《security》专题
-
Spring Security无法访问外部JavaScript
如何解决此问题?
-
如何让spring security在跨多个域的负载平衡器后面工作?
我们正在将旧的java/Spring应用程序移动到AWS中,因此它位于AWS应用型负载均衡后面。Tomcat直接在端口8080上的负载均衡器后面运行,我们在负载均衡器和tomcat之间使用HTTP。 问题是在这种情况下,Spring Security模块无法识别连接是否安全。 我可以通过配置连接来解决此问题: 它适用于单个主机名。但是,我需要它来跨多个主机名工作。 我已尝试跳过代理并添加: 但这似
-
Spring/Spring-Security是否受CVE-2022-21449影响?
是否存在CVE-2022-21449可能导致黑客/滥用的情况? 我在spring security和java的github repo上展示了这一点。安全性被广泛使用,但我不知道库中的使用如何导致安全缺陷。
-
Spring Security请求仅接受内容类型x-www-form-urlencoded的请求
这是我第一次决定用完整的Java代码配置编写基于Spring Boot和Spring Security性的应用程序,我遇到了无法超越的奇怪问题。我正在尝试用Postman测试API,我的请求只有在使用内容类型为application/x-www-form-urlencoded时才被接受。下面我粘贴我的所有当前配置。 如果我想登录,我只能使用提到的内容类型。对于应用程序/json,我得到403响应状
-
如何在Spring Boot Security 2.0中使用两种不同的身份验证方法
我的应用程序对spring-data-rest访问使用基本身份验证(“/API/**”下的所有内容),对面向客户端的API使用UserDetailsService进行JWT身份验证(本例中的所有内容都在“/component”下)。在升级到Spring Boot2之前,我的一切工作如下: CORS的东西有一个单独的配置,我现在不关心,因为它以前工作得很好,现在不是任何麻烦的来源。 因此,在升级到S
-
使用Spring Boot 2和Spring Security 5的多因素身份验证
null 允许添加要使用的其他AuthenticationProvider 我的的相关部分如下所示。 注入了并将其整合在一起。 -- 注:由于这是一个关于安全的问题,我正在寻找一个可靠的和/或官方来源的答案。谢谢你。
-
使用Java配置的Spring Security自定义身份验证过滤器
我的问题是我的SpringConfig类中筛选器的配置。我希望筛选器仅在请求是/authenticate URL时生效,我已将.antmatcher(“/authenticate/**”)添加到筛选器配置中。 当所有其他URL中的该行不再安全时,我可以手动导航到/home,而不进行身份验证,删除该行并对/home进行身份验证。 我应该声明一个只适用于特定URL的筛选器吗? 我如何在维护其他URL的
-
执行基本身份验证的spring security测试用例
我有一个Junit测试用例,其中我使用 根据https://spring.io/blog/2014/05/23/preview-spring-security-test-web-security提供的文档,它实际上并不使用用户名和密码进行身份验证,而是根据我们通过的权限配置SecurityContext。 在我的例子中,每当用户登录到应用程序时,我都会记录一个事件。并且我想编写一个测试用例来检查当
-
带有自定义筛选器的Spring Security
我创建了一个自定义筛选器,用于获取令牌,然后用与令牌相关的角色填充身份验证对象 然后,我将该过滤器添加到springsecuritycontext中,如下所示: 应用程序已经存在,我只是尝试添加Spring Security层。Spring Security版本为4.2.3。在尝试实现此功能的几天后,不会加载,因此不会筛选任何请求。请帮帮忙。
-
spring security,UserDetailsService,authenticationProvider,pass word我迷路了
例如,下面的代码试图处理一个简单的登录,使用密码编码器对db表进行身份验证。表单post包括一个“客户端”,一个持久化的IP地址和一些url路径信息,以便在登录后进行深度链接。(对于今天的单页web应用程序来说,这些都是非常基本的东西)我最初使用xml config工作,但是javaConfig让我陷入了困境。 我不知道userDetailsService,AuthenticationManage
-
Spring Security性-未调用自定义userDetailsService实现
尝试使用自定义userDetailsService学习Spring Security性并面临以下问题 访问受限页(/admin或/user)时,spring security将启动并显示登录页。 但在使用正确的用户名和密码提交登录页后,在调用自定义userDetailsService实现中的loadUserByUsername方法之前,将直接显示拒绝访问页。 在日志中,只有异常--在访问受限页面时
-
如何将OAuth身份验证与Spring Security绑定
我有一个Grails 2.5.3应用程序,目前使用Spring Security插件进行身份验证。用户使用用户名/pwd登录。 我现在更新了应用程序,以支持OAuth身份验证(使用ScribeJava)。用户可以单击将他们重定向到OAuth providers页面的链接,在成功输入凭据后,他们将被重定向回我的应用程序。但是,我无法将此功能与spring security plugin绑定在一起,这
-
使用spring security oauth2的双因素身份验证
我正在寻找如何使用spring security Oauth2实现双因素身份验证(2FA)的方法。要求是用户只需要对具有敏感信息的特定应用程序进行双因素身份验证。这些webapp都有自己的客户端ID。 我脑海中浮现的一个想法是“误用”范围审批页面,迫使用户输入2FA代码/PIN(或其他)。 示例流如下所示: null null
-
Spring Security性:测试和理解REST身份验证
null 有没有人能用这段代码告诉我,我应该通过REST发送哪些数据来进行身份验证并访问后续的@Security服务。任何帮助都会很好。多谢. Security-Application-Context.xml: AuthenticationFilter: AuthenticationSuccessHandler: MyLogoutHandler: LoginServiceImpl: 我试着使用下面
-
Spring Security记得我吗
我正在开发一个Spring MVC web应用程序,并配置了Spring Security性来拦截所有URL并对其进行身份验证。如果用户勾选“Remember Me”,则自动登录该用户,而无需重定向到登录页面。 比方说,我的登录URL是 example.com/signin 主页是 example.com/home 当用户输入需要身份验证的有效网页(例如example.com/home)的任何UR