《security》专题
-
spring basic security中没有为id“null”映射的PasswordEncoder
我的代码在spring版本1.5.6中运行良好。释放。但当我将版本升级到2.0.0时,我的一些方法已被弃用,但效果很好。当我通过查看没有为id“null”映射的PasswordEncoder和数据库身份验证来更改我不推荐的方法时,它开始给我错误“没有PasswordEncoder” 这是我的代码。 网络配置 账户控制员 用户服务 我看到了所有相关的答案,但它们可用于inMemory身份验证。Spr
-
Spring Security中没有为id“null”映射的PasswordEncoder
我正在从Spring Boot 1.5.12迁移到Spring Boot 2.0和Spring Security 5,并试图通过OAuth 2进行身份验证。但即使在使用委托{noop}之后,我也会遇到这个错误: Java语言lang.IllegalArgumentException:没有为id“null”映射的PasswordEncoder 这是我的代码: SecurityConfig安全配置 O
-
Spring Security无法正常工作
} 这是我的配置。但似乎/用户/无法被任何人访问。 每当我输入“. hasRole(“RoleName”)”时,它只会拒绝该角色的访问。我得到一个{“时间戳”:1526671066818,“状态”: 403,“错误”:“禁止”,“消息”:“拒绝访问”,“路径”:“/用户”} 从那。 我想要的是,一些请求只允许“USER”访问,例如:“/entrysheet”,“/datasheet”等,而“ADM
-
Spring security未拦截请求
我正在尝试做一个基本的Spring SecurityD/B身份验证程序。我试过两种方法。 方法1:使用自定义表进行Spring Security验证<方法2:使用特定于Spring security的数据库表进行用户身份验证和授权。 文件位置: 1.index.jsp- 对于方法1,Spring security并没有拦截请求,我在控制台中也并没有看到错误。我没有截获这个请求,而是直接接受了邀请。
-
Spring Security 4@PreAuthorize("hasRole()")不工作
在过去的几天里,我一直在进行故障排除,我似乎无法让表达式hasRole工作。我使用的是sping-Security 4.0.1 我的Spring Securityxml 我的所有角色都存储在数据库中,其模式类似于此链接中的1。在自定义的userDetailService中,我将从数据库中加载它。我的角色价值观是这样的 我甚至试着加上前缀“ROLE\uux”,但我似乎无法实现。 下面是关于如何使用h
-
如何根据具有Spring Security性的角色限制对html页面的访问?
我希望用户能够根据自己的角色访问html页面。例如,只有具有HR角色的人才能查看设置。html页面,只有经理才能看到pendingrequest。html。 这是我的安全配置: 由于某种原因,我在那里尝试的东西没有用,无论我扮演什么角色,我都看不到这些页面。
-
在使用JUnit测试Spring Security性时,如何删除“ROLE\”前缀?
一些背景:我们有一个联调类,用于测试与Spring授权一起使用的常量SPEL字符串。简单的例子: 前面提到的常量的用法如下: 其中常量可以是一些更复杂的检查,如: 我们已经按照此处的建议配置了Web安全配置,因此添加了类似bean的: 除了文章顶部显示的测试失败之外,一切都很顺利,因为在测试环境中,Spring security仍然会为每个模拟用户角色添加前缀ROLE\u1。 有没有人能解释一下应
-
如何在从3.2.7到4.0.2的Spring Security更新中处理defaultRolePrefix=“ROLE\ux”。发布
我的Spring Boot应用程序适用于Spring Security 3.2.7。释放。现在,我想将其更新为4.0.2。释放。 经过数小时的调试,我发现Spring Security 4.0.2。发布使用defaultRolePrefix 在里面 方法 在我的应用程序中,我使用没有此前缀的角色,因此我得到。 如何配置Spring Boot以使用SecurityExpressionRoot。def
-
基于Spring Security URL的授权我想在我的Spring mvc项目之一中实现基于URL的授权。在我的Spring mvc项目中,我使用java配置。我已将此站点https://www.baeldung.com/role-and-privilege-for-spring-security-registration以实现基于角色和特权的授权。 所以我创建了下面的表来实现。 这是用户表。 这个角色表。 这是角色和特权之间的映射表。 这
-
在没有用户角色的情况下实现Spring Security性
我想在没有用户角色的情况下实现Spring Security。我尝试了这个: 我想配置Spring Security以将数据库用于Rest api请求。我尝试了这个: 服务: 服务实现 实施: 我有两个问题: > 如何将Spring Security与用户角色一起使用? 如何使用用户名和密码验证请求。我看到,只能接受用户名。是否有其他方法来实现代码?
-
使用AJAX身份验证的Spring Security性
我正在尝试使用Spring Security性来验证web应用程序,以使用AJAX保护资源,如弹出对话框,而不是默认重定向到单独的登录表单。然而,我真的很难解决这个问题。我已尝试基于以下URL的内容实施测试: http://www.cavalr.com/blog/Spring_MVC_-_Spring_Security_with_AJAX_and_JSON 但无济于事-对话框保持打开状态,并且不调
-
需要db请求的Spring Security性和基于复杂方法的规则
我有一个设计问题。我开始需要实现基于方法的安全性,以确保我的用户不会尝试任何有趣的事情。 我有用户“拥有”某个业务对象,他们可以添加其他用户“拥有”该业务对象的子对象。我想检查尝试创建新用户的用户是否确实是将为其添加新用户的对象的父亲的所有者。 这不是很清楚,但我的问题是:当我需要查询数据库以在PermissionEvaluator中检查内容时,这是一个非常糟糕的设计吗?如果没有,这有可能吗?我似
-
为什么Spring Security的RoleVoter需要前缀?
在我们的应用程序中,我们计划使用RoleVoter机制,但我们希望删除ROLE前缀,因为我们实现的安全性更多地基于任务,而不是基于角色。 从技术上讲,实现没有问题,但我在文档中发现,不鼓励使用前缀为空的RoleVoter。 我想知道为什么? AFAICS,唯一的问题是,如果没有前缀,角色选择器将参与其不打算参与的决策(例如,,,…)May返回拒绝的访问,而不是弃权。 您能确认这是唯一一个前缀为空的
-
Spring Security配置:HTTP 403错误
我正试图按照web上的指南使用Spring Security保护我的网站。 所以在我的服务器端,我有以下类。 我的: 我的控制器: 让我非常困惑的是服务器不响应/方法,而方法工作正常。顺便说一句,我在客户端使用。 例外情况包括: 我在网上搜索了好几天了。还是没有线索。请帮忙。非常感谢
-
CSRF/Spring Security-通过AJAX登录后出现403错误
在Spring Security 5.1.4中使用CSRF保护时,我遇到了一个问题。 我已经为应用程序设置了自定义登录页面。当用户输入其凭据时,会发出AJAX请求。成功处理程序执行其职责并在响应中返回JSON文档。当AJAX调用成功时,屏幕会动态更新,方法是删除用户名和密码字段,并将其替换为下拉字段和继续按钮。 当用户从下拉列表中进行选择并单击“继续”按钮时,表单上的操作将更改,并使用POST方法