不同api端点的Spring多种身份验证方法
我想检查不同端点的不同身份验证方法.我想使用的方法是 x509 和 jwt.我需要 only x509 用于某些端点,并使用 JWT 处理所有其他请求. 这是我的网络安全配置: @Configuration@EnableWebSecurity@EnableGlobalMethodSecurity(prePostEnabled = true)公共类 SecurityConfig 扩展 Web
..
spring-security相关内容
如何在 spring-security 中取消保护/** URL 模式
我正在尝试取消/** 模式的安全性,但到目前为止我所有的尝试都是徒劳的. 这就是我正在做的: 我的配置不再包含任何 intercept-url 定义. 但是在访问任何 URL 后,我仍然被重定向到默认入口点... 我调试了 spring 安全源,我实际上可以看到正在为我尝试访问的 URL 加载的过滤器.(FilterChainProxy 行:154,filters 列表已满
..
如果我们想从 ActiveDirectory 获取用户详细信息,我们是否需要编写 CustomActiveDirectoryLdapAuthenticationProvider
如果我们需要从 ActiveDirectory 获取用户属性,如 name、sn 等,我们不能使用专用 LDAP 身份验证提供程序进行配置,该提供程序使用 Active Directory 配置约定,例如“springframework.security.ldap.authentication.ad.ActiveDirectoryLdapAuthenticationProvider" @Ove
..
Spring ActiveDirectoryLdapAuthenticationProvider handleBindException - 提供的密码无效错误
我们正在尝试使用 Spring security 对我们的企业 LDAP 进行身份验证.我正在使用 ActiveDirectoryLdapAuthenticationProvider.以下是 Spring 配置文件的片段:
..
Spring 安全性 - SecurityContext.authentication 在 taglib 和 jsp 中为 null,但在控制器中还可以
我一直在为这个问题苦苦挣扎一段时间.找到了几个关于它的帖子,但没有一个解决了我的问题.它可能与 SecurityContext 与特定线程相关的事实有关,但即使如此我也不知道如何解决它: 考虑使用以下代码来检索已登录的用户: SecurityContextHolder.getContext().getAuthentication().getPrincipal() 在控制器中运行此代码将返
..
如何在我的控制器中验证(@Valid)之前检查安全访问(@Secured 或 @PreAuthorize)?
这是我的控制器代码: @PreAuthorize("hasRole('CREATE_USER')")@RequestMapping(方法 = RequestMethod.POST,产生 = MediaType.APPLICATION_JSON_VALUE,消耗 = MediaType.APPLICATION_JSON_VALUE)@ResponseBodypublic UserReturnRO
..
用户登录时的 Spring Boot 安全自定义消息
我正在尝试将 spring 安全性集成到我的 spring 启动应用程序中.一切正常,但如果帐户已过期或帐户被锁定,我该如何显示消息?另外,我不想显示基于 parm 的错误消息,例如 http://localhost:8080/login?error 这是我当前的代码:login.html 无效的用户名或密码.
登录以继续
..
Spring 有更简单的异常处理技术吗?
我已经阅读了有关使用 @ExceptionHandler 的基于控制器的异常的信息. 我已阅读有关使用 @ControllerAdvice 进行全局异常处理的文章. 我还阅读了有关扩展 HandlerExceptionResolver 以进行更深入的异常处理的文章. 然而,我最理想的做法是能够在我的应用程序的任何层抛出一个全局异常,其中包含指示返回给客户端的 JSON 响应的参数
..
Spring Security 4 和 PrimeFaces 5 AJAX 请求处理
美好的一天. 我创建了一个 PrimeFaces 5 项目 (JSF 2.2),它使用 Spring Security 4.我试图使用启用单选的 p:dataTable 控件,它通过 ajax 调用更新 ap:pickList控制. 问题与Spring Security有关.如果我停用页面控件所在页面的安全性 (admin.faces),ajax 行为将正常工作.但是如果我激活安全性,
..
带有 JWT 的 Spring OAuth2 - 分离身份验证和资源服务器时无法将访问令牌转换为 JSON
我希望使用 Spring Boot 创建一个可以被多个资源服务器使用的 OAuth2 身份验证服务器.因此,我需要将两台服务器创建为独立的应用程序.我的主要参考资料是 这篇文章 和这篇堆栈溢出问题. 引用的文章将两种服务器类型结合到一个应用程序中.我很难将它们分开. 我可以使用以下方法检索令牌: curl testjwtclientid:XY7kmzoNzl100@localho
..
Spring OAuth2 禁用 TokenEndpoint 的 HTTP 基本身份验证
我从 Spring OAuth2 开始.到目前为止一切顺利,我已经通过配置保护了我的应用程序.但是我有一个问题,我的客户端不支持 HTTP 基本授权. 有没有办法为/oauth/token 端点禁用 HTTP 基本身份验证?我想在 JSON 正文或请求标头中发送 client_id 和 client_secret. 我想要使用的 curl 示例: curl -X POST -H "C
..
在 Spring Boot 中配置 0-legged OAuth 1.0
我想设置一个带有 0-legged(因此没有请求或访问令牌)OAuth 1.0 的 Spring Boot 应用程序.我已经研究了一段时间试图找到一个例子,但我主要是在如何使用新的样式(没有 xml)来配置东西. 现在我只想得到一个简单的用例,其中只有 1 个路径 (/oauth) 受 OAuth 保护(其他所有内容都是开放的)并且它使用自定义 ConsumerDetailsServic
..
Spring Oauth2 隐式流
致力于使用 Spring 实现 Oauth2.我想实现隐式工作流: 我的配置文件: @Configuration@EnableAutoConfiguration@RestController公共类应用{@自动连线私有数据源数据源;公共静态无效主(字符串 [] args){SpringApplication.run(App.class, args);}@RequestMapping("/")
..
Spring Boot + Spring OAuth Java 配置
我正在尝试在一个简单的 Spring Boot + Spring OAuth 应用程序上获得 OAuth 1(3 条腿),仅作为消费者. 我一直在尝试将 tonr 示例移植到 spring-security-oauth 存储库 (https://github.com/spring-projects/spring-security-oauth) 使用 Java 配置而不是 XML. 但是
..
OAuth2 - 检索令牌时 OPTIONS 请求上的状态 401
我们的堆栈使用 Backbone 作为客户端应用程序,使用 Spring Boot 作为 RESTful API. 我们正在尝试使用 OAuth2 进行基本身份验证,用户提供用户名和密码. 我们使用 Spring Security 进行身份验证,使用 jQuery $.ajax 方法进行请求.然而,在我们甚至可以使用我们的秘密进行 POST 标头授权之前,我们得到的响应是预检选项请求的
..
在 Spring Security 5 OAuth Client 和 Spring Boot 2.0 中,authorizationGrantType 不能为 null
我按照 Spring Security 5.0 官方参考文档和示例代码 oauth2login 在我的项目中设置 OAuth2/OIDC 身份验证,但它失败了,当我通过 mvn spring-boot:run 启动我的应用程序时出现以下异常. org.springframework.beans.factory.BeanCreationException:创建名为“clientRegistrat
..
了解 OAuth2 客户端凭据流
我正在尝试理解和实现我们新的 REST 服务器和我们现有的客户端应用程序之间的客户端凭据流.我已经设置了 spring-security OAuth2 就像 this.根据我目前的理解,我的服务器现在应该支持以下请求: $ curl -X -v -d 'client_id=the_client&client_secret=secret&grant_type=client_credentials'
..
Rest,Spring 拥有 OAuth2 服务器 + OAuth2 提供商,如 Facebook、Google、Yahoo
在 Spring Boot 应用程序中,我使用 Spring Security 和 Spring OAuth2 保护了我的 Spring MVC REST 端点.我有自己的授权\资源服务器,所以为了与我们的 API 通信,客户端(AngularJS)需要从我的 API 授权服务器获取 accessToken. 一切正常,但对于我的 API 的身份验证/授权,用户需要创建他的帐户并向我们提供他
..
OAuth 2.0 使用 Spring Security + WSO2 身份服务器
我正在开发一个 Web 应用程序来公开许多受 OAuth 2.0 保护的 RESTful 服务.这是计划的架构: 1- OAuth 授权提供商: WSO2 身份服务器 (IS) 2- OAuth 资源服务器:使用以下技术的 Java 网络应用程序: 泽西岛(实施和公开网络服务) Spring Security(实现 OAuth 资源服务器部分) 我看过几个例子(ex1,
..
自定义 SpringSecurity OAuth 2 错误输出(未授权)
我们使用 Spring Security OAuth2 保护我们的 REST 服务(用于服务器到服务器通信,不涉及用户).但是,当您尝试在浏览器中访问受保护的资源时,它会显示: 在 SecurityContext 中找不到身份验证对象未经授权 我们希望这是我们自己选择的自定义页面.有
..