《security》专题
-
使用restapi和React的Spring Security性
我试图用RESTAPI实现Spring Security性,并作为前端进行响应,因为这是我的第一个完整堆栈开发项目,我对如何实现正确的身份验证机制一无所知。 我已经搜索了很多,找到了关于Spring Security with Basic Auth的文章,但我无法弄清楚如何将该身份验证转换为其他api,然后通过会话/cookie进行管理。即使我得到的任何github引用都很旧,或者它们还没有完全迁
-
没有JWT,Spring Security OAuth2无法工作
我正在尝试实现Spring Security和Angular JS教程中的OAuth2示例,但是在没有JWT的情况下,我遇到了一个问题。示例的代码可以在这里找到。 我对这个例子做了以下修改,试图让它在没有JWT的情况下工作。 /resource/src/main/resources/application。性质 注释了jwt keyValue的属性。 /ui/src/main/resources/
-
Spring会话Redis和Spring Security如何更新用户会话?
我正在使用Spring Boot、Spring Security性和spring会话(redis)构建spring REST web应用程序。我正在使用SpringCloud和zuul代理按照网关模式构建一个云应用程序。在这个模式中,我使用spring会话来管理redis中的HttpSession,并使用它来授权我的资源服务器上的请求。当执行更改会话权限的操作时,我希望更新该对象,以便用户不必注销
-
使用spring会话和spring云安全时,OAuth2Client上下文(spring-security-oauth2)未在Redis中持久化
提前非常感谢您阅读此问题。 我正在使用: 并且在单点登录(@EnableOAuth2Sso)中使用(通过)时,会对Redis数据存储中的的持久性产生疑问,反向代理()网关。 在我看来,jdkdynamicaoproxied是在未正确保存在Redis数据存储中。 在不使用的情况下调试创建显示(如预期的那样),bean将在每个客户端会话中实例化一次,并存储在中。除了在Spring的。 但是,一旦使用了
-
Spring SecurityOAuth2-验证后使会话无效
我们正在使用Spring安全OAuth2保护REST服务。应用程序可以调用、或终结点。令牌和rest api终结点是无状态的,不需要会话。 我们可以在用户经过身份验证后使会话无效吗?如果是,最好的方法是什么。我们希望用户在调用时始终登录。当前,每当会话存在时,对的调用都会跳过身份验证。
-
NET 4.5中的默认SecurityProtocol
与最多支持的服务器通信的默认安全协议是什么?默认情况下,是选择服务器端支持的安全性最高的协议,还是必须显式添加以下代码行: 除了代码更改之外,还有没有方法可以更改此默认值? 最后,仅支持吗?也就是说,我必须将客户端项目升级到4.5以支持。 我的动机是删除客户端对的支持,即使服务器支持它(我已经有一个powershell脚本在计算机注册表中禁用它),并支持服务器支持的最高TLS协议。 更新:查看中的
-
spring-security-oauth2-authorization-server:0.1.1获取令牌错误invalid_client
我正在使用spring授权服务器,但我无法获得令牌。这是我的代码和示例。pls帮我知道正确的要求 这是我的请求与基本auth客户端/秘密 curl--位置--请求后'http://localhost:9000/oauth2/token' --header“授权:基本y2xpzw50onnly3jlda==' --header”内容-类型:application/x-www-form-urlenco
-
Spring Security不接收PostMan客户端授权参数
我正在使用PostMan客户端测试我的Spring Security应用程序。当我更改密码和更新请求并激发请求时,我没有得到401错误。Spring security不调用UserDetailsService。只有当我将用户名更改为某个错误的用户名时,UserDetailsService才会被调用,并且我开始看到预期的结果。这可能是一个安全问题。我是不是漏掉了什么。
-
Spring Security 5.2密码流
我正在尝试使用Spring Security-5.2最新版本中的密码流对用户进行身份验证。 医生们似乎建议了如何做到这一点。 我执行请求,可以看到HTTP头中返回的访问令牌,但是没有填充SecurityContext,会话用户保持匿名。 有什么想法吗?
-
使用Hawtio进行基本身份验证的Spring Security 4.x JavaConfig
我正在尝试将Hawtio(1.4.64)连接到运行在Tomcat7的Spring应用程序中的Jolokia代理(1.3.3)。 在最近升级到Spring Security(4.0.3)之后,hawtio停止了正确的身份验证(使用基本auth),我们被踢回登录页面,类似于问题#1975。与这个问题不同的是,我们只使用Jolokia代理,而不是在应用程序中包含hawtio(我们没有使用Spring B
-
基于请求参数的Spring Security认证
我正在开发的应用程序已经具有Spring Security来处理基于表单的身份验证。现在,如果在某个请求参数中发现了令牌,则需要通过外部服务以编程方式登录用户。 换句话说,如果存在一个特定的请求参数,比如“token”,它需要用该令牌调用一个外部服务来验证它是否是一个有效的令牌。如果是,则用户将登录。 我不知道如何以及在哪里“触发”或“挂钩”Spring Security来检查这个参数并进行验证,
-
通过RESTendpoint进行Spring Security身份验证/授权
在我使用RESTful webservices的Spring Boot应用程序中,我将Spring Security与Spring Social和一起配置了。 现在我有两种身份验证/授权方式--通过用户名/密码和通过社交网络,比如Twitter。 为了通过Spring MVC REST控制器中自己的RESTfulendpoint实现身份验证/授权,我添加了以下方法: 但我不确定在成功调用endpo
-
Spring Security-用户在会话破坏时保持身份验证
我正在用Spring开发一个网站,我使用Spring Security进行身份验证。我有个无法解决的问题: 当会话被破坏(例如WebSecurityConfigurerAdapter中的更改)时,会显示第二个div导致内部服务器错误,因为session.User对象为NULL。 当用户会话被破坏时,如何使用户“未经身份验证”? 编辑:SecurityConfig 调用/注销时的Spring Sec
-
在Spring Security中实现自定义身份验证
关于我在Spring安全方面的问题,我想请求你的帮助。我有一个要求,其中我必须验证登录凭据的基础上的选项所选择的用户。选项1将通过第三方服务验证登录用户。选项2将是使用数据库身份验证级别的常规验证。我如何实现这一点?
-
Spring security Access-Control-Allow-Origin:*(CORS)关于无效JWT令牌的问题
我在Spring Boot应用程序中用Spring security配置了JWT安全性。我对…有意见 头部,也称为CORS。我将应用程序配置为每个服务器响应中都有header,但是一旦JWT令牌无效,服务器响应的403错误代码就没有Access-Control-Allog-Origin:*header。这将导致浏览器向控制台写入错误消息: 未能加载http://...请求的资源上没有“访问-控制-