《security》专题
-
Spring Security OAuth2-@ EnableOauth2Sso,但也接受令牌作为身份验证
问题内容: 我有有一个应用程序上的 添加应用程序后,会将我重定向到授权服务器,并在登录到该授权服务器后允许访问。我也想提供API访问权限,所以我希望应用程序能够通过Authorization- Header传递一个访问令牌来访问我的资源。 我通过与注意一起使用的身份验证筛选器进行了调试,未选中Authorization-Header值。 之后,我尝试创建自定义过滤器并将此过滤器添加到安全配置中 但
-
具有可变URL用户ID的antMatchers Spring Security模式
问题内容: 我一直在寻找答案,但是找不到任何有效果的东西 在我的休息服务中,我在/ account / {id} / download下保留了一些功能,我想在SecurityConfig java文件中设置acces ROLE,只有ROLE_TOKENSAVED用户可以访问此URL。 当{id}可更改时,模式应如何显示? 我尝试了一些正则表达式模式,但没有按我希望的那样工作,这是我的一些尝试: 在
-
使用OAuth2和JWT的Spring Security:编码后的密码看起来不像BCrypt
问题内容: 我正在尝试使用JWT实施spring AuthorizationServer。我能够生成JWT令牌并登录,直到将BCrypt添加到混合中为止。现在,当我尝试登录时,我从API获得“错误的凭据”。 OAuth2Configuration.java WebSecurityConfig.java SeedData.java 谢谢你的帮助。 问题答案: 我需要进行以下更改才能使其正常工作。如果
-
Java中的spring-security的替代方法(spring)
问题内容: 我正在寻找一个好的安全框架,该框架可以对方法的基于参数的访问规则进行注释。 基本上,我想检查是否允许通过身份验证的用户以特定对象作为参数调用特定方法。 春季安全性可以满足我的需求,但是由于这个原因(春季论坛),如果我无法使其正常工作,我正在寻找替代方法。 要求: 基于配置或注释的方法安全性,我想避免将安全代码放在我的服务方法中 规则基于方法的参数,仅基于角色的安全性是不够的 开箱即用的
-
如何使用Spring Security Java配置将HTTP请求重定向到HTTPS?
问题内容: 我有一个同时侦听HTTP和HTTPS的Spring Security版本3.2.3应用程序。我希望对HTTP端口的任何请求都重定向到HTTPS。如何仅使用Java进行配置? Spring Security javadoc for提出了以下解决方案(针对基本要求): 但是,这不起作用,因为没有方法。 问题答案: 更换用在问题的代码似乎得到期望的行为。然后,工作代码如下所示:
-
Spring Security:如何在登录URL中添加重定向查询参数以允许对该页面添加书签?
问题内容: 问题场景 我目前正在基于Spring Boot和相关Spring项目(例如安全性和云)的应用程序登录页面上工作。我希望我的应用程序的用户将登录页面添加为书签,因此需要采取这种行为。当我开始考虑潜在的问题时,我发现在将页面添加为书签后,应用程序将无法知道重定向到的位置(因为它可以是多个url)(因为只有/ login却没有重定向)。通常,用户不会使用例如/ dashboard并被重定向到
-
Spring Security OAuth2接受JSON
问题内容: 我从Spring OAuth2开始。我想将用户名和密码以application / json格式发送到POST正文中的/ oauth / token端点。 那可能吗? 你能给我个建议吗? 问题答案: 解决方案(不确定是否正确,但表明它正在工作): 资源服务器配置: 过滤: 请求包装器: 授权服务器配置(对/ oauth / token端点禁用基本身份验证:
-
Spring Security自定义UserDetailsService和自定义User类
问题内容: 我试图将其他数据保存在de用户主体对象中。 我所做的是: 在我现有的用户类中实现“ UserDetails”界面,我的其他数据(例如电子邮件地址等)保存在该类中。 然后,我创建了一个UserDetailsService实现: 最后一步是在“安全性”配置中添加UserDetailsService。 我在控制台中看到“ loadUserByName”被调用了两次(由于“ Found
-
Spring Security和CAS集成
问题内容: 任何人都可以在此处粘贴简单的步骤来集成Spring Security和CAS,以进行单点登录和单点退出。注意我不需要任何基于角色的访问。我有一个已经与spring security集成的Web应用程序。现在,我尝试使用CAS执行SSO,但是出现此错误 这是我当前的spring security.xml 这是我的web.xml 这是我的Spring-rootcontext.xml 这是我
-
Spring Security-将IP范围列入白名单
问题内容: 我已经看过很多资源和stackoverflow问题,它们为使用文件提供了答案: http://websystique.com/spring-security/spring-security-4-method-security-using-preauthorize-postauthorize-secured-el/ http://docs.spring.io/spring-securit
-
Spring Security并发控制
问题内容: 我已经使用了Spring Security 3.0.7,并且正在我的项目中实现并发控制。但这是行不通的。我用过了 甚至我尝试了Spring安全参考中的解决方案,但没有成功。这是我的配置文件内容: 我收到以下异常: 有人可以帮忙解决这个问题吗? 问题答案: 如果您已经编写了和(您自己的实现),则应该重写Object 和方法。
-
Spring Security中的最大并发用户数
问题内容: 我在我的项目中使用Spring Security 3.0,并且我限制用户最多只能有一个会话。配置如下: 我想在达到最大会话数时打印自定义消息(春季未默认提供)。请帮忙。 提前致谢!! 问题答案: 请把这个放在你的 它会显示“此帐户已被某人使用”。你可以给你想要的东西。 也别忘了配置
-
没有cookie的Spring Security Sessions
问题内容: 我试图在不利用cookie的情况下在Spring Security中管理会话。原因是- 我们的应用程序显示在另一个域的iframe中,我们需要管理应用程序中的会话,而Safari限制了跨域Cookie的创建。(上下文:domainA.com在iframe中显示domainB.com。domainB.com设置了JSESSIONID cookie以利用domainB.com,但是由于用户
-
从Android调用受Spring Security保护的REST Web服务
问题内容: 我正在使用Spring Security在Grails应用程序中托管REST Web服务,即: 我是从Android应用程式呼叫它。(调用不安全的服务就可以了。) 为了调用该服务,我正在手动建立一个request()并使用来执行它。 我想知道最佳实践是什么,以及如何实施它们……具体来说,我应该: 执行一次登录,以检索JSESSION_ID,然后将包含它的标头添加到每个后续请求的Http
-
Java配置和Spring Security 3.2的安全方法注释
问题内容: 我在使用由Servlet 3.0样式初始化控制的方法级别注释来设置我的应用程序时遇到一些问题 我尝试了两种不同的方法来初始化各自的问题。请注意, 不 使用会导致服务器启动成功,并且所有表单安全性都将按预期执行。我在控制器上添加和注释时出现问题。 我试图独立设置基于表单和基于api的安全性。基于方法的注释仅需要用于api安全性。 以下是一种配置。 这不是理想的,因为我真的只希望对身份验证