validating SAML message
shinyproxy-server_1  |
shinyproxy-server_1  | org.springframework.security.authentication.AuthenticationServiceException: Error validating SAML message
                       ...
shinyproxy-server_1  |
shinyproxy-server_1  | 2021-02-15 21:03:14.849 DEBUG 1 --- [  XNIO-1 task-2] o.s.security.saml.SAMLProcessingFilter   : Updated SecurityContextHolder to contain null Authentication
shinyproxy-server_1  | 2021-02-15 21:03:14.849 DEBUG 1 --- [  XNIO-1 task-2] o.s.security.saml.SAMLProcessingFilter   : Delegating to authentication failure handler org.springframework.security.web.authentication.SimpleUrlAuthenticationFailureHandler<strong i="8">@19dec0b4</strong>
shinyproxy-server_1  | 2021-02-15 21:03:14.858 ERROR 1 --- [  XNIO-1 task-2] org.thymeleaf.TemplateEngine             : [THYMELEAF][XNIO-1 task-2] Exception processing template "/": Error resolving template [/], template might not exist or might not be accessible by any of the configured Template Resolvers
shinyproxy-server_1  | org.thymeleaf.exceptions.TemplateInputException: Error resolving template [/], template might not exist or might not be accessible by any of the configured Template Resolvers
                       ...
shinyproxy-server_1  |
shinyproxy-server_1  | 2021-02-15 21:03:14.861 ERROR 1 --- [  XNIO-1 task-2] io.undertow.request                      : UT005023: Exception handling request to /app/error
shinyproxy-server_1  |
shinyproxy-server_1  | org.springframework.web.util.NestedServletException: Request processing failed; nested exception is org.thymeleaf.exceptions.TemplateInputException: Error resolving template [/], template might not exist or might not be accessible by any of the configured Template Resolvers

이 시퀀스는 ShinyProxy가 포기하고 위와 같이 일반적인 springboot 오류 페이지로 덤프하기 전에 약 2초 동안 7번 반복됩니다. 두 가지 궁금증:

1) org.springframework.security.authentication.CredentialsExpiredException: Authentication statement is too old to be used with value 2021-02-15T15:51:35.161Z -- 이것이 문제의 근본인 것 같지만 이것이 IdP 측의 문제인지 ShinyProxy 측의 문제인지 확실하지 않습니다.

2) 2021-02-15 21:03:14.861 ERROR 1 --- [ XNIO-1 task-2] io.undertow.request : UT005023: Exception handling request to /app/error -- 내 오류 템플릿이 제대로 로드되지 않는 것 같습니다. 그렇다면 사용자가 세션을 재설정하기 위해 클릭할 수 있는 "로그아웃" 페이지에 대한 링크를 넣을 수 있다고 생각합니다.

어떤 아이디어?

jat255 에 2021년 02월 16일

Shinyproxy: SAML 인증 시간 초과(?) 오류

모든 6 댓글

관련 문제