《security》专题
-
用于2足(客户端凭据)OAuth2服务器的Spring-security上下文设置
问题内容: 如果我想为一个客户端保护REST服务器,春季安全OAuth2的最低设置是什么?我不想使用任何不必要的设置或实现任何不必要的bean。也许对于spring- security + OAuth2已经有一个“简单”的教程/示例了?(尽管我试图避免对此抱太大希望) 我当前的工作设置(从sparklr上下文中使用copy + past + wtf)感觉太过: 我已经实现了authenticati
-
如何使用Spring Security对Active Directory服务器进行身份验证?
问题内容: 我正在编写一个要求用户登录的Spring Web应用程序。我公司有一个Active Directory服务器,我想将其用于此目的。但是,我在使用Spring Security连接服务器时遇到了麻烦。 我正在使用Spring 2.5.5和Spring Security 2.0.3,以及Java 1.6。 如果我将LDAP URL更改为错误的IP地址,它不会引发异常或任何异常,因此我想知道
-
以编程方式使用Spring Security
问题内容: 我将Wicket与Wicket Auth Project一起用于表示层,因此将其与Spring Security集成在一起。这是Wicket调用的身份验证方法: 我的Spring Security XML配置的内容(里面)是: 2.3.6节。参考文档的会话固定攻击防护说: 会话固定攻击是一种潜在的风险,恶意攻击者有可能通过访问站点来创建会话,然后诱使另一个用户以相同的会话登录(通过向他
-
Spring Security中的“主要”是什么?
问题内容: 我真的是Spring和Spring Security的新手。我正在阅读有关Spring Security的信息,它提出了 principal 的概念,应该是当前登录的用户。但是,如果我们有多个当前登录用户怎么办?那么,我的问题是,春季安全的主体到底是什么? 我已经阅读了本教程的示例: http://www.mkyong.com/spring-security/get-current-l
-
使用Spring Security 3.0设置会话超时期限
问题内容: 我正在使用Spring Security 3.0向LDAP服务器进行身份验证,但无法确定自己的会话超时时间。我相信默认值为30分钟,但我需要将其设置为更长的时间 问题答案: 您可以在web.xml中为所有会话设置会话超时(例如60分钟): 或按会话使用 后者您可能要在authorizationSuccessHandler中进行。
-
Spring Security-具有请求参数规则的网址被忽略
问题内容: 我有一个使用Spring Security的Web应用程序。它使用元素描述不同URL的访问过滤器。默认情况下,这不考虑url的请求参数。我需要根据请求参数设置URL的自定义安全规则。所以我做了以下工作: 1)我创建了一个bean后处理器类,它将为spring安全机制启用request parameters选项: 和代码: 这应该设置弹簧安全性元数据源以考虑请求参数。我已经调试了上面的代
-
Spring security3“您不能使用spring-security-2.0.xsd模式”
问题内容: 我不断得到… 我的root-context.xml是… 我从pom.xml使用的Spring版本是… 由此看来,由于架构> 3.0以及spring和spring安全架构,我似乎无法得出问题所在,有人有什么想法吗? 谢谢, 大卫 问题答案: 您指向的模式是spring-security-3.1.xsd,但pom.xml声明了spring-security- config-3.0.1.RE
-
Mac OS X上的JRE lib / security目录在哪里?
问题内容: 我需要生成一个证书,但找不到此目录。谢谢! 问题答案: 我相信OS X下jre / lib / security的等效目录是:
-
甚至在带有filter =“ none”的公共页面上也检索Spring Security的身份验证
问题内容: 假设我有一个名为faq.html的简单页面。我希望此页面可以公开访问,因此我应用了通常的Spring Security配置: 我们还说,如果用户在身份验证后到达此页面,我想在页面上打印“ Hi Firstname Lastname”。对于需要身份验证的页面,我只需将以下结果放入我的中,然后可以在以后的视图中访问这些名称: 这不适用于,大概是因为当您指定时,然后的呼叫会传回null。(此
-
Spring Security-如何启用方法安全注释?
问题内容: 在StackOverflow上有很多类似的问题,但是我找不到任何答案:( 我有像这样的web.xml: 并尝试使用注释配置方法安全性。如我所见,在我看来,它必须由放置在与其他组件相同的上下文中。所以我有以下内容: 和: 添加所有控制器后停止工作的问题。我在日志中有以下内容: 当我删除此元素时,一切正常。如果我将其添加到-没有任何变化。似乎没有使用它,因为任何人都可以使用带有(或任何其他
-
Spring Security,表单登录和并发会话
问题内容: 我试图限制用户多次签名(迫使上一个会话过期)。 我检查了这个专题的文件在这里。我将其设置与文档非常相似,但是用户并不仅限于一次会话。我可以使用同一用户多次登录(在不同的浏览器中),并进行多个并发会话。 我认为这是我的安全设置的相关部分。我正在使用自定义UserDetailsService,UserDetails和AuthenticationFilter实现。 我还在我的web.xm
-
使用Spring Security检索会话ID
问题内容: 为了进行记录,我想创建一个记录器,该记录器将当前会话的ID自动添加到记录的行中。 对于已登录的用户,这不是问题: 问题是,在用户登录之前的回报。是否有另一种获取会话ID的方法,而无需引用当前响应或此类响应? 问题答案: 您可以使用 这依赖于Spring的,因此应与Spring MVC一起使用,否则您应该有一个声明。如果不存在,还将创建会话。
-
使用Spring Security Javaconfig进行基本和基于表单的身份验证
问题内容: 我正在尝试为不同的URL模式定义两种不同的安全配置,其中一种使用表单登录,另一种使用对api的基本身份验证。 我正在寻找的解决方案与此处说明的解决方案类似,网址为http://meera- subbarao.blogspot.co.uk/2010/11/spring-security-combining-basic- and.html, 但我想这样做使用Java配置。 提前致谢。 这是
-
如何使用基于Scope的@PreAuthorize保护spring-security-oauth资源?
问题内容: 我成功配置了spring-security- oauth2,以便外部应用程序可以通过我的应用程序进行身份验证。但是,基于外部应用程序以及基于用户允许的内容,客户端只能访问我的API的子集。可用子集由OAuth范围确定。 在经典的Spring应用程序中,我可以使用@PreAuthorize来基于角色强制执行边界: 在使用OAuth并结合作用域而不是角色时,我该怎么做? 问题答案: Spr
-
Spring Security中的每个请求都从数据库重新加载UserDetails对象
问题内容: 我一直在寻找一种方法,可以在每个请求时重新加载我们的Spring Security UserDetails对象,并且无法在任何地方找到示例。 有人知道该怎么做吗? 基本上,我们希望为每个请求重新加载用户权限,因为该用户权限可能会从Web请求更改为Web请求。 例如,一个已登录并随后被授予新权限的用户(并通过电子邮件被通知他们具有新权限),我知道该用户实际获得该新权限的唯一方法是先注销然