《security》专题
-
Spring Security and @Async (Authenticated Users mixed up)
问题内容: 我使用@Async与Spring异步调用该方法。该方法调用其他以Spring Security Annotation @PreAuthorize注释的方法。为了使授权有效,我必须将 设置为,以便将身份验证信息传递到异步调用。到目前为止一切正常。 但是,当我注销并以其他用户身份登录时,在异步方法中存储了已注销的旧用户的身份验证信息。当然,这会导致意外的异常。同步调用没有这种问题。 我已经
-
How Spring Security Filter Chain works
问题内容: 我意识到Spring安全性是建立在过滤器链上的,该过滤器将拦截请求,检测(不存在)身份验证,重定向到身份验证入口点或将请求传递给授权服务,并最终让请求到达servlet或引发安全异常(未经身份验证或未经授权)。DelegatingFitlerProxy将这些过滤器粘合在一起。为了执行任务,这些过滤器访问服务,例如UserDetailsService和AuthenticationMa
-
如何使用Spring Security手动注销用户?
问题内容: 答案可能很简单:如何在Spring Security中手动注销当前登录的用户: ? 问题答案: 在Servlet 3.0容器中,Spring注销功能与Servlet集成在一起,你只需在上调用。仍然需要编写有效的响应内容。 根据文档(Spring 3.2): HttpServletRequest.logout()方法可用于注销当前用户。 通常,这意味着将清除SecurityContext
-
spring web,security+web.xml+mvc dispatcher+Bean创建了两次 报错 拼音 双语对照
问题内容: 我有如下的Web.xml: [编辑] 添加spring security后,我得到了错误! 然后我加了 那么似乎工作正常,但是然后1)问题是bean被创建了两次! 如果我只删除它: 但离开该 Web应用程序则根本无法运行 [额外] 完整的Web.xml如下: 这是我的mvc-dispatcher-servlet.xml 问题答案: 在Servlet容器生命周期内,容器首先初始化,然后初
-
使用AuthenticationFailureHandler在Spring Security中自定义身份验证失败响应
问题内容: 当前,每当用户认证失败时,spring security都会响应: 我想使用以下响应代码来增强此响应: 经过一番摸索之后,看来我需要执行的是实现AuthenticationFailureHandler,我已经开始这样做。但是,无论何时提交无效的登录凭据,似乎都无法访问onAuthenticationFailure方法。我已逐步完成代码,并将日志记录在onAuthenticationFa
-
没有会话时如何使用Spring Security?
问题内容: 我正在使用Spring Security构建一个Web应用程序,该应用程序将驻留在Amazon EC2上并使用Amazon的Elastic Load Balancer。不幸的是,ELB不支持粘性会话,因此我需要确保我的应用程序无需会话即可正常运行。 到目前为止,我已经设置了RememberMeServices来通过cookie分配令牌,并且可以正常工作,但是我希望cookie在浏览器会
-
Spring Security在安全注释配置中排除URL模式
问题内容: 我有使用java config方法配置的具有Spring安全性的Spring Web应用程序。我想从身份验证中排除某些URL模式(例如:静态资源等)。我之前用spring security xml config完成了此操作,但是用java config无法弄清,因为添加antmatchers并没有帮助。 以下是我在扩展WebSecurityConfigurerAdapter的安全性配置
-
如何设置Spring Security SecurityContextHolder策略?
问题内容: 我在服务中使用了异步方法(Spring 3 @Async注释)。而且我有一个问题-产生的线程没有安全上下文。原因是Spring Security默认为其上下文持有者使用策略。但是我需要使用策略。目前,我在中设置了策略。但是我认为这不是一个好习惯。 那么如何在上下文配置文件中进行设置? Spring Security的版本是3.0.0。 问题答案: 你可以将环境变量设置为。你还可以使用一
-
Spring Security在所有角色名称中添加了前缀“ ROLE_”?
问题内容: 我的Web安全配置中包含以下代码: 因此,我在数据库中添加了一个具有“ ADMIN”角色的用户,并且尝试与此用户登录时总是收到403错误,然后为spring启用了日志功能,并发现以下行: 为什么Spring Security在寻找“ ROLE_ADMIN”而不是“ ADMIN”? 问题答案: 在Spring 4中,有两个方法,并且在类中定义。这两种方法仅检查你的自定义角色名称,而不添加
-
使用Spring Security Java配置时禁用基本身份验证
问题内容: 我正在尝试使用Spring Security Java配置保护Web应用程序的安全。 这是配置的样子: 请注意,我已使用以下命令明确禁用了HTTP基本身份验证: 访问安全的URL时,我仍然收到HTTP Authenticaton提示框。为什么? 请帮我解决这个问题。我只想呈现捆绑的默认登录表单。 Spring Boot Starter版本:1.1.5 Spring安全版本:3.2.5
-
如何使用JavaConfig从Spring Security中删除ROLE_前缀?
问题内容: 我正在尝试在Spring Security中删除“ ROLE_”前缀。我尝试的第一件事是: 那没有用,所以我尝试按照http://docs.spring.io/spring-security/site/migrate/current/3-to-4/html5/migrate-3-to-4-的建议创建一个jc.html#m3to4-role-prefixing-disable。那也不起作
-
如何在Spring Security @ PreAuthorize / @ PostAuthorize批注中使用自定义表达式
问题内容: 有没有办法在@Preauthorize块中创建更具表现力的语句?这是我重复的例子,因为@Preauthorize并非开箱即用。 我想要的是类似的东西。 问题的一部分是,我需要查询数据库以获取其中一些内容以验证权限,例如查询数据库以获取游戏副本,然后将游戏所有者与制作人进行比较请求。我不太确定所有这些如何在@Preauthorize注释处理器的上下文中运行,还是不确定如何将东西添加到@P
-
如何使用Spring Security的新PasswordEncoder
问题内容: 因为Spring Security 3.1.4.RELEASE的,旧的 已被废弃的青睐。由于我的应用程序尚未公开发布,因此我决定使用新的,不建议使用的API。 到目前为止,我有一个自动使用用户的注册日期作为按用户盐注册的密码。 在登录过程中,Spring还使用了我的bean来验证用户是否可以登录。我无法在新的密码编码器中实现此操作,因为SHA-1的默认实现- 仅具有添加全局密码的能力。
-
Spring Security自定义过滤器(更改密码)
问题内容: 我正在使用Spring Security来保护对网站的HTTP请求。主要用途是保护页面安全,以便在尝试访问这些页面时将用户重定向到登录页面。 但是,我还有一个要求。在我的模型中,我可以将用户密码标记为临时密码,这样,当用户成功登录时,应自动强制他们更改密码。更改密码后,应将其转发到最初尝试访问的页面。 有人为此目的使用过Spring Security吗?我需要创建自己的自定义过滤器吗?
-
根据Spring Security 3.1中的角色确定目标URL
问题内容: 在Spring Security 3.0中,我们拥有使用方法的类,该方法根据不同的角色返回url。 现在,我们将转向Spring Security 3.1.0.RC3,由于从新版本中删除了类,因此我现在应该如何根据不同的角色确定url 。任何人都可以通过一些代码简要地介绍我的步骤,以便我可以实现自定义过滤器以重定向到不同角色的不同页面。 问题答案: 根据角色确定目标URL的最佳方法是在