我正在为我的项目使用spring boot和spring starter依赖项.我尝试使用Gradle中的spring starter安全依赖项,但在项目中找不到安全包. IDE是IntelliJ IDEA. 我的build.gradle文件:buildscript {ext {springBootVersion = '1.2.7.RELEASE'}repositories {mavenCentral()}dependencies {classpath("org.springframework.boot:spring-boot-gradle-plugin:${springBootVersion}") classpath('io.spring.gradle:dependency-management-plu...
我想替换默认的拒绝访问页面:使用我的自定义页面和我的方法是这样的:@Configuration @EnableWebSecurity public class SecurityContextConfigurer extends WebSecurityConfigurerAdapter {@Autowired private UserDetailsService userDetailsService;@Override public void configure(WebSecurity web) throws Exception {web.ignoring().antMatchers("/resources/**"); }@Override protected void configure(HttpSecurity http)...
如果通过不匹配的密码验证失败,我们是否可以将输入的用户名传递给spring security中的身份验证失败URL?解决方法:假设您在询问,如果身份验证失败,我们如何获取用户名,它可以在特殊的弹簧安全常量SPRING_SECURITY_LAST_USERNAME中使用. 这个SO discussion可能是有用的参考.
我正在尝试在Win7上使用Java中的sun.security.ec模块.尝试编译时,它会出现此错误:package sun.security.ec does not existsun.security.*在.jar文件中的位置?我在哪里可以下载.jar文件?解决方法:它是JDK的一部分(至少JDK6有它),应该在classes.jar中(其中java.lang.String是几乎所有其他的). 但是,您不应该直接访问这些特定于实现的类.您应该能够使用标准接口(例如java.security.spec.ECParameterSpec)来使用此提供程序.
基于用户角色/权限使用GWT和Spring Security创建条件UI的最佳实践是什么? 我知道你不能依赖客户端安全性.我将在服务器端进行安全检查.条件UI实际上仅用于外观.解决方法:您将需要一个服务来从服务器(具有它们)到客户端(没有)获取用户角色的列表.在回调的onSuccess方法中,您将拥有类似于以下内容的代码:if (roles.contains("role1")) {GWT.runAsync(new RunAsyncCallback() {public void onFailure(Throwable caught) {Window.aler...
我正在尝试在Spring Security Web应用程序中进行简单的用户名/密码身份验证.我有一个通过传入用户名/密码进行身份验证的Web服务,并获得一个角色.然后我需要保留密码以备将来的Web服务调用. 我的应用程序最初是使用App Fuse创建的,因此它有一些基于JDBC的身份验证.我已经把它撕掉了,但我不确定如何添加我的自定义身份验证. 文档说它是“simple” to add in such a mechanism.但是示例应用程序是命令行hello-world风格程序,而不是Web...
我创建了一个负责通过dao与数据库联系的服务.我使用@Transactional注释来处理事务.@Service("aclService") public class HibernateAclServiceImpl implements HibernateAclService{private final Log logger = LogFactory.getLog(HibernateAclServiceImpl.class); @Autowired private AclObjectIdentityDao objectIdentityDao ; private PermissionFactory permissionFactory = new DefaultPermissionFactory(); @Autowired privat...
我使用spring-security 3.2.0.RC2与java配置和两个HttpSecurity配置.一个用于REST API,一个用于UI.当我发布到/ logout它重定向到/ login?logout然后(错误地)重定向到/ login.当我成功输入用户名和密码后,我被重定向到登录?注销并且必须再次输入凭证才能进入主页面.因此,登录的permitAll似乎没有因登录而受到尊重?注销. 我的安全配置如下所示:@Configuration @EnableWebSecurity public class SecurityConfig extends WebSecuri...
我使用dao身份验证和自定义身份验证过滤器搜索了Spring安全示例,但是我发现,所有示例都使用xml文件配置, 我的问题是如何配置自定义过滤器,即UsernamePasswordAuthenticationFilter 我的基于xml的securityConfig文件如下所示:<http auto-config="false" use-expressions="true"><intercept-url pattern="/" access="permitAll" /> <intercept-url pattern="/auth/login.html" access="permitAll" /> <intercept-url pat...
我刚刚向我指出,我的博客中的Java Web Start应用程序,例如我的Key Bindings条目,由于以下安全性错误而不再起作用: 在做了一些调查后,我确定JDK7中的安全性得到了改进,并且在Windows控制面板上找到的Java控制面板的“安全”选项卡上的默认设置被设置为“高”,这会阻止应用程序运行.如果您确实将此设置更改为“中”,则可以选择接受该应用并运行该应用.我猜大多数人都不想这样做,所以看起来我需要签署我的jar文件. 问题是我真的不明白...
我正在使用基于java的spring security.我创建了自定义访问决策选民impl. 但是当我运行应用程序时,我无法打开登录页面,因为它说,访问被拒绝. 这是在我添加自定义访问决策选民impl之后发生的.我想问题是由于自定义AccessDecisionVoter中的以下代码.if(authentication instanceof AnonymousAuthenticationToken)return ACCESS_DENIED;但我需要这样,以便不检查未登录用户的权限. 它进入无限循环,登录页面,访问决策选民,访问被拒绝,登录...
我试图将Spring Security 3 @Secured(“admin”)注释转换为Spring Security 4兼容的方式. 这是我的usersService.java@PreAuthorize("hasAuthority('admin')") public List<User> getAllUsers() {return usersDao.getAllUsers(); }然后在security-context.xml中我有:<security:intercept-url pattern="/admin" access="permitAll" /> ... <security:global-method-security pre-post-annotations="enabled" />getAllUsers()由Login...
我有一个使用Spring Security和OAuth2在Spring Boot中编写的REST API.资源以这种方式保护:@Override public void configure(HttpSecurity http) throws Exception {http.authorizeRequests().antMatchers("/api/v1/security/**").hasRole("ADMIN"); }我想基于项目介绍API的新部分,其中权限是细粒度的.让我们考虑一个打印项目配置的简单端点.GET /api/v1/project/{projectId}/config如何将资源服务器配置为仅允许具有ROLE_PROJECT_...
我正在尝试将keycloak集成到我的spring安全层中.我已经实现了这一点,我唯一要解决的问题是: 当端点被命中时,需要对用户进行身份验证,该站点将重定向到我的keycloak登录页面.登录后,用户将被重定向回他们最初请求的页面.我想要实现的是:我不希望我的用户从我的应用程序重定向到keycloak登录页面,然后再返回,但更好的是,通过我的应用程序上的表单登录并“代理”这些捕获的详细信息到keycloak并获取登录令牌. 如果有人能够阐明上述情...
如果在Java中处理敏感数据的最佳实践是使用字符数组,为什么Spring Security中的大多数方法都使用String或CharSequence?例如,加密器上的方法采用CharSequence.实际上,查看这些方法的源代码,它们实际上最终将CharSequence转换为String.由于那个项目的人在这些事情上的生命经历比我将来的更多,我觉得我必须遗漏一些东西.有没有人对如何将敏感数据传递给这些方法有任何见解?解决方法:You really cannot do much to reduce the life o...