Вопросы с тегом «spring-security»

Spring Security - это решение безопасности приложений Spring Framework. Безопасность Spring можно использовать для защиты URL-адресов и вызовов методов. Он широко используется для защиты автономных веб-приложений, портлетов и все чаще приложений REST.

17
При использовании Spring Security, как правильно получить информацию о текущем имени пользователя (т.е. SecurityContext) в бине?
У меня есть веб-приложение Spring MVC, которое использует Spring Security. Я хочу знать имя пользователя, вошедшего в систему. Я использую фрагмент кода, приведенный ниже. Это принятый способ? Мне не нравится иметь вызов статического метода внутри этого контроллера - это противоречит всей цели Spring, ИМХО. Есть ли способ настроить приложение, чтобы …
4
RESTful-аутентификация через Spring
Проблема: у нас есть RESTful API на основе Spring MVC, который содержит конфиденциальную информацию. API должен быть защищен, однако отправка учетных данных пользователя (user / pass combo) с каждым запросом нежелательна. В соответствии с рекомендациями REST (и внутренними бизнес-требованиями) сервер должен оставаться без состояния. API будет использоваться другим сервером в …
4
Разница между ролью и предоставленным полномочием в Spring Security
В Spring Security есть концепции и реализации, такие как GrantedAuthorityинтерфейс для получения полномочий на авторизацию / контроль доступа. Я хотел бы, чтобы допустимые операции, такие как createSubUsers или deleteAccounts , которые я позволил бы администратору (с ролью ROLE_ADMIN). Я запутался как учебники / демонстрации, которые я вижу онлайн. Я пытаюсь …
1
Spring Security на Wildfly: ошибка при выполнении цепочки фильтров
Я пытаюсь интегрировать расширение Spring Security SAML с Spring Boot . По этому поводу я разработал полный пример приложения. Его исходный код доступен на GitHub: spring-boot-saml-интеграция на GitHub Запустив его как приложение Spring Boot (работающее со встроенным сервером приложений SDK), WebApp работает нормально. К сожалению, тот же процесс AuthN совсем …
15
Spring 3.0 - Невозможно найти Spring NamespaceHandler для пространства имен схемы XML [http://www.springframework.org/schema/security]
Есть идеи, что может быть причиной этого? Невозможно найти Spring NamespaceHandler для пространства имен схемы XML [ http://www.springframework.org/schema/security] org.springframework.web.context.ContextLoader initWebApplicationContext: Context initialization failed org.springframework.beans.factory.parsing.BeanDefinitionParsingException: Configuration problem: Unable to locate Spring NamespaceHandler for XML schema namespace [http://www.springframework.org/schema/security] Offending resource: ServletContext resource [/WEB-INF/applicationContext.xml] Это мое приложениеContext.xml: <?xml version="1.0" encoding="UTF-8"?> <beans:beans xmlns="http://www.springframework.org/schema/security" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" …
7
В чем смысл и разница между субъектом, пользователем и принципалом?
В контексте структур безопасности обычно встречаются несколько терминов субъект , пользователь и принципал , из которых я не смог найти четкого определения и разницы между ними. Итак, что именно означают эти термины, и почему необходимы эти различия субъекта и принципала ?
8
Как получить UserDetails активного пользователя
В моих контроллерах, когда мне нужен активный (вошедший в систему) пользователь, я делаю следующее, чтобы получить свою UserDetailsреализацию: User activeUser = (User)SecurityContextHolder.getContext().getAuthentication().getPrincipal(); log.debug(activeUser.getSomeCustomField()); Это прекрасно работает, но я думаю, что Spring может облегчить жизнь в таком случае, как этот. Есть ли способ UserDetailsвключить автопроводку в контроллер или в метод? Например, …
5
В чем разница между @Secured и @PreAuthorize в весенней безопасности 3?
Для меня не ясно, в чем разница в весенней безопасности между: @PreAuthorize("hasRole('ROLE_USER')") public void create(Contact contact) И @Secured("ROLE_USER") public void create(Contact contact) Я понимаю, что PreAuthorize может работать с Spring El, но в моем примере есть реальная разница?
11
Модульное тестирование с помощью Spring Security
Моя компания изучает Spring MVC, чтобы определить, следует ли использовать его в одном из наших следующих проектов. Пока мне нравится то, что я видел, и прямо сейчас я смотрю на модуль Spring Security, чтобы определить, можем ли мы / должны ли это использовать. Наши требования безопасности довольно простые; пользователю просто …
3
Как работает Spring Security Filter Chain
Я понимаю, что безопасность Spring основывается на цепочке фильтров, которые будут перехватывать запрос, обнаруживать (отсутствовать) аутентификацию, перенаправлять на точку входа аутентификации или передавать запрос в службу авторизации и в конечном итоге позволят запросу либо попасть в сервлет, либо выдать исключение безопасности (не авторизованный или не авторизованный). DelegatingFitlerProxy склеивает эти фильтры …
3
Широ против SpringSecurity [закрыто]
Закрыто . Этот вопрос основан на мнении . В настоящее время он не принимает ответы. Хотите улучшить этот вопрос? Обновите вопрос, чтобы ответить на него фактами и цитатами, отредактировав этот пост . Закрыто 6 лет назад . Улучшить этот вопрос В настоящее время я оцениваю фреймворки безопасности на основе Java, …
7
В чем смысл DelegatingFilterProxy Spring MVC?
Я вижу это в своем приложении Spring MVC web.xml: <filter> <filter-name>springSecurityFilterChain</filter-name> <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class> </filter> Я пытаюсь понять, зачем он нужен и действительно ли он нужен. Я нашел это объяснение в документации Spring, но оно не помогает мне понять его: Кажется, предполагается, что этот компонент является «связующим звеном» между сервлетами, определенными в, …
18
Как проверить hasRole в Java-коде с помощью Spring Security?
Как проверить полномочия пользователя или разрешение в Java-коде? Например - я хочу показать или скрыть кнопку для пользователя в зависимости от роли. Есть аннотации вроде: @PreAuthorize("hasRole('ROLE_USER')") Как сделать это в Java-коде? Что-то вроде : if(somethingHere.hasRole("ROLE_MANAGER")) { layout.addComponent(new Button("Edit users")); }
12
Как управлять исключениями, созданными в фильтрах Spring?
Я хочу использовать общий способ управления кодами ошибок 5xx, скажем конкретно, случай, когда db не работает во всем моем весеннем приложении. Я хочу красивую ошибку json вместо трассировки стека. Для контроллеров у меня есть @ControllerAdviceкласс для различных исключений, и это также улавливает случай, когда db останавливается в середине запроса. Но …
6
Как вручную установить аутентифицированного пользователя в Spring Security / SpringMVC
После того, как новый пользователь отправит форму «Новая учетная запись», я хочу вручную выполнить вход для этого пользователя, чтобы ему не приходилось входить на следующей странице. Обычная страница входа в систему, проходящая через перехватчик безопасности Spring, работает нормально. В контроллере формы новой учетной записи я создаю UsernamePasswordAuthenticationToken и вручную устанавливаю …
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.