《security》专题
-
带enctype=“多部分/表单数据”[重复]的Spring Security CSRF
我在jsp文件中有此表单: 这个广告表单类: 在相应的控制器中,我使用此参数接收数据: 问题是当csrf在sping-security.xml被禁用它的工作正常-我可以看到选择的文件在广告orm.get图像(),但当我启用csrf它停止工作: 我试图通过以下步骤解决这个问题: > 我定义了filterMultipartResolver:
-
使用Spring security时,Spring boot@Autowired repository实例为null
我的情况是: 我正在构建一个Spring Boot应用程序,当我在控制器中自动连接UserRepository时,它会初始化它,当我尝试调用findByUserName方法时,一切都正常。 用户控制器 创建控制器后,我需要使用Spring Security来保护控制器的路径,因此我在SecurityConfig类中添加了以下配置: 安全配置 现在,当我尝试将请求发布到/登录路径时,我在Custom
-
如何使用Spring Security和RESTful执行POST请求?
我正在学习Spring Rest,我有一个Restful控制器,可以处理GET、PUT、POST和DELETE请求。之后,我添加了带有2个角色user和admin的Spring Security性。而且我不明白为什么我只能做GET请求,如果我试图做一个帖子,放置或删除请求,我会收到403个禁止。 Rest控制器: Spring安全配置: 更新 问题是由于CSRF保护。我禁用了CSRF,它工作得很好
-
Spring security在所有角色名称中添加了前缀“ROLE\uu”?
我的Web安全配置中有以下代码: 因此,我在我的数据库中添加了一个具有“ADMIN”角色的用户,当我尝试使用该用户登录时,总是出现403错误,然后我为spring启用了日志,我发现了以下行: 为什么Spring Security要寻找“ROLE_ADMIN”而不是“ADMIN”?
-
Spring Security 3.2 CSRF支持多部分请求
我们在应用程序中使用Spring Security性已有几年了。上周,我们将Spring Security从3.1.4版升级到3.2.0版。升级进行得很顺利,升级后我们没有发现任何错误。 在浏览Spring Security 3.2.0文档时,我们发现了围绕CSRF保护和安全标头的新增功能。我们遵循Spring Security 3.2.0文档中的说明,为受保护的资源启用CSRF保护。在我们的应用
-
当涉及到POST请求时,Spring Boot Security和CORS的问题
我想保护一个供个人使用的REST服务,并将其用作Angular应用程序的备份,使用这样的方法对方法安全性。 @CrossOrigin注释在哪里工作得很好,但当我在POST请求上尝试相同的注释时,由于CORS,它失败了: 所以我猜Spring Boot安全性在某种程度上干扰了这一点,但我看不出为什么这只会影响POST请求的解决方案?在我添加Spring Boot Security之前,它们工作得很好
-
没有用户服务的Spring Security X.509身份验证
我在web应用程序中使用Spring Security(v3.1.3)进行X.509身份验证。用户和角色存储在数据库中,但我实际上不需要这样做,因为客户端证书的CNs符合“[角色]-[用户名]”模式,这意味着我已经从证书本身获得了用户名和角色。那么,如何不费吹灰之力就消除数据库呢?我应该编写自己的用户服务实现来填充UserDetails,还是有更优雅的方法?
-
Spring security始终返回HTTP 403
我已经配置了一个自定义过滤器,它为除登录之外的每个URL授予spring权限: 和一个spring配置,该配置使用该权限保护所有请求(但不包括登录): 但是,除了登录之外,每个请求都会得到HTTP 403禁止。 我已经调试并确保过滤器中的代码确实被触发。 有什么问题吗? 编辑-当将Spring Security日志放入调试时,我得到以下堆栈跟踪:
-
Spring Security:LockedException被抛出而不是BadCreentalsException,为什么?
使用Spring Security 4.0.2。发布 对于使用Spring Security框架的基本用户身份验证,我实现了Spring Security性DaoAuthenticationProvider 当用户尝试使用正确的用户名登录时,错误的密码和用户的帐户已被锁定,那么我预计Spring Security身份验证模块将引发BadCredentialsException,但它会引发Locke
-
如何使用HttpSecurity(Spring Security)应用角色?
我正在使用Spring Security 3.2.3。释放 这是我的WebSecurityConfigrerAdapter的代码 结果是:HTTP状态403-访问被拒绝 但是如果我评论这一行: 一切正常。这意味着(我猜)我的角色或HttpSecurity有问题。 所以我开始调试。我仔细检查我的用户详细信息是否有两个具有名称的授权:ADMIN、USER。 你知道是什么导致了这个问题吗?
-
将Spring Security更改为在身份验证失败时返回401
在我的Spring Boot(v.2.7.0)应用程序中,我使用Spring Security进行身份验证。如果用户尝试使用无效凭据登录,服务器会以403(禁止)状态代码响应,但我希望使用401(未授权)。 我在配置中找不到任何指示Spring Security性的默认行为已被覆盖的内容,但无论是否被覆盖,我都希望在身份验证失败时返回401。 我浏览了相关的Spring Security代码,它显
-
当用户身份验证失败时,Spring Security ProviderNotFoundException
我已经设置了一个LDAP自定义身份验证提供程序,类似于这里的示例-https://www.baeldung.com/spring-security-authentication-provider 有一个登录控制器来处理登录错误,并检查用户是否在已批准的列表中。控制器调用自定义身份验证提供程序,即authenticationManager。authenticate()方法。 如果提供了错误的凭据,将
-
Spring Security返回403而不是401,并创建无效的Redis会话cookie
我正在使用Spring Security和Spring Data Redis来跟踪具有自定义角色和权限的用户会话。当我尝试在浏览器中没有会话cookie的情况下访问预授权endpoint时,它应该返回401。相反,会创建一个新的(无效的)会话cookie,endpoint返回403。 这是我的安全配置: 我还使用MethodSecurityConfig和UserDetails的实现来解析用户身份验
-
Spring Security是否提供开箱即用的功能来从资源服务器检索和使用OAuth2令牌
我们有一个Springboot应用程序(比如microservice-a),我们需要添加一个带有OAuth2令牌的HTTP授权头来访问另一个microservice(比如microservice-B)。另外,据说我们可以通过向同一个microservice-B发送带有Grant\u类型、作用域和基本身份验证用户名和密码的HTTP POST请求来检索这个OAuth2令牌。 现在我的疑问是,我们是否有
-
惰性在运行时初始化Spring Security性重新加载Spring Security配置
Spring通常在启动应用程序时急切地加载Spring Security配置。我正在使用OAuth和Spring Security 我正在维护一个配置表,用于存储与SSO相关的值(如jwk url、client\u id、client\u secret)。该值将由管理员用户通过CRUD在同一spring boot应用程序中填充。 然后只有jwk-url可用于在Spring Security配置。这