spring-security- все статьи тега


Исключение с (пользовательским) заказом RestAuthenticationProcessingFilter

Я пытаюсь добавить проверку подлинности остальное маркер для моего приложения. Я создал простой фильтр, не делая ничего другого, чтобы напечатать сообщение: public class RestAuthenticationProcessingFilter extends GenericFilterBean { @Override public void doFilter(ServletRequest arg0, ServletResponse arg1, FilterChain arg2) throws IOException, ServletException { System.out.println(arg0); // EDIT 25/02/2014 arg2.doFilter(arg0,arg1); } } Я использую Spring ...

Spring Security перенаправляет на localhost на рабочем сервере

У меня есть приложение grails с установленным плагином spring-security-core. На местном уровне все работает нормально. Я развернулся на промежуточном сервере, и все работало нормально. Я развернулся на нашем производственном сервере, который является зеркалом нашего промежуточного сервера. Я прекрасно могу добраться до незащищенных страниц. Но когда Spring Security подключается и пытается сделать это перенаправление, оно перенаправляет на localhost вместо grails.надо установить до начала ис ...

Spring Security-переключение между поставщиками аутентификации во время выполнения (локальная база данных или удаленный LDAP)

Im в настоящее время работает с веб-приложением Spring MVC, и мы используем аутентификацию через локальную базу данных с impl класса AbstractUserDetailsAuthenticationprovider, предоставляемого spring security. Однако для дальнейшей защиты приложения мы решили разрешить пользователям аутентификацию через LDAP / AD server. Это не было бы обязательным требованием, и пользователи могут включить его в конфигурациях самого портала. Интересно, как бы он на самом деле пошел вокруг реализации этого. Н ...

Spring Boot OAuth 2-истекающий срок действия токенов обновления при смене пароля

Я создал API, используя Spring Boot/OAuth. В настоящее время установлено так, что маркеры доступа действительны в течение 30 дней, и их сроком на 5 лет. Было предложено, чтобы OAuth работал таким образом, чтобы один refresh_token можно было использовать снова и снова. То, что нам также нужно сделать, это реализовать какой-то способ истечения срока действия токенов обновления, когда пользователь меняет свой пароль, это то, с чем я борюсь, поскольку мы не используем хранилище токенов, поскольку мы ...

Как защитить REST API с помощью Spring Boot и Spring Security?

Я знаю, что защита REST API-это широко обсуждаемая тема, но я не могу создать небольшой прототип, который соответствует моим критериям (и мне нужно подтвердить, что эти критерии реалистичны). Существует так много вариантов, как обезопасить ресурсы и как работать с Spring security, мне нужно уточнить, реалистичны ли мои потребности. Мои требования Аутентификатор на основе токенов-пользователи будут предоставлять свои учетные данные и получать уникальный и ограниченный по времени токен доступ ...

Как отправить ClientId и ClientSecret в записи вместо заголовка с ClientCredentialsAccessTokenProvider

Мой пакет должен подключиться к веб-службе с помощью OAuth2 с помощью учетных данных клиента типа grant Вот код: ClientCredentialsResourceDetails resource = new ClientCredentialsResourceDetails(); resource.setAccessTokenUri(accessTokenUri); resource.setClientId(clientId); resource.setClientSecret(clientSecret); ClientCredentialsAccessTokenProvider provider = new ClientCredentialsAccessTokenProvider(); OAuth2AccessToken accessToken = provider.obtainAccessToken(r ...

При использовании Spring Security, каков правильный способ получить текущее имя пользователя (т. е. SecurityContext) информацию в бобе?

У меня есть веб-приложение Spring MVC, которое использует Spring Security. Я хочу знать имя пользователя, который в данный момент вошел в систему. Я использую фрагмент кода, приведенный ниже . Это общепринятый способ? мне не нравится иметь вызов статического метода внутри этого контроллера - это побеждает всю цель Spring, IMHO. Есть ли способ настроить приложение, чтобы вместо него был введен текущий SecurityContext или текущая аутентификация? @RequestMapping(method = RequestMethod.G ...

Испытание блока с безопасностью весны

моя компания оценивает Spring MVC, чтобы определить, следует ли использовать его в одном из наших следующих проектов. До сих пор мне нравится то, что я видел, и прямо сейчас я смотрю на модуль безопасности Spring, чтобы определить, можно ли его использовать. наши требования к безопасности довольно просты, пользователь просто должен ввести имя пользователя и пароль, чтобы иметь возможность получить доступ к определенной части сайта (например, чтобы получить информацию о своем счете); и есть нес ...

Как проверить "hasRole" в Java-коде с Spring Security?

Как проверить права пользователя или разрешения в коде Java ? Например - я хочу показать или скрыть кнопку для пользователя в зависимости от роли. Есть аннотации, такие как: @PreAuthorize("hasRole('ROLE_USER')") Как сделать это в коде Java? Что-то вроде : if(somethingHere.hasRole("ROLE_MANAGER")) { layout.addComponent(new Button("Edit users")); } ...

Как я могу использовать Spring Security без сессий?

Я создаю веб-приложение с Spring Security, которое будет жить на Amazon EC2 и использовать эластичные балансировщики нагрузки Amazon. К сожалению, ELB не поддерживает липкие сеансы, поэтому мне нужно убедиться, что мое приложение работает правильно без сеансов. до сих пор у меня есть настройка RememberMeServices для назначения токена через cookie, и это отлично работает, но я хочу, чтобы cookie истекал с сеансом браузера (например, когда браузер закрывается). Я должен представить, что я не пер ...

ЯАС для людей

Я имею трудное время понимание в систему jaas. Все это кажется более сложным, чем должно быть (особенно Sun tutorials). Мне нужен простой учебник или пример о том, как реализовать безопасность (аутентификация + авторизация) в java-приложении на основе Struts + Spring + Hibernate с пользовательским репозиторием пользователей. Может быть реализован с помощью ACEGI. ...

Как работает цепь фильтра безопасности весны

Я понимаю, что Spring security строится на цепочке фильтров, которые будут перехватывать запрос, обнаруживать (отсутствие) аутентификации, перенаправлять на точку входа аутентификации или передавать запрос в службу авторизации и в конечном итоге позволять запросу либо попадать в сервлет, либо бросать исключение безопасности (неавторизованное или несанкционированное). DelegatingFitlerProxy склеивает эти фильтры вместе. Для выполнения своих задач эти службы фильтрации доступа, такие как UserDetail ...

Как отключить заголовок ответа "X-Frame-Options" в Spring Security?

у меня есть CKeditor на моем jsp и всякий раз, когда я загружаю что-то, появляется следующая ошибка: Refused to display 'http://localhost:8080/xxx/xxx/upload-image?CKEditor=text&CKEditorFuncNum=1&langCode=ru' in a frame because it set 'X-Frame-Options' to 'DENY'. Я попытался удалить Spring Security, и все работает как шарм. Как я могу отключить это в файле spring security xml? Что я должен написать между <http> теги ...

Как вручную выйти из системы пользователя с spring security?

вероятно, ответ прост: как я могу вручную выйти из системы текущего пользователя в spring security? Достаточно ли позвонить: SecurityContextHolder.getContext().getAuthentication().setAuthenticated(false); ? ...

Как я могу иметь список всех пользователей, вошедших в систему (через spring security) мое веб-приложение

Я использую spring security в своем веб-приложении, и теперь я хочу иметь список всех пользователей, которые вошли в мою программу. Как я могу получить доступ к этому списку? Разве они уже не хранятся где-то в рамках spring? Как или SecurityContextRepository? ...

Обрабатывать исключения проверки подлинности spring security с помощью @ExceptionHandler

Я использую Spring MVC @ControllerAdvice и @ExceptionHandler для обработки всех исключений REST Api. Он отлично работает для исключений, создаваемых контроллерами web mvc, но он не работает для исключений, создаваемых пользовательскими фильтрами spring security, потому что они запускаются до вызова методов контроллера. у меня есть пользовательский фильтр безопасности spring, который выполняет аутентификацию на основе маркера: public class AegisAuthenticationFilter extends GenericFilterBean { ...