spring-security相关内容
Spring doc说 “当你使用CSRF保护?我们的建议是对普通用户可以由浏览器处理的任何请求使用CSRF保护。您只创建非浏览器客户端使用的服务,您可能希望禁用CSRF保护。“ 如果我的服务将由“浏览器”和“非浏览器”客户端(如第三方外部服务)使用,那么Spring安全性是如何提供的是否为某些类型的客户端禁用csrf? 参考: http://docs.spring.io/spr
..
为了使基本安全功能正常工作,我将以下启动包添加到我的pom.xml org.springframework.boot spring-boot-starter-security 并将以下两个属性添加到application.p
..
我有一个应用程序的ReST API,其中所有控制器都在 / api / 下找到,这些都返回带有 @ControllerAdvice的JSON响应,它处理映射到JSON格式结果的所有异常。 从春季4.0开始,它的效果很好 @ControllerAdvice 现在支持在注释上匹配。我无法解决的是如何返回401的JSON结果 - 未经验证和400 - 错误请求响应。 而不是Spring只是将
..
我知道,有很多关于这个主题的文章,但我有一个问题,我找不到任何解决方案。 我有一个经典的spring security java config: @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired
..
Spring 3.0 MVC中是否有任何特性可以帮助在Web应用程序的身份验证/登录页面上检测暴力攻击? 解决方案 久经考验的做法是在认证失败时引入随机但相当大的延迟。 这样合法用户就可以立即登录,但攻击者每次尝试将花费500ms-1s,这使得整个暴力想法变得不切实际(将需要永远) 。 合法用户偶尔登录失败会导致他们只有一点点延迟而且会被忽视。 如果你需要在重复登录失败时
..
我的应用程序在 WebSecurityConfigurerAdapter $ b上有 @ EnableOAuth2Sso $ b 添加 @ EnableOAuth2Sso 后,应用程序会将我重定向到授权服务器,并允许在此授权服务器登录后进行访问。我也想提供API访问,所以我希望应用程序能够通过Authorization-Header传递一个accessstoken来访问我的资源 授权:b
..
我已经看到了关于这个问题的几个主题,但是它们似乎都没有直接回答这个问题。 背景,我安装了spring security,工作正常,并在应用程序的其他部分顺利运行。我的用户名是“开发人员”。 在Java 7,Glassfish 4,Spring 4上运行,并使用Angular + StompJS 我们在这里得到一些代码: package com.myapp.config;
..
我正在使用Spring Security在Grails应用程序中托管REST Web服务,即: @Secured([ 'IS_AUTHENTICATED_REMEMBERED']) def save = { println“Save Ride REST WebMethod名为” } 我是从Android应用程序调用它。 (调用不安全的服务工作正常。) 要调用
..
我们使用Spring Security OAuth2保护我们的REST服务(用于服务器到服务器的通信,无需用户参与)。但是,当一个人试图在浏览器中访问受保护资源时,它将显示: 在SecurityContext中找不到Authentication对象 unautho
..
我正在使用spring-security框架。当我更新权限时,它不会立即生效。我必须退出当前用户(意味着退出),然后重新访问(意味着登录)将更新用户的权限。 在spring security中更新用户权限后,是否可以立即启用权限? 解决方案 您可以在 中设置alwaysReauthenticate AbstractSecurityInterceptor 就像这样
..
我想在登录到使用Spring Security(3.0)的用户帐户Spring MVC Application(3.0)中存储的默认语言环境后更改语言环境。 我已经使用 LocaleChangeInterceptor ,以便(未登录,以及登录)用户可以更改其区域设置(默认来自accept标头)。但是客户真的想要特定于帐户的默认值。 所以我的问题是,登录后更改区域设置的最佳方法是什么,或
..
我目前正在研究Vaadin spring应用程序。我唯一能说的是,用户的身份验证/授权必须通过 jdbcTemplate 查询数据库来完成。如何解决这个问题?我正在使用Spring Boot 1.4.2.RELEASE。 描述: 一些bean的依赖关系应用程序上下文形成一个循环:$ b $b┌─────┐ |文件[repositories\JdbcAccountRepository.cla
..
我有一个方法,我想允许匿名和经过身份验证的访问。 我正在使用基于java的配置的Spring Security 3.2.4。 重写的配置方法(在我的自定义配置类中扩展WebSecurityConfigurerAdapter)具有以下http块: http .addFilterBefore(muiltpartFilter,ChannelProcessingFilter.cla
..
我正在尝试为不同的网址模式定义两种不同的安全配置,其中一种使用表单登录,另一种使用api的基本身份验证。 我正在寻找的解决方案类似于此处解释的解决方案 http://meera-subbarao.blogspot.co.uk/2010/11/spring-security-combining-basic-and.html 但我想使用java配置。 提前致谢。 这是我目前的配置:
..
我正在尝试实现细粒度访问控制,同时仍然利用Spring数据休息。 我正在努力保护 CrudRepository ,以便用户只能修改或插入属于他们的数据。我正在使用 @PreAuthorize / @PostAuthorize 和 @PreFilter / @PostFilter 将访问权限锁定到当前主体。 到目前为止,我的存储库看起来像这样。 public interface
..
在使用Spring进行基本认证时,我遇到了与HTTP响应标题“Access-Control-Allow-Origin”相关的问题。当我手动验证时,如下面的代码(我正在使用REST): @RequestMapping (value =“/ login”,method = RequestMethod.POST,consume =“application / json”) @ResponseS
..
我们使用的是spring security 3.0.5,Java 1.6和Tomcat 6.0.32。在我们的.xml配置文件中,我们有:
..
出于记录目的,我想创建一个记录器,自动将当前会话的ID添加到记录的行。 对于登录用户,这不是问题: ((WebAuthenticationDetails)SecurityContextHolder.getContext()。getAuthentication()。getDetails()) .getSessionId() 问题是,在用户登录之前 getAuthenti
..
我正在使用Spring Security 3.0对LDAP服务器进行身份验证,我无法确定是否设置了自己的会话超时时间。我相信默认值是30分钟,但我需要将其设置为长于 解决方案 您可以设置会话超时(例如60分钟)web.xml中的所有会话: 60
..
我正在尝试使用基本Web应用程序中的Java配置来配置Spring Security,以使用URL请求参数中提供的加密令牌对外部Web服务进行身份验证。 我希望(我认为)有一个安全过滤器拦截来自Login Portal的请求(它们都进入/验证),过滤器将使用AuthenticationProvider来处理身份验证过程的业务逻辑。 登录门户 - >重定向'\ authenticate'
..