《security》专题
-
Spring Security性-用户角色或用户身份验证
我在学Spring保安。 在浏览了一些教程之后,我发现其中一些使用了UserRole,而一些使用了一个实现身份验证的UserAuthentication类。我尝试实现的一个(并起作用)是创建一个自定义的MyUserDetailsService,它实现UserDetailsService,并授予权限(角色?)像这样: 我想知道用户角色和GrantedAuthorities之间有什么区别(例如,当使用
-
通过facebook登录后设置spring security remember me cookie
我正在构建一个移动网络应用程序,它可以通过Facebook/Twitter登录。我想让应用程序通过Spring Security的remember me功能记住登录,这样用户就需要经常登录。 我有部分将调用facebook并获得access_token来识别用户。我可以使用 当它登录用户时,它不会设置remember me cookie。我错过了什么? 谢谢!
-
Spring Security ACL继承
我使用过Spring Security基于角色的安全性,但对Spring Security ACL还是个新手。我需要使用Spring security在对象层次结构上实现ACL。就像我有一个公司有不同的分支机构,每个分支机构有多个部门,这些部门可以有多个部门。 我的应用程序栈是Spring4、Spring Security4、Hibernate5和带有Primefaces 5.3的JSF2。 我无
-
spring security acl管理权限
我试图用spring security ACL强制执行一个新的应用程序,经过一些阅读后,我对每个ACE的权限都有问题。我希望,如果主体对域对象实例具有管理权限(16),则能够访问具有以下注释的方法: 但是 它似乎起作用了。 所以,我的问题是:这些权限不是分层的吗? 我的意思是,为什么我必须对一个具有读取权限的方法显式指定admin权限?admin不是比read“大”吗? 我在想,如果我授予用户ad
-
Spring Security 4 ACL为用户和角色分配权限
我不是Spring4的新手,但我是SpringSecurity4ACL的新手。我刚刚在我的MVC Web应用程序上实现了Spring Security4,这些应用程序都是后端Web服务。这里贴出了我所做的事情的链接: 这为我的URL增加了安全性,只有具有特定角色的用户才能请求URL。这太棒了!我们以SiteMinder为例,不是传回一个用户名,而是在请求头中传回一个令牌。我们调用OpenAM,传入
-
如何使用没有密码编码的Spring security?
我正在学习Spring安全。我使用在将用户密码持久化到数据库之前对其进行编码 代码: 然后在身份验证期间也使用它,用户得到了预期的身份验证。 然后,从方法中删除了,使用已编码密码的用户仍然能够成功地获得身份验证。 然后,我从和方法中删除了password encoder,并将持久化到数据库中(即没有密码编码),并尝试访问经过身份验证的页面,但我得到了, 但具有编码密码的用户仍然得到了身份验证,即使
-
如何在Spring Security中添加自定义密码编码器?
我正在尝试将web项目转换为Spring。我已经加入了Spring Security,但是旧的项目使用SHA-1转换成十六进制字符串来加密用户密码。
-
在spring security中仅使用用户名登录
我有一个使用spring security的spring web应用程序,我知道正常情况是要求用户提供他们的用户名和密码来登录,但我希望用户只提供他们的用户名,没有密码来登录。我想知道spring security是否有一个规范可以流畅地完成这一操作,还是必须通过在html表单中指定一个密码字段并用密码值填充该字段,然后将该字段设置为隐藏字段来进行操作。以便当用户输入用户名并单击submit时,系
-
加密密码的Spring Security问题
我对Spring和SpringSecurity很陌生。我的数据库中有一个表,其中存储了用户及其密码。(Postgresql数据库)。每次当我在我的表中插入一个新记录时,我都有一个触发器,它使用md5算法加密密码。在我的应用程序中,我使用了Spring,我也尝试使用SpringSecurity3.2模块。我提供了自己的服务。问题是我不知道该怎么做才能在这种情况下使身份验证成功。我认为spring由于
-
基于数据库的Spring Security认证与授权
我的web应用程序正在使用spring security进行基于数据库的身份验证和授权。我的配置如下:这是我的web.xml文件,我引入了applicationcontext.xml和applicationcontext-security.xml: 这是我的ApplicationContextSecurity.xml:
-
如何利用Spring security实现rest登录
} 如果我向登录进程“/user/login”发送请求,System.out.println的值(“a.isauthenticated:”+a.isauthenticated());是“true” 然后我又回到了AccessToken, 并且我为令牌身份验证设置了一个过滤器类和HttpSessionStrategy bean ,
-
Spring Security性-ACL。用户不接收权限
好像没事。授权正在工作,用户获得角色。我保护了使用注释的方法(例如@preauthorize(“haspermission(#post,'read')”)),它可以工作,但我的访问被拒绝。我创建了一个数据库,他在其中描述了用户对对象的权限。我创建了一个数据库,其中包含用户对对象的权限。 我的问题是,在用户授权之后,它没有获得权限,而且即使用户有权反对,他也会被拒绝访问。另外,我注意到用户登录后,在
-
Spring Security@安全注释和用户权限
这是关于V.4(MVC+安全性)的。我实现了,其中在方法中向用户授予其权限。让我们简单地说: 还有一个安全控制器,其中有一个带有注释的带注释的方法: 正如您在方法中看到的,我显式地将角色授予了用户。但是,当我尝试访问时,我得到一个异常: 2016-04-19 10:25:16,899 DEBUG(http-nio-8080-exec-9)[org.springframework.security.
-
Spring Security permitAll()不允许匿名访问
我有一个方法,我想允许匿名和身份验证访问。 我正在使用Spring Security3.2.4和基于java的配置。 在调试级别进行日志记录时,我看到了Spring Security的以下反馈: 我试图实现的是有一个可以在任何时候调用的方法,它将发送一个答复,指示请求是否在登录的会话中。
-
spring quartz作业-访问spring-security安全bean方法
在这些工作中,我想从另一个应用程序访问spring-security安全bean方法。 这是我的应用程序结构。 -core -webapp -jobs-app 但是,所有的工作我都得这么做。 有没有一种方法可以让所有的作业作为一个特定的用户运行?可能是什么配置?