《security》专题
-
Spring security和带有Spring boot的自定义身份验证过滤器
现在我的是的一部分,位于正确的位置。平滑。 但是,由于是,它会被引导拾取并作为筛选器包含。所以我的过滤链看起来真的像: SSOAuthenticationFilter(由于是,因此包含) FilterChainProxy(spring自动配置) ... SecurityContextPersistenceFilter SSOAuthenticationFilter(包含在) ... 显然,我希望在
-
Spring Security域模型授权
Spring Security有一个主体和授权的基本思想。我已经实现了Spring Security,并阅读了这篇stackoverflow文章,从基本的层面上理解了“role”只不过是一个前缀为“role_”的GrantedAuthority。 我不明白的是,一开始为什么要有这个惯例?为什么与等同? 像这样隔离被授予的权力有什么特别之处?目的是什么? 另外,将这些“角色”应用于领域模型的特定实例
-
URL和方法的Spring Security设置
-
Spring Security授权
上面的API为用户提供了关于给定资源的所有信息。 目前,我使用进行身份验证。为了添加授权,我已经观察到我可以将授予的权限设置为身份验证对象的一部分。这样,我可以使用这样的东西来进行授权。 然而,对于所提到的API,由于以下原因,我不确定所提到的授权方法是否适合。 null 如果指定的方法不是解决问题的最佳方法,我将非常感谢任何关于最佳方法的输入/反馈。我想避免在控制器中进行此检查。我试图通过Spr
-
Spring Security hasRole()不工作
我在使用Spring Security&Thymeleaf时遇到了一个问题,特别是在尝试使用hasRole表达式时。admin“用户有一个角色”admin“,但在尝试时解析为false 我得HTML: 结果如下: 我已经在security.xml文件中启用了use-expressions 并且在我的配置中包含了SpringSecurityDiscuale 而具有一组 为什么不起作用? 我很感激你的
-
Spring Security中的hasRole()和hasAuthority()有什么区别[重复]
假设我有一个用户具有以下身份验证: 在安全检查中,我应该检查用户是否具有访问API的正确权限。我做了以下工作来实现它: 这里我用来检查用户是否有正确的权限,但是我发现还有一个方法叫但是我不知道这两个方法有什么区别?有没有人能给我解释一下区别,如果我想在这里使用,我该如何在这里使用它?我尝试用替换,但没有成功
-
Spring Security ACL自定义对主题的默认访问
使用spring ACL,我可以为Subject上的某些操作配置权限。我的应用程序很少需要自定义对主题的访问权限。因此,我不想为默认依赖项填充ACL,但如果ACL为空,则需要特殊说明。 例如,我们有
-
在Spring SecurityACL中使用AOP
我对Spring Security framework非常陌生,尤其是ACL。经过几个小时的阅读,我想我已经掌握了开始保护我的应用程序所需要做的大部分事情。 然而,有些事情让我感到困扰:虽然很容易找到关于如何读取ACL权限的用法描述(例如通过@preauthorize),但当您想要创建和持久化这些权限时,它开始变得混乱。 那我该怎么办呢?专业人士做得怎么样?我是否应该尝试在创建/删除ACL条目的自
-
如何使用Spring Security中的新PasswordEncoder
从Spring Security 3.1.4版本起,旧的已被弃用,而改为。由于我的应用程序还没有向公众发布,我决定转移到新的,而不是不推荐使用的API。 到目前为止,我有一个自动使用用户的注册日期作为每个用户的salt口令。 在登录过程中,Spring还使用my bean适当验证用户是否可以登录。我无法在新的密码编码器中实现这一点,因为SHA-1-的默认实现只能在编码器创建期间添加全局秘密盐。 有
-
spring framework security@Preauthorize注释在
我正在使用osgi和基于spring注释的配置。(使用virgo部署应用程序) @preauthorize方法impl上的注释不起作用。 尽管用户没有该角色,但它仍允许用户访问它。 如果我在接口上放置相同的注释,它会为所有用户抛出AccessDenied异常。例外情况: 这是我的配置: 我使用的是spring-security 3.0.4.Release
-
securityException:权限拒绝:getIntentSender()from PID=1484,UID=10151,(need UID=1000)
我在HTC DESIRE 626GPlus双SIM卡和Android 4.4.2上得到了这个错误
-
Spring Security@preauthorize或
最近我发现有一种使用Spring Security预授权方法的方法。但我不确定我是否可以实现我想要的注释。
-
Spring Security ACL-@预授权泛型和接口
在使用泛型的接口上使用Spring ACL和@preauthorize注释似乎不起作用。 例如;我有一个使用泛型的接口; 我正在使用Spring的最新GA版本(3.2.3)和Spring Security(3.1.4)
-
Spring Security性:在单个应用程序中使用2种不同的哈希方法
我有一个应用程序,它使用Spring Security来验证用户。用户和哈希/盐分密码存储在数据库中。没有什么特别的hele,有用户名/密码字段的用户表。该应用程序使用BCryptPasswordEncoder进行哈希函数。现在我需要将一些遗留用户数据迁移到应用程序中。遗留数据密码用其他散列函数进行散列,比如MD5。我可以将遗留数据插入到同一个用户表中,但随后我使用不同的哈希函数对密码进行哈希。
-
Spring Security性,会话超时后无需登录即可创建会话
我已经创建了一个默认的表单登录身份验证,下面是我的配置。 身份验证工作正常,但最近我在应用程序中添加了会话超时。我的应用程序每5秒轮询一次服务器,因此默认超时不起作用。我在谷歌上找到了下面的过滤器解决方案,并实现了它。 另外,2)我没有得到会话超时错误消息,因为它被重定向到这个页面,一次又一次地转到登录页面。我不能保存这个错误消息,直到用户再次登录。 有什么指示吗?