我正在努力用java配置的spring安全性来配置方法安全性.我的配置没有任何问题,直到我在任何控制器中使用@Secured注释. Spring Security Config:(java config)@Configuration @EnableWebSecurity @EnableGlobalMethodSecurity(securedEnabled=true) public class SecurityConfig extends WebSecurityConfigurerAdapter {@Autowiredprivate DataSource dataSource;@Overridepublic void configure(WebSecurity web) throws Exception...
我将在我的Javascript前端Spring MVC项目(用户管理管理员web应用程序)中使用Spring安全性我试图弄清楚是否有任何安全性好处将这些前端html代码特别放在与我的后端代码相同的服务器中的jsp文件中,所以我可以利用某些jsp标签.或者我可以完美地使它成为ajax应用程序,在不同的服务器中提供前端服务.还是完全使用弹簧安全吗?解决方法:在这里我假设: >一个javascript前端>一个主要服务于JSON的Spring MVC rest应用程序 从安全角度来看,...
我想在WebSphere MQ服务器上创建一个队列管理器和一个队列,我想做两件事1)使用客户端框中的WMQ Explorer访问队列管理器和队列2)编写一个在客户端框上运行的Java独立应用程序,并从队列中放入和接收消息. 但是我收到身份验证例外.请让我知道我做错了什么? Linux服务器盒: 我安装了WebSphere MQ v7.1队列管理器QM_TEST创建(crtmqm,strmqm命令)创建本地队列Q_TEST(runmqsc和定义qlocal)定义SVRCONN通道(DEFINE CHANNEL(TEST_CHANNEL)...
我在Spring Boot应用程序中通过Java配置设置ACL时遇到问题.我创建了一个小项目来重现问题. 我尝试过几种不同的方法.我遇到的第一个问题是EhCache,在我修复之后(我假设我做了)我再也无法登录了,看起来所有的数据都消失了. 有4个类具有不同的配置:ACLConfig1.class ACLConfig2.class ACLConfig3.class ACLConfig4.class所有@PreAuthorize和@PostAuthorize注释都按预期工作,但hasPermission除外. 控制器拥有4个端点:一个用于User,一...
Java中新的Collections库中是否存在牺牲线程安全性以外的其他原因?解决方法:表现是主要原因. 但是,还有一个重要的哲学/设计原因:仅通过使各个集合类线程安全,您无法实现完整的线程安全性. 安全并发代码通常需要在不同级别进行同步,例如: >在更高级别 – 同时锁定两个集合,以便您可以从一个集合中删除一个元素并将其添加到另一个集合中>在较低级别 – 锁定并发数据表中的各行项目 因此,在某种程度上,使集合类同步将是一个相当随意...
我在我的应用程序上使用spring security 4.在我的应用程序中我有注册页面,我想从检查身份验证中排除此页面.如何排除特定控制器方法的身份验证? 我的安全配置:http.antMatcher("/test").httpBasic().and().authorizeRequests().antMatchers("/index.html", "/login.html", "/", "/scripts/**","/bower_components/**", "/styles/**", "/views/**","/login", "/api/user/*").permitAll().anyRequest().authenticated().and()...
我使用Spring安全性(4.0.2.RELEASE)来保护我的应用程序. 我可以正常登录并且我的身份验证的URL受到保护,但是当我尝试注销时,我会不断获得302 POST响应,然后重定向到我配置的failureUrl(“/ cms / login?error”). 这是我的WebSecurityConfig类@Configuration @EnableWebSecurity public class WebSecurityConfig extends WebSecurityConfigurerAdapter {@Overrideprotected void configure(HttpSecurity http) throws Exception{ ...
我是Spring安全新手,并使用OAuth2身份验证和授权开发spring REST API.一切正常,但是当我请求刷新令牌时,我得到的错误是 – org.springframework.security.oauth2.provider.endpoint.TokenEndpoint handleExceptionIllegalStateException, UserDetailsService is required.注意:我使用自定义身份验证提供程序来验证数据库中的用户凭据. 这是我的代码: Web安全配置适配器:@Configuration @EnableWebSecurity public class OAuth2S...
我正在使用受Spring Security SSO登录保护的Spring微服务(使用Cloudfoundry UAA). 部署在云上的微服务可通过HTTPS URL访问.由于HTTPS URL是ELB(负载均衡器/ Web服务器),因此对ELB的微服务的实际请求来自HTTP.因此Spring将用户重定向到登录页面时会在302 Location标题中生成HTTP URL而不是HTTPS URL. 以下是流程Browser->(https://mymicroservice.com) Unauthenticated request (Load balancer)->(http://internal_lan_ip:someport)...
在标准的webapp设置中,所有代码都以相同的权限运行.最好是遵循principle of least privilege,而Java的安全管理器(“沙盒”)理论上应该可以实现. 我想象一个设置,其中webapp中的代码包含一个“前端”,其代码有权仅执行允许登录用户执行的操作,以及一个以更高权限和强制执行的“后端”对“前端”代码的限制.然后模板和大部分控制逻辑将成为权限较低的“前端”代码的一部分,从而限制了攻击者可能危及安全性的方式. 这已经完成了吗?它...
我正在设计一个用于在Java应用程序中加载,处理和支持插件的系统.在我可以部署之前,我认为其中一个功能绝对至关重要的是能够建立一个安全环境,其中插件仅限于允许执行的操作. 我没有理解如何以编程方式使用策略文件而不在启动时运行-Djava.security.manager参数.所以这就是现在. 我的下一个想法是在我自己的SecurityManager子类中覆盖我在SecurityManager中关心的所有方法,并限制谁可以执行它们. 然后问题出现了,通过线程ID检查确定...
我有一个在JBoss 7.1.1上运行的Java EE 6 Web应用程序,它有一些需要身份验证的页面,而有些页面不需要身份验证.对于经过身份验证的页面,我使用的是如this previous post中所述的Servlet 3.0 Programmatic Security. 在我的web.xml中,我有以下条目<login-config><auth-method>FORM</auth-method><form-login-config><form-login-page>/login</form-login-page><form-error-page>/loginError</form-error-page></form-login-config> <...
我正在读这本书Java concurrency in practice,当我读到不变性和线程安全之间的关系时,我试图深入了解.因此,我发现至少有一个用例,其中在Java中构造不可变类可以导致发布一个非正确构造的对象. 根据this链接,如果类的字段未最终解析,则编译器可以重新排序需要完成的语句以构造对象.实际上,根据this链接,要构建一个JVM需要执行这些非原子操作的对象: >分配一些内存>创建新对象>使用其默认值初始化其字段(布尔值为false,其他基元为0,...
我构建了一个使用有效证书签名的Java Web Start应用程序. 当我为应用程序加注星形时,安全对话框会正确显示,如图所示 http://www.java.com/en/img/download/trusted_signed.jpg 我的问题是关于“不再显示”复选框. 如果属性href出现在jnlp文件的jnlp标记中,则会出现复选框. 如果该属性不存在,则不会出现复选框,并且每次都需要确认运行. (例:< jnlp spec =“1.0”codebase =“http://docs.oracle.com/javase/tutorialJWS/samples/...
我的Activity包含一个BroadcastReceiver和一个AsyncTask,它们都更新了一个ArrayList(经常).我知道AsyncTask在后台运行,并且BroadcastReceiver和AsyncTask线程可能同时更新ArrayList.我怎样才能让它们成为线程安全的呢? 编辑:正如亚历山大提到的,除非你明确地实现它,否则在主线程上运行BroadcastReceiver.解决方法:AsyncTask作为单独的线程运行.BroadcastReceiver通常在主线程上运行,除非你在’registerReceiver’中另外指定(参见...