《security》专题

我正在使用带有JWT的Spring Security来验证rest api。登录时，会生成JWT令牌并共享给移动客户端。但是，后续请求中的令牌没有经过验证。安全配置有什么问题吗？ Spring Security版本-5.1.6。释放 //安全配置 //JWT Token Auth Filter——永远不会调用它 我希望登录后的所有请求都将根据JWT令牌进行身份验证。我尝试将要验证的服务的名称输入如

我创建了这个简单的控制器： 如您所见，它受的保护。 根据日志： 如您所见，用户已通过身份验证，并具有角色查看器。然而，由于“访问被拒绝”，它无法到达endpoint。 上一个日志片段： 主体：用户名；凭据：[受保护]；身份验证：真；详细信息：空；授予权限：查看者 我的JWTFilter看起来像： 有什么想法吗？

我是jwt微服务开发的新手。以下是我的项目结构： 第一个微服务由jwt和Oauth2使用用户名和密码对用户进行身份验证。这种微服务称为身份验证服务。 登录请求url如下所示： [http://localhost:9092/oauth/token?username=s@sawai。通用域名格式 通过调用此url，我们得到了如下jwt令牌： 在auth service数据库上，我们只创建一个名为use

我有一个复杂的情况，我需要在tomcat 8上实现一个同时提供静态html和rest服务的Web应用程序的安全性。该应用程序是Spring mvc应用程序（没有Spring启动） 身份验证（sso）过程如下所示： 如果http头中不存在用户jwt，则使用ldap进行身份验证，从db获取用户权限，并将jwt创建回用户。 如果标头中存在jwt，则跳过ldap过滤，从令牌中提取用户权限。 我想到了第一个

在Spring Security中使用自定义JSP登录页面相当容易。不过，我们的应用程序是基于Vaadin的，我不想使用JSP登录页面。我想要的是作为Vaadin小部件创建的自定义高级登录窗口。 从技术上讲，我可以使用Vaadin的FormLayout和名称字段，比如j_用户名和j_密码……但这是Java类，而不是JSP文件，那么我在http Spring Security元素中指定了什么？我的意

我有一个Spring Boot应用程序并为其配置了Spring Security性，它使用带有简单AngularJS表单的自定义登录页面，我正在尝试通过它进行身份验证，但未成功。在我的MONTUserDetailsService loadUserByUsername（String参数）参数每次都为空，有人能帮我吗？我错过了什么吗？ 这是我的表格： 这是我的js： 这是我的安全配置： 这是我每次都会

我使用jsf servlet并创建了自定义登录页面，使用了带有动作j_spring_security_check的表单，方法POST，使用了j_username和j_password。当我单击登录按钮时，我遇到的问题不是重定向到页面，而是在Chrome网络列中显示了带有302状态代码的post方法j_spring_security_check，我是否使用了Spring安全的正确方式？ 登录。jsf

目前，我正在用Java开发一个基于Spring Boot的web应用程序。我正在尝试为我的应用程序创建工人注册。老实说，这是我第一次使用这样的应用程序，我真的不知道如何在注册时授予用户角色。我看了几个教程，但并没有人演示如何在向数据库添加新用户时授予角色。 在我的数据库中，我有如下表Worker和Role。 在注册表中，我有两个复选框：worker和admin，我想根据所选的复选框授予权限。 这就

因此，如果我以角色的身份登录，我就可以很好地访问这个视图。 但是，让我们做一个小的改变，重写一个方法... 这会给我一个...我不明白为什么。 为什么？！！ 希望能得到一些帮助来解决这个问题。

我的auth服务器执行以下操作- > 让用户通过第三方oauth提供商登录，比如谷歌，或者让用户使用用户名和密码在我们的服务器上创建他的帐户，并生成令牌。 因此，当用户使用外部oauth（如google）登录时，我只需存储令牌，并将相同的（google）令牌传递给我的UI应用程序，以访问资源api服务器。我有一个验证令牌和允许api访问的身份验证过滤器。 null

未能分析表达式“have role”('role_user''role_admin')' 当我删除时，系统可以工作，并且可以对用户进行身份验证，而不是对进行身份验证，这些用户现在被拒绝访问所有页面。在数据库中，我已经设置了角色，它一直工作到最近。

我有一个springboot应用程序，它使用Keycloak处理JWT身份验证。如果我在controller方法上使用@PreAuthorize，一切都按预期工作，但是基于HttpSecurity的URL antMatcher模式却不是这样。据我所知，Spring在构建用户主体之前应用了安全过滤器。在日志中，我看到它对匿名进行测试，即使传递了有效的承载令牌，我也可以看到控制器方法中的Authent

我有一个spring boot RESTFul web应用程序，它使用CAS服务器进行企业单点登录。如果未登录的用户试图访问安全页，则该用户将被重定向到CAS服务器进行身份验证。在成功的身份验证后，用户会被重定向到spring boot RESTFul web应用程序的主页--而不是用户试图访问的安全页面。我们如何将用户直接重定向到安全页面，用户在成功登录后希望访问该页面？ spring-secu

我正试图禁用Spring Security性以请求前端。我使用oauth2-auto-configuration作为一个依赖项，我还从Maven中删除了spring starter安全性。我还需要说，一切都是从邮递员工作。 CORS滤波器 谢了。

我有一个带有OAuth2安全性的Spring Boot REST API。 今天，我已经将我的版本从升级到。 变化完全把我搞糊涂了。 然而，我的问题是： 就安全性而言，这两个版本之间发生了什么？ 这条“奇怪”的行是唯一有效的修复程序吗？ 这个登录页面的目的是什么，它使用的身份验证是什么（我在Google Chrome中检查了一个请求和响应，但我看不到任何访问令牌和oauth2的东西，所以它只使用用