spring-security相关内容

为Spring Boot 2.0仿真器框架配置安全性

我想在我的Spring Boot 2.0应用程序中使用Spring Actuator框架。框架本身按照预期工作,因此我能够到达例如我的/actuator/health终结点。在那里,我呈现了一个登录对话框。我想摆脱它,并尝试了以下方法: @Configuration @EnableWebFluxSecurity public class SecurityConfiguration { ..
发布时间:2022-04-06 14:47:16 Java开发

如何在WebClient中使用SPUNG-SECURITY-OAuth2定制OAuth2令牌请求的授权头部?

我正在尝试通过WebClient调用升级到Spring Security 5.5.1。 我发现OAuth2客户端ID和密钥现在是AbstractWebClientReactiveOAuth2AccessTokenResponseClient中的URL编码,但我的令牌提供程序不支持这一点(例如,如果密钥包含+字符,则仅当它作为+而不是%2B发送时才起作用)。 我知道这被视为bug fix from ..
发布时间:2022-04-06 14:29:40 其他开发

如何在Spring Webflow中实例化webClient时设置一次访问令牌?

我尝试在Spring WebFlux中使用带有OAuth2的WebClient。我从URL访问令牌中获取一个令牌,并将其设置到Web客户端。但我不喜欢在其他安全端点的每次调用中获取此访问令牌。意味着我只想在Web客户端实例化期间和访问令牌过期时第一次获取它。 以下是我使用的代码: @Configuration public class OauthEmployeConfig{ ..
发布时间:2022-04-06 14:10:25 其他开发

是否支持Spring Boot WebClient OAuth2 CLIENT_Credentials?

我正在尝试创建一个Spring Boot REST应用程序,该应用程序必须对另一个受OAuth2保护的Spring Boot应用程序进行远程REST调用(使用授予类型CLIENT_CREDICATIONS)。 第一个应用程序使用反应性WebClient调用第二个OAuth2 REST应用程序。 我已将WebClient配置为GRANT_TYPE“CLIENT_Credentials”( ..
发布时间:2022-04-06 13:29:32 其他开发

Spring WebFlux、安全和请求正文

我需要使用请求体的HMAC保护用Spring Boot、WebFlux和Spring安全实现的rest API。简单地说,在高级别上-请求附带具有请求正文的散列值的头部,因此我必须读取头部、读取正文、计算正文的散列值并与头部值进行比较。 我认为我应该实现ServerAuthenticationConverter,但到目前为止我找到的所有示例都只能查看请求头,而不是正文,我不确定我是否只能读取 ..
发布时间:2022-04-06 13:24:59 其他开发

Spring Security反应性WebFilterChainProxy仅调用单个筛选器链

我需要将安全性添加到基于Webflow的应用程序中,并且具有意味着我需要添加多个筛选器链的要求。然而,WebFilterChainProxy的当前实现使用Flux.filterWhen(...),如果我正确阅读文档,它将只返回链中的第一个匹配项。 鉴于上述情况,我有三个问题:- 我的反应知识非常有限,有人能确认我对filterWhen的理解是否正确吗? 如果是这样的话,有没有人能 ..
发布时间:2022-04-06 12:48:50 其他开发

Spring Security Webflow/反应性异常处理

我在Spring Webflow上构建应用程序,我被卡住了,因为Spring安全Webflow(v.M5)在异常处理方面的行为不像Spring4。 我看到了以下关于如何定制Spring安全Webflow的帖子: Spring webflux custom authentication for API 如果我们在ServerSecurityContextRepository.Load中抛 ..
发布时间:2022-04-06 12:39:07 其他开发

密钥罩角色映射

我有一个Spring Boot应用程序,它使用KeyCloak进行保护。领域中的每个用户都有我的资源(客户端)的角色。角色在用户选项卡上配置,角色映射选项卡下的特定用户配置为客户端角色: 我还使用与所有用户都来自的LDAP Active Directory集成。现在,如果我想为Active Directory(AD)组添加特定的角色,我必须转到Active Directory,获取特定组的所 ..
发布时间:2022-03-27 14:05:31 其他开发

带有Keyloak的Spring应用程序返回401错误

我正尝试通过Keyshaak访问一个Spring App,但我总是收到401未经授权的错误。基本上,我有一个单独运行良好的聊天模块,但一旦我添加Keyloak,我就无法访问应用程序,因为那个401错误。 我已经遵循了大约3个教程,它们显示了与我所做的类似的事情,但我仍然不知道我做错了什么。 这是我的应用程序的配置: keycloak: enabled: true re ..
发布时间:2022-03-27 13:54:40 Java开发

对于未经身份验证的请求,Keylock Sprringboot返回403,而不是401

启用策略执行器配置时,对于未经身份验证的请求,KeyClock返回403,而不是401。删除策略执行器配置时,它返回401。 使用此配置时,我收到403空响应。 keycloak: realm: ${KEYCLOAK_REALM} auth-server-url: ${KEYCLOAK_AUTH_SERVER_URL} ssl-required: external re ..
发布时间:2022-03-27 13:14:55 其他开发

Spring Boot密钥罩和基本身份验证在同一项目中一起使用

我有一个Spring Boot安全问题。我想要的是在Spring Boot中同时对同一项目进行两种不同的身份验证。一种是对除‘/download/export/*’之外的所有路径的SSO(密钥罩认证),另一种是Spring Boot基本认证。 以下是我的配置文件: @Configuration @EnableWebSecurityp public class MultiHttpSecur ..
发布时间:2022-03-27 11:31:40 其他开发