《security》专题
-
Spring Security全局预授权规则
我正在为网关后面的服务开发一种方法,以便于通信。 该计划使用oauth令牌中的作用域,该令牌将由运行在同一系统上的服务使用。 例如。如果oauth令牌具有作用域“acct”和“user”,bellow api方法将可用。如果ouath令牌的作用域为'admin',但缺少作用域'acct'和'user'中的一个或两个,则在不更改注释的情况下,我希望它也可用。 我希望这个'admin'范围被全球接受,
-
如何在spring security oauth2授权服务器中通过jwt令牌获取用户信息?
我通过spring security oauth2实现了oauth2授权服务器,并使用来存储访问令牌,然后我需要为当前访问令牌提供控制器,以便oauth2客户端获取用户信息, 如下: 但我不知道如何获取用户信息?
-
如何使用Spring Security OAuth2在Spring Boot中注册自定义的BasicAuthentiationFilter身份验证提供程序
我正在开发一个应用程序,它允许经过身份验证的用户创建OAuth2承载令牌,用于组织发布的API。其思想是允许用户自行生成/撤销此类令牌,类似于GitHub的个人API令牌。然后,用户可以使用发布的令牌获得对受保护资源的编程访问。在此配置中,OAuth“客户机”、“授权服务器”和“资源服务器”属于该组织。目前,所有这些服务都驻留在同一个进程中。 为此,我尝试支持资源所有者密码凭据授予类型。实施环境包
-
Spring Security 3.1 JPA-空指针异常
我是一个Spring新手,面临着Spring Security性的问题。 我正在尝试实现一个自定义UserDetailsService,用于用户检索,并在访问UserService对象时获得一个空指针异常。我正在自动连接这个对象。当在其他控制器和服务方法上完成时,autowirng可以正常工作,但是由于某些原因,它在这里不工作,因此当访问autowired对象(UserService)时,我会得到
-
在请求令牌或代码之前,是否应登录oauth2 spring security
我试图使用Spring安全(2.0.3.RELEASE)在sping-mvc应用程序中,具有授予类型的密码。 当执行以下请求以访问令牌时: 我得到一个: 在跟踪此异常时,我注意到它起源于AuthorizationEndpoint。java第137行代码检查用户是否经过身份验证: 我觉得这很奇怪,在尝试访问令牌之前,我应该首先登录并发布到/oauth/authorize资源吗?如果是,为什么?我已经
-
Spring Security OAuth2的Web和移动客户端
我正试图了解OAuth2和SpringSecurityOAuth,尤其是OAuth提供者服务。我正在尝试实现以下内容: OAuth提供商 资源服务器(应使用OAuth提供程序(1)保护的RESTful Web服务) Web客户端(使用Spring Security性保护的Web客户端应用程序,但应使用OAuth提供程序(1)对用户进行身份验证 本机移动客户端(Android和iOS)也应该使用OA
-
Spring Security OAUTH2获取带有用户名/密码的令牌
我的问题很“简单”。我不知道如何设置OAUTH2身份验证服务器以接受用户名/密码并返回令牌。 如果我使用: 卷曲:password@localhost:8081/oauth/token\?grant\u type=client\u credentials它返回令牌,但问题是它在DB中注册用户“curl”,所以。。。不太好。。。 如果我使用: http://www.example.com:8081/
-
Spring Security OAuth2和FormLogin在一个应用程序中
在我的Spring Boot应用程序中,我有RESTful API和用于管理的MVC web仪表板。 是否可以在一个应用程序中同时为RESTful API提供Spring Security OAuth2身份验证/授权(基于令牌的、无状态的)和为Spring MVC web仪表板提供FormLogin(有状态的)? 如何用Spring Boot正确配置它?
-
jersey 2.2和Spring Security 3的依赖关系?
因此,如果有人能给我提供一个工作示例,说明maven项目中的任何一种Spring-Sec3/Jersey2.2集成,我将不胜感激。 预付款感谢
-
spring Security:authorizer requests()。蚂蚁匹配器()。permitAll()不起作用
我正在我的应用程序中实现Spring Security,我想允许所有人使用,我尝试使用 我得到了, 这是我的配置课 这是我的yml配置: 有人可以在这里帮助我吗?
-
Oauth2资源服务器重叠Spring Security配置
我试图在java配置上配置Spring Security性和OAuth2。我使用的是Spring Security版本4.0.4。发布并发布OAuth2版本2.0.11。释放 Spring Security配置工作良好。此外,我可以使用OAuth2 AuthorizationServer获得访问令牌,但我的ResourceServer无法正常工作。当我设置注释@EnableResourceServ
-
如何在Spring Security中配置资源服务器,使其使用JWT令牌中的附加信息
我有一个配置为设置有关用户权限的其他信息的oAuth2 jwt令牌服务器。 我不知道如何配置我的资源服务器,以提取oauth2服务器设置的用户权限,并将该权限用于Spring Security framework中的@Secured annotated Controller。 我的Auth服务器配置如下: 我的资源服务器配置如下所示: 我的测试用例失败得很惨,它说: {“error”:“inval
-
升级到Spring Boot 2.6时,Spring Security和org.springdoc.ui.SwaggerConfig之间的循环引用
当我的应用程序从Spring Boot 2.5升级到2.6时,我得到了这个错误: 创建名为securityConfig的bean时出错:通过方法setContentNegetationStrategy参数0表示的不满足依赖关系; 嵌套异常是org.springframework.beans.factory.未满足依赖异常:创建名为org.springframework.boot.autoconfi
-
Keycloak spring security客户端凭据授予
我可以使用,其中一个keycloak客户机与另一个keycloak客户机通信。然而,只有当我登录到第一个keycloak客户机时,它才起作用,即它向keycloak服务器发送客户机ID、客户机机密、用户名和密码。如果我没有在第一个客户机上使用用户和密码进行身份验证,我会得到“无法设置授权头,因为没有身份验证原则”。但是我已经将keycloak配置为对第一个客户机使用服务帐户(客户机凭据授权),因此
-
获取后,Spring Security访问被拒绝403此url<code>http://localhost:8070/produits与Postman一起工作很好。它返回以下内容: 添加Spring Security性后,此url返回403访问被拒绝,即使用户名和密码正确。 安全配置.java 宁静的服务