《security》专题
-
Spring Security身份验证和用户界面
根据Spring Security,如果身份验证由外部身份验证提供者完成,则使用身份验证提供者。认证后,Spring Security将获得封装用户信息的认证对象。 如果Spring Security框架进行身份验证,则用户信息被封装在User接口的实例中(例如作为默认实现的User细节类)。 我的问题是——为什么Spring Security框架不能使用一致的方法?为什么他们不能在所有情况下使用
-
Spring在线程或不同请求方面的SecurityContext行为是什么?
我将介绍Spring Security的不同类实现。我知道我们将身份验证对象设置为SecurityContext ThreadLocal对象,如下所示: 因此,基本上每个线程都有一个单独的SecurityContext ThreadLocal对象副本,它保存该线程的身份验证对象。在这之前都很好。我在安全配置中将SessionCreationPolicy设置为无状态。以下是安全配置: 但是,我不明白
-
如何定制SecurityContextPersistenceFilter的行为?
我开发了一个利用基于令牌的身份验证的无状态REST API,其中我通过调用从自定义安全过滤器内手动将Authentication对象添加到安全上下文。我一直遇到上下文未正确设置的问题,我相信这是由于: 在请求之间存储SecurityContext 在单个会话中接收并发请求的应用程序中,相同的SecurityContext实例将在线程之间共享。尽管正在使用ThreadLocal,但从HttpSess
-
手动设置spring security auth记住我
在实现应用程序登录时,我想使用Spring Security设置谁登录,但如何设置记住?我的用户名是这样的。 用户详细信息us详情userDetails.loadUserByUsername(u.getAccount()); Authentication认证=new UsernamePasswordAuthenticationToken( us详情,usDetails.getPassword(),
-
使用Spring Security时,请求之间是否共享SecurityContext?
在使用Spring Boot编写的rest API上使用基于无状态令牌的身份验证时,我看到了一些奇怪的行为。 客户机在每个请求中都包含一个JWT令牌,我编写的一个自定义过滤器扩展了GenericFilterBean,它使用以下内容将基于令牌中声明的身份验证对象添加到安全上下文中: 并在处理请求后通过执行以下操作清除上下文: 但是,当我开发的简单应用程序执行一系列操作时,我有时会看到安全上下文设置不
-
如何在Spring Security调试过滤器之前订购自定义过滤器启用Spring Security调试后,它会注册Spring Security DebugFilter.java 我有一个自定义过滤器,我想在spring security DebugFilter之前订购。在调试过滤器之前调用过滤器最合适的方式是什么? 我的自定义过滤器已经是Spring Security过滤器链之前的订单,但它不会在Spring Security调试过滤器之前被调用。
-
Spring Security过滤器链不适用于转发的请求
我的应用程序只需要支持一个URL。喜欢http://.../service/api.要执行的操作取决于“操作”请求参数 为了处理这个问题,我创建了以下控制器 缺少ACTION参数时将调用 /view。对于前两个请求,我配置了OAuth身份验证,后者即 /view将使用formlogin。 我已经创建了一个过滤器,在那里我检查ACTION参数,如果丢失,我将请求转发到 /view处理程序。 下面是过
-
Spring security偶尔会在成功登录后重定向到默认页面而不是登录前页面
我们的团队正在使用Spring boot(2.2.2)开发一个web应用程序。它使用Spring security来处理登录过程。我们希望应用程序在登录前重定向回页面(例如,用户访问)http://example.com/foo/bar - 除了应用程序偶尔指向默认页面(例如,http://example.com)而不是登录前的页面。发生这种情况时,登录前的页面似乎没有保存在会话中(根据我的队友的
-
Spring Security不断将我重定向到登录页面
我在地址栏中输入的任何链接都会将我重定向到登录页面。我该怎么防止呢? 例如如果我加上http://localhost:8080/asdasdsa 我的安全配置:
-
如何在spring security中传递参数和注销成功url?
我在spring boot应用程序中使用基于java的Spring Security配置。当用户单击注销链接时,用户将被重定向到登录页面。在这里,在这种情况下,我需要在注销成功url中传递一个自定义参数。 例如,当我注销时,应用程序被重定向到http://localhost:8080/app/login但我希望它有一个如下所示的参数http://localhost:8080/app/login?i
-
端口8443上通过ssl的Spring Security登录在使用http协议的端口8080上无法识别
我在试图保护我的登录表单时遇到了一种奇怪的行为。 我的应用程序是在Spring框架和Spring Security上开发的,部署在Tomcat服务器上。只要使用http,一切都很好,但当我在成功登录和重定向后,在登录页面使用https 8443端口时http://localhost:8080/mens/index我被重定向到登录页面https://localhost:8443/mens/login
-
Spring Security禁用登录页面/重定向有没有办法禁用Spring Security和登录页面的重定向。我的要求指定登录应该是导航菜单的一部分。 例子: 因此没有专门的登录页面。登录信息需要通过Ajax提交。如果发生错误,它应该返回指定错误的JSON,并使用正确的HTTP状态代码。如果验证通过,它应该返回一个200,然后javascript可以从那里处理它。 我希望这是有意义的,除非有任何更简单的方法可以通过Spring Securit
-
Spring security密钥斗篷适配器承载配置
我有java REST应用程序,我希望通过keycloak保护。我做了一些测试,应用程序与keycloak servlet过滤器配合良好,但我在Spring Security适配器方面遇到了问题。 钥匙斗篷。json(删除值) 可见,我只需要承载授权,若请求包含有效令牌,那个么若不是http 401,那个么我希望是http 200。我使用了以下xml配置: 到底发生了什么?请求经过身份验证,但成功
-
使用Spring Security登录后无法将用户重定向到所需页面在这个web应用程序中,一切正常。浏览器无法缓存页面。登录 这个简单的流程图可以说明web应用程序控件的流程。 这些是Applcn中的基本6页。 登录信息。jsp: a、 jsp: b.jsp: c.jsp: 注册表Form.jsp: profile.jsp:也包含注销链接。 登录控制器。JAVA 当我请求loginForm时,会调用第一个方法。通过键入 http://localhost:8080
-
spring security 3.1-重定向到带有上下文url的登录页面
我使用的是spring security3。1具有名称空间配置。如果我在浏览器中输入URL直到上下文路径,而不是登录页面的完整URL,我想重定向到登录页面。 例如,取而代之的是 我可以用完整的URL 我尝试了以下代码: 我添加了一个条目,以便重定向到登录页面,但它似乎不起作用。