使用登录过滤器而不是控制器时处理 OPTIONS 和 CORS
我有一个 AbstractAuthenticationProcessingFilter 用于处理路径 /sign-in 处的 POST 请求.CORS 预检请求返回 404,因为没有匹配的路径.这对我来说很有意义. 我想知道的是,是否有办法通知 Spring 有一个过滤器处理 POST(而不是控制器),以便 Spring 可以像控制器一样分派 OPTIONS处理 POST.用一个 PostM
..
spring-security相关内容
JWT 签名与本地计算的签名不匹配.JWT 有效性不能被断言,也不应该被信任
我正在构建一个服务器端 REST 服务应用程序.JWT 身份验证令牌有问题.登录后我可以轻松获取令牌(这里我使用Postman). 但是当我尝试使用相同的令牌验证访问受保护 REST 控制器的请求时,我收到以下错误: io.jsonwebtoken.SignatureException:JWT 签名与本地计算的签名不匹配.JWT 有效性不能被断言,也不应该被信任.在 io.jsonwebt
..
Springboot通过Controller从Authentication获取用户名
问题:我想仅从 authenticate.getName()... 获取/提取用户名/电子邮件,如果可能,而不是使用解析字符串. authentication.getName() 或 principal.getName() 值: [用户名]:org.springframework.security.core.userdetails.User@21463e7a:用户名:butitoy@iyo
..
微服务到微服务调用,来自队列消息的授权
上下文:我正在创建一个云平台,以支持使用 SSO 的多个应用程序.我通过 Keycloak Spring Security Adapter 使用 Keycloak 进行身份验证 和 Netflix Zuul 进行授权(API 网关). 每个微服务都需要一个 Authorization 标头,其中包含一个有效的 JWT,它将使用用户名(子)来处理请求.每个微服务到微服务的调用都应该首先通过 N
..
如何在 Spring Security 中配置资源服务器以使用 JWT 令牌中的附加信息
我有一个配置为设置有关用户权限的附加信息的 oauth2 jwt 令牌服务器. @Configuration@零件公共类 CustomTokenEnhancer 扩展 JwtAccessTokenConverter {CustomTokenEnhancer(){极好的();}@覆盖公共 OAuth2AccessToken 增强(OAuth2AccessToken accessToken,OAut
..
Spring Framework - 在哪里解析 JWT 以获取自定义声明?
我创建了一个 Spring JWT 授权应用程序.JWT 包含一些自定义声明.在资源服务器端,我想知道我应该在哪里解析 JWT 令牌来收集和检查这些声明?我应该在控制器还是在某些过滤器中执行此操作?最佳做法是什么?也许你有一些例子? 解决方案 您可以使用 Jackson Object Mapper 和 Spring Security 类的组合,即 Jwt、JwtHelper 和 Authe
..
JSON Web 令牌过期
在大部分 JWT (JSON Web Token) 教程中(例如:this 和 this) 说,一旦验证你可以使用传入令牌来获取客户端信息而不从数据库验证它. 我的问题是,无效用户的情况如何维持?我的意思是,假设客户刚刚获得了一个一周后到期的 JWT 令牌.但是出于非常具体的原因,假设我们决定使用户无效,并且不希望用户访问我们的 API.但是该用户仍然拥有有效的令牌,并且用户可以访问 API
..
使用 Spring Security 从 JWT 令牌中提取当前登录的用户信息
我已经使用 Spring Security Oauth2 实现了 JWT 和 LDAP 身份验证.它似乎工作正常,我可以使用我的 LDAP 凭据登录. 现在,我需要使用当前登录的用户信息将详细信息保存在数据库中 - 特别是当该用户添加/更新新记录时.我尝试使用 Spring 安全方式使用 SecurityContextHolder.getContext().getAuthenticatio
..
混合身份验证 - 基于 Spring MVC 会话 + 基于 JWT 令牌
我有一种情况,我正在使用 Spring MVC(jsp、控制器、服务、dao)和基于会话的身份验证.但是现在我将几个 url 用作 RESTful Web 服务来进行集成. 仅对于那些请求,我需要使用基于令牌(例如 JWT)的身份验证. 那么,有没有可能我可以在同一个项目中使用这两种类型的身份验证. 解决方案 有没有可能我可以在同一个项目中使用这两种类型的身份验证.
..
JWT 与 Spring OAuth2
我创建了发布 JWT-s 的 Spring 授权服务器和一个检查 JWT、它的声明和授权服务器上的权限的资源服务器.为此,我遵循了这篇文章. 我的问题是为什么我需要在获取令牌请求中发送带有 HTTP 基本授权和 Base64 编码的用户名/密码 (ClientId:ClientSecret) 的 Authorization 标头?我见过只需要用户名和密码的 JWT 实现. 解决方案
..
从 Spring Boot Rest Controller 访问 JWT 令牌
我正在使用 Spring Boot 实现 REST API,并使用 JWT 和 Oauth 2 保护它. 我对身份验证和生成访问令牌没有任何问题. 当用户发出请求时,我想从控制器访问其 JWT 令牌. @RequestMapping(value = "/users", method = RequestMethod.GET)公共列表getUsers(OAuth2Aut
..
带有 JWT 自定义 UserDetails 的 Spring OAuth - 在 JwtAccessTokenConverter 中设置主体
一些附加信息是从 OAuth 授权服务器发送的,这些信息需要在资源服务器上的自定义 UserDetails 类中,最好在 SpringSecurity Principal 中. 当前的方法是将用户名设置为 Principal 并添加附加信息作为 Authentication 对象的附加详细信息,如下所示. 公共类 CustomAccessTokenConverter 扩展 JwtAcces
..
Spring Security MultiHttpSecurity 配置使我可以执行两种类型的身份验证.JWT 令牌和会话 Cookie
我的应用程序已经有了 Spring Security Cookie 机制,现在只针对 API,我需要添加基于 JWT Token 的身份验证机制.我正在使用 Spring Security 的 MultiHttpSecurityConfiguration 和两个嵌套类. 会话和 JWT 令牌机制是否应该一起包含在一个应用程序中是完全不同的问题,我需要实现两件事. Spring Secu
..
Spring Boot 如何使用 jwt 管理用户角色
我正在用 spring boot 编写一个 RESTful api.我正在使用 spring boot、jersey、mongo db、swagger、spring boot security 和 jwt. 我已经编写了模型、数据库请求的存储库.现在我已经集成了 Security 和 jwt 令牌. 现在我需要离散化用户的角色,因为用户无法调用需要管理员权限的路由. 我有一个登录
..
Spring Security with Spring Boot:将基本身份验证与 JWT 令牌身份验证混合使用
我正在尝试让 Spring Security 的基本身份验证与 JWT 令牌身份验证并行工作,但没有成功.我已经为我的 Web 控制台和 JWT 实现了基本身份验证,以保护许多 API 端点.这是我的配置: @EnableGlobalMethodSecurity(prePostEnabled = true)公共类 MultiHttpSecurityConfig {@自动连线私人用户详细信息服务用
..
在 Spring Security UsernamePasswordAuthenticationFilter JWT 身份验证中设置自定义登录 url
我正在关注 此 auth0 的教程 以确保我的应用程序使用 JWT. 我最终得到了以下 WebSecurity 配置: @EnableWebSecurity@AllArgsConstructor(onConstructor = @__(@Autowired))公共类 WebSecurity 扩展 WebSecurityConfigurerAdapter {私人最终用户详细信息服务用户详细信
..
访问资源服务器控制器内的 Spring OAuth 2 JWT 有效负载?
我正在通过 本教程了解如何设置 Spring Boot oauth与 jwt.它涵盖了使用 Angular 解码 JWT 令牌,但我们如何解码它并访问资源服务器控制器内的自定义声明? 例如,使用 JJWT 可以这样做(基于这篇文章): String subject = "HACKER";尝试 {Jws jwtClaims =Jwts.parser().setSigningKey(key)
..
Spring Security:用于 API 的 JWT 令牌和用于 Web 的会话
我的目标是在我的 Spring Boot 应用程序中同时使用这两种安全性.我已经用 JWT 做了 API 端,但是不知道如何实现 WEB 端的会话.我已经在另一个项目中这样做了,但我不知道如何让它们一起工作. 这是我的SecurityConfig: @Override受保护的无效配置(HttpSecurity http)抛出异常{http.csrf().ignoringAntMatcher
..
尽管 authorizeRequests().anyRequest().permitAll() spring-security 返回 401
我正在使用 spring-security 和 spring-security-oauth2(JWT 访问令牌)进行身份验证和授权.这个想法是让所有请求通过,但能够区分经过身份验证的用户和未经身份验证的用户.一旦我启用 @EnableResourceServer 我配置的 HttpSecurity 似乎被忽略.并且请求返回 401: {“错误":“未经授权","error_description
..
多个WebSecurityConfigurerAdapters:spring security中的JWT认证和表单登录
我有带有 thymeleaf 的 spring boot 应用程序.我正在使用 spring security formLogin 方法来保证安全,现在我只需要为一些 API 添加 JWT. @EnableWebSecurity公共类 SecurityConfigurations {@自动连线UserDetailsServiceImpl userDetails;@豆角,扁豆DaoAuthen
..