《security》专题
-
在Spring Security Java Config中创建多个HTTP部分
问题内容: 使用Spring Security XML配置,您可以定义多个HTTP元素,以为应用程序的不同部分指定不同的访问规则。8.6高级命名空间配置中给出的示例定义了应用程序的有状态和无状态部分,其中前者使用会话和表单登录,而后者不使用会话和BASIC身份验证: 我不知道如何使用Java Config执行相同的操作。重要的是,我禁用会话并为Web服务使用其他入口点。现在,我有以下内容: 使用此
-
Spring 3.0-无法找到XML模式名称空间的Spring NamespaceHandler [http://www.springframework.org/schema/security]
问题内容: 任何想法可能是什么原因? 无法找到用于XML模式名称空间的Spring NamespaceHandler [http://www.springframework.org/schema/security] 这是我的applicationContext.xml: 在我的pom.xml中,我有: 问题答案: 我需要添加一个附加的Maven依赖项:
-
如何在Spring Security中使用自定义角色/权限?
问题内容: 在将旧版应用程序迁移到Spring Security时,出现以下异常: 在旧的应用程序中,角色有“超级管理员”,“编辑者”,“帮助台”等。但是在所有Spring Security示例中,我仅看到诸如“ ROLE _”(“ ROLE_ADMIN”等)的角色。当我将“ superadmin”重命名为“ ROLE_ADMIN”并且仅在配置中使用此角色时,一切正常。 不起作用: 作品: 可以使
-
如何在JSP中显示Spring Security Auth异常的自定义错误消息
问题内容: 我想在jsp中显示针对Spring安全认证异常的自定义错误消息。 对于错误的用户名或密码, 对于禁用的用户, 我是否需要为此重写AuthenticationProcessingFilter?否则我可以在jsp本身中做一些事情以找到认证异常密钥并显示不同的消息 问题答案: 在Spring安全jar内的 messages.properties中 重新定义属性。例如,添加到类路径 myMes
-
如何使用Spring Boot和Spring Security保护REST API?
问题内容: 我知道保护REST API是一个被广泛评论的话题,但是我无法创建一个符合我的标准的小型原型(并且我需要确认这些标准是现实的)。如何保护资源以及如何使用Spring安全性有很多选择,我需要弄清楚我的需求是否现实。 我的要求 基于令牌的身份验证器-用户将提供其凭据,并获得唯一且受时间限制的访问令牌。我想在自己的实现中管理令牌的创建,检查有效性和到期时间。 某些REST资源将是公开的-完全不
-
具有角色和权限的Spring Security
问题内容: 我正在尝试设置具有权限的基于角色的安全性。我正在尝试与Spring-Security一起执行此操作。 我不想设置ACL,因为这似乎对我的要求来说有些过头了。 我只想拥有本文所述的简单权限和角色。不幸的是,本文没有描述如何实现给定的解决方案。 有人已经尝试过了,可以指出正确的方向吗?也许还有另一个博客条目描述了实现方式? 非常感谢你。 问题答案: 要实现这一点,您似乎必须: 创建模型(用
-
使用Spring Security进行单元测试
问题内容: 我的公司一直在评估Spring MVC,以确定我们是否应该在下一个项目中使用它。到目前为止,我喜欢我所看到的内容,现在,我正在查看Spring Security模块,以确定是否可以/应该使用它。 我们的安全要求非常基本。用户只需要能够提供用户名和密码即可访问网站的某些部分(例如获取有关其帐户的信息);并且网站上的页面很少(常见问题解答,支持等),应该为匿名用户提供访问权限。 在我创建的
-
具有X.509证书的Spring Security
问题内容: 我正在慢慢地疯狂尝试配置Spring Security 3.0.0以保护应用程序。 我已将服务器(码头)配置为要求客户端身份验证(使用智能卡)。但是,我似乎无法正确获得applicationContext- security.xml和UserDetailsService实现。 首先,从应用程序上下文文件中: UserDetailsService看起来像这样: } 该应用程序具有
-
使用带有默认身份验证提供程序的Spring-Security PasswordEncoder?
问题内容: 我正在使用Spring 4.0.8 RELEASE和Spring-Security 3.2.5 RELEASE 我正在使用HTTP Digest构建REST WebService,只有注册用户可以访问。 我的web.xml是这样的: applicationContext.xml包含我的Controller / DAO,对此很重要,仅此而已: 现在,security-context.xm
-
Spring Security OAuth2中注入自定义userDetailsService的问题
问题内容: 我正在使用Spring Security OAuth2 2.0.7.RELEASE。当我使用ORM连接到数据库并且默认JdbcUserDetailsManager使用jdbc时,我想实现自己的UserDetailsService,即 此外,我修改了权限架构,如下所示: 然后,我像这样注入我的自定义userDetailsService: 如果我使用Grant_type = pas
-
无法在Spring Security中使用@Secured Method Security批注
问题内容: 我做了很多研究,对我来说一切看起来都不错……但是我无法使它正常工作!有人知道吗? 不管我做什么,相关的映射对任何人都保持公开状态(无论匿名或登录,无论他们扮演什么角色)。 理想情况下,我希望所有请求都公开,但@Secured()注释的请求除外-显然,只有具有特定角色的用户才能访问这些映射。 那可能吗? 仅供参考,我目前构建了一种方法“ hasRole(String role)”,该方法
-
在ServletContext资源[/WEB-INF/spring-security.xml]中定义了名称为'offlineTokenServices'的无效bean定义
问题内容: 感谢您支持在本地运行该程序包。 现在在本地运行firstapp时遇到异常。 我添加 ,但仅遇到相同的问题。 请建议我必须设置哪些值 问题答案: 您需要按照错误消息的指示将其作为环境变量提供给本地容器。为此,请向环境变量提供相应的参数,就像将真实的XSUAA实例绑定到您的CloudFoundry微服务时一样。对于本地部署,您必须至少具有以下参数,其中该属性需要与JWT的签名匹配。此外,该
-
使用Spring Security + Spring数据+ MongoDB进行身份验证
问题内容: 我想将Spring安全性与MongoDB结合使用(使用Spring数据),并从我自己的数据库中检索用户以获取Spring安全性。但是,由于我的用户服务类型似乎不受支持,所以我不能这样做。 这是我的UserService类: 和我的SecurityConfig类: 我评论的那句话说: 如何解决它,以便可以从自己的数据库中检索用户? 问题答案: 服务层 您必须创建一个单独的实现并将其注入。
-
Spring Security OAuth2纯资源服务器
问题内容: 我们已经设置了OAuth2授权服务器,因此我需要创建一个相应的资源服务器(单独的服务器)。我们计划使用Spring Security OAuth2项目。他们关于设置资源服务器的文档: https://github.com/spring-projects/spring-security- oauth/wiki/oAuth2#resource-server-configuration 应该
-
通过发送到电子邮件的动态URL实施Spring Security密码恢复的指南
问题内容: 我发现密码恢复非常困难,因为我从未做过。 到目前为止,我已经拥有以下Web应用程序: Spring Security,在其中正确地对密码进行了哈希处理,并实现了用户角色并正常工作。 该策略提示了来自stackoverflow的研究: 用户点击“忘记密码”按钮,然后在其中输入电子邮件地址。 动态链接已发送到电子邮件地址 用户打开电子邮件地址中的链接 这会将他重定向到密码重置页面 未知的: