《security》专题
-
仅使用Spring Security(或)Spring进行授权
我对授权和Spring Security有疑问。为了在我的一个服务中实现授权检查(在一个面向服务的架构环境下),我尝试看看是否可以使用Spring-Security。在浏览spring security文档时,我在这里读到Spring Security在内部使用Spring的AOP。 参考:您可以选择使用AsheJ或Spring AOP执行方法授权,也可以选择使用过滤器执行Web请求授权。您可以一
-
在Spring Security中每次请求都从数据库中重新加载
基本上,我们希望每一个请求都重新加载用户的权限,因为用户的权限可能会在不同的web请求之间发生变化。 例如,一个用户登录并随后被授予新的权限(并通过电子邮件通知他们拥有新的权限),我知道该用户实际获得新权限的唯一方法是注销,然后再次登录。如果可能的话,我会尽量避免。 欢迎任何友好的建议。
-
Spring Security无法捕捉ApplicationListener中的登录失败
我更改了监听器,以便它记录所有,如下所示: 但是,记录的唯一与安全相关的事件类型为。失败的登录不会触发任何事件。我会很感激你的指点,谢谢。
-
Spring Security过滤链中的混乱
使用filters=“none”通过在Spring Security的FilterChainProxy中创建一个空的筛选器链来操作,而访问属性用于在由名称空间配置创建的单个筛选器链中配置FilterSecurityInterceptor。这两者是独立应用的,因此,如果对具有filters=“none”属性的模式的子模式有访问限制,则访问限制将被忽略,即使它被首先列出。不可能将filters=“no
-
Spring Web Security中AuthenticationEntryPoint的目的是什么?
Spring Web Security中AuthenticationEntryPoint的目的是什么?文档没有提供太多细节。什么时候应该使用这个,它和Spring安全过滤链有什么关系吗。
-
我可以在Spring Security中有多个配置来保护web应用程序和Rest API吗?
我正在尝试在Spring中创建REST API和Web/MVC应用程序。它们应该使用相同的服务层。我是否可以在Spring中使用两种完全不同的配置(API的令牌身份验证,web的cookies,web的404页面,等等)?或者我应该做两个独立的Spring应用程序?
-
Spring Security OAuth2用户凭据不正确
嗨,我有一个用于OAuth2的spring配置xml文件。我对它进行了这样的配置,即需要参数和效果curl来请求令牌。它会发出以下请求: curl-x post-v http://localhost:8080/oauth/token-d“grant_type=password&client_id=test&client_secret=test&username=user1&password=pas
-
Spring Security Oauth2资源所有者密码流:当我发送REST请求时,我的用户详细信息服务总是获得客户端id而不是用户名
因此,我尝试向我的oauth服务器发送一个请求(没有头):grant_type=password&username=blah&password=blah&client_id=blahblah。 我有两个身份验证管理器(一个用于客户端,另一个用于用户验证)。问题是,我的任何身份验证管理器都没有传递用户名进行验证。在这两种情况下,都使用client_id调用它们。我想要的是一个验证客户端,另一个验证用
-
关于Spring security基于URL的安全性的说明[副本]
我有两个RESTendpoint: 我想只为提供登录,并直接访问。 当我在中使用以下模式时 我只在中得到登录提示,而在中没有得到,这是预期的。 但是当我使用下面的模式时,我得到了和的登录提示,这对我来说是非常意外的。 我已经知道我做错了什么,所以我想知道为什么我不能只登录和直接访问。 更新 @Nully这有一定的意义,但却打破了我对其他情况的理解。假设我使用这个模式: 只允许user=“java
-
Spring Security配置anyRequest().authenticated()不能按预期工作
我对spring Security配置的理解是,任何请求都必须经过身份验证,否则我的spring应用程序将返回401响应。 不幸的是,我的spring应用程序没有这样的行为,而是允许未经验证的请求通过。 这是我的Spring Security配置: 有什么想法吗?
-
Spring Security OAuth2 SSO未授权401错误
我对Spring Security(特别是OAuth2 SSO)还是个新手。 下面是我的pom.xml: 下面是启用了OAuth2SSO以及安全和rest控制器的主要类: 最后是视图:index.html: 我的主要挑战是,我可以用Facebook(在本例中是授权服务器)登录,但当我被重定向到localhost:8080/login时,我总是收到来自spring的401未授权错误,而不是像view
-
如何优雅地处理Spring Security中未由ControllerAdvice处理的异常?
我最近在我的Spring4/Hibernate Web应用程序中实现了Spring Security来处理登录/退出和不同的用户角色。 经过大量阅读,它现在似乎工作得很好,但我注意到,由于错误的Spring Security配置而引发的异常没有使用我的自定义处理程序进行优雅的处理,而是显示为一个丑陋的Tomcat错误页面(显示HTTP状态500-UserDetailsService是必需的,后跟一
-
如何在Spring security 3.1中处理不同的身份验证异常?
首先,我想说明一下,我已经检查了Stack Overflow中的其他问题,并根据答案实现了自己的方法:https://stackOverflow.com/A/14425801/2487263和https://stackOverflow.com/A/16101649/2487263 我正在尝试使用Spring security 3.1保护REST API的安全,在Spring 3.2,Spring
-
如何处理UsernameNotFoundException Spring Security性
如何处理? 在spring security中,当未找到用户名时,实现抛出。例如如下所示: 我想建立一个自定义的“用户未找到REST响应”。我应该如何捕获/处理此异常?我在WebSecurityConfigurerAdapter实现中实现了一个处理程序方法处理程序: 但是该方法应该等待异常,在运行时,该异常的类型是,因此我无法强制转换或检索初始的。 如有任何建议将不胜感激。很多很多问候:)。
-
Spring Boot Security OAuth2自定义异常消息
我在spring boot RESTfull项目中有一些特殊情况,而不是标准的自定义身份验证异常时的错误消息。我需要一个不同的消息取决于用户名或密码是错误的,或者如果用户名不存在,或者如果用户在数据库中被停用。目前我只能得到消息,我还没有找到任何解决方案,如何根据用户属性或特殊情况自定义消息。 我当前有如下自定义身份验证提供程序: 我有这样的定制用户详细信息服务: 在哪里可以处理来自的消息,并将其