Популярные вопросы по тегу SPRING-SECURITY

Как написать собственный фильтр в Spring Security?

... меть функцию для каждого запроса 2 и получать эту информацию из запросов отдельно, лучше иметь фильтр. Таким образом, каждый запрос проходит этот фильтр, и я получаю то, что хочу. Возникает 1 вопрос: ка ...

cvc-complex-type.2.4.c: Соответствующий подстановочный знак является строгим, но не может быть найдено объявление для ошибки элемента 'mvc: annotation-driven'

... /schema/context" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:mvc="http://www.springframework.org/schema/mvc" xsi:schemaLocation=" http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-3.0.xsd http://www.springframework.org/schema/context http://www.springframework.org/schema/context/s ...

Что является «главным» в Spring Security?

... pring Security. Я 11 читал о Spring Security, и появилась концепция 10 участника, которым должен быть текущий зарегистрированный 9 пользователь. Но что, если у нас более одного 8 зарегистрированного пользователя? Итак, мой 7 вопрос: что именно является основным в весенней 6 безопасности? Я прочитал, например, это руководство: http://www.mkyong.com/spr ...

Используйте @WithMockUser (с @SpringBootTest) внутри приложения сервера ресурсов oAuth2

... ) } } где 15 конфигурация безопасности (сервера ресурсов) следующая @Configuration @EnableResourceServer public class ResourceServerConfiguration extends ResourceServerConfigurerAdapter { // get the configured token store @Autowired TokenStore tokenStore; // get the configured token converter @Autowired JwtAccessTokenConverter tokenConverter; /** * !!! configuration of springs http security !!! */ @Override public ...

Spring Security "Отказался от выполнения скрипта из ...

... | sample.html BootStart.java 6 - это java-файл, который загружает Spring 5 Boot. BootStart.java: @EnableAutoConfiguration @ComponentScan public class BootStart { public static void main(String[] args) { SpringApplication.run(BootStart.class, args); } } SecurityConfiguration.java: @Configuration @EnableWebSecurity public class SecurityConfiguration extends WebSecurity ...

IllegalArgumentException: при расширении JdbcUserDetailsManager требуется 'dataSource' или 'jdbcTemplate'

... ector\custom\PrimeUserDetailsManager.class]: Invocation of init method failed; nested exception is java.lang.IllegalArgumentException: 'dataSource' or 'jdbcTemplate' is required at org.springframework.beans.factory.support.C ...

Определите пользователей, пароли и роли базовой безопасности в application.yml

... онцепция, поддерживающая эту идею? Все, что 12 я смог найти до сих пор, работает с основным 11 устройством защиты ('org.springframework.boot:spring-boot-starter-security') и выглядит так: security: basic: enabled: true user: name: admin password: admin role: EXAMPLE Однако 10 я все еще могу получить ...

Несколько ролей с использованием @PreAuthorize

... роверки роли @PreAuthorize 3 ("hasRole (\" "+ AuthoritiesConstants.USER 2 +" \ ",)") Как проверить несколько ролей 1 с помо ...

Внедрить @AuthenticationPrincipal при модульном тестировании контроллера Spring REST

... ivate ItemEndpoint itemEndpoint; @Mock private ItemService itemService; private MockMvc mockMvc; @Before public void setup() { MockitoAnnotations.initMocks(this); mockMvc = MockMvcBuilders.standaloneSetup(itemEndpoint) .build(); } @Test public void findItem() throws Exception { when(itemService ...

Использование областей в качестве ролей в Spring Security OAuth2 (поставщик)

... ется 13 ли API пользователем, прошедшим обычную 12 аутентификацию (просто проверьте роли), или 11 он вызывается через OAuth2 (проверьте роли 10 + области). . Можно ли «объединить» концепции 9 ролей и областей в Spring Security OAuth2, чтобы 8 на этапе авторизации пользователь предоставлял 7 приложению подмножество имеющихся ролей (и Аутентификация 6 OAuth ...

Нет подходящего bean-компонента типа org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder.

... quests() .antMatchers("/assets/css/**").permitAll() .antMatchers("/img/**").permitAll() .antMatchers("/home").permitAll() .antMatchers("/register/**").permitAll() .antMatchers("/registerUser").permitAll() .antMatchers("/admin/**").hasR ...

Spring 5.0.3 RequestRejectedException: запрос был отклонен, поскольку URL-адрес не был нормализован

... tion/thisPage.jsp, все будет работать нормально. Итак, мой 5 вопрос: следует ли мне удалить / из пути 4 JSP в коде, потому что это то, что требуется 3 в дальнейшем. Или Spring представил ошибку, поскольку 2 единственное различие между моей машиной 1 и тестовой средой - это протокол HTTP и HTTPS. org.springframework.security.web.firewall.RequestRejectedException: The request was reject ...

Как издеваться над SecurityContextHolder.getContext(). GetAuthentication(). GetCredentials()

... для сведений о пользователе, выдает 2 ошибку. Может ли кто-нибудь предложить лучший 1 способ сделать ...

Как выполнить модульное тестирование Spring Security @PreAuthorize (hasRole)?

... .GET) public String loadPage(Model model, Authentication authentication, HttpSession session) { ...stuff to do... } Я 2 создал следующий файл abstract-security-test.xml: <?xml version="1.0" encoding="UTF-8"?> <beans xmlns=&quot ...

Как отключить заголовок ответа X-Frame-Options в Spring Security?

... ons' to 'DENY'. Я попытался удалить Spring 3 Security, и все работает отлично. Как я 2 могу отключить это в весеннем XML-файле 1 безопасности? Что п ...

Ошибка безопасности Spring: java.lang.IllegalStateException: невозможно настроить anyRequest после себя

... rk.security.config.annotation.AbstractSecurityBuilder.build 13 (AbstractSecurityBuilder.java:41) ~ [spring-security-config-5.2.1.RELEASE.jar: 5.2.1.RELEASE] в 12 org.springframework.security.config.annotation.web.configuration.WebSecurityConfiguration.springSecurityFilterChain 11 (WebSecurityConfiguration.java:104) ~ [spring-security-config-5.2.1.RELEASE.jar: 5.2.1.RELEASE] ...

Spring Security и ABAC (управление доступом на основе атрибутов)

... 16 объекты домена просто выполняют @PreAuthorize(WRITE) и т. Д., И 15 наша политика авторизации будет отделена 14 от него. Из того, что я прочитал, основной 13 принцип ABAC очень прост. У вас есть действие 12 (очень похожее на разрешение) и механизм 11 для разрешения, если текущий участник имеет 10 это разрешение на данную тему. Мне известно 9 о AccessDecisionVoter, который примерно соответствует правильному 8 виду интерфей ...

Получить токен сеанса для загрузки / безопасности Spring в контроллере

... го 9 времени, и пользователи могут отправлять 8 повторные запросы быстрее, чем мы можем 7 ответить. Я хочу, чтобы контроллер одновременно 6 вычислял только подмножество запросов, и 5 мне нужно будет реализовать некоторую логику 4 относительно того, на какие запросы следует 3 отвечать. Для этого мне нужно знать токен 2 сеанса ...

Можно ли кэшировать проверенный токен JWT, чтобы предотвратить повторный процесс проверки в приложении с весенней загрузкой?

... авляется 10 в каждом запросе от клиента к нашему основному 9 серверу приложений. У меня есть открытый 8 ключ для проверки подписи. Теперь этот 7 токен JWT отправляется в каждом запросе 6 API со стороны клиента, поскольку большинство 5 наших URL-адресов защищены. Кэшировать 4 уже проверенный токен JWT, чтобы предотвратить 3 повт ...

Необходимо указать диспетчер аутентификации Spring Security - для настраиваемого фильтра

... 1.2.1 7 и конфигурацию Java. Ошибка, которую я получаю 6 при развертывании: Caused by: org.springframework.beans.factory.BeanCreationException: Error creating bean with name 'customUsernamePasswordAuthenticationFilter' defined in file ...

Успешная проверка подлинности Spring Security с неправильным паролем

... Моя конфигурация WebSecurity приведена ниже; @EnableWebSecurity @Configuration public class WebSecurityConfiguration extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests().anyRequest().authenticated().and().httpBasic(); } @Override protected void configure(AuthenticationManagerBuilder builder) throws Exception { builder.i ...

Исключить Spring-security-oauth как клиент

... конечной 9 точки OAuth. Мой текущий шаблон OAuth2RestTemplate 8 немного сложен, поскольку сервер oauth не 7 использует стандартный способ идентификации, вдохновленный 6 сообщением here. Это мой шаблон OAuth2RestTemplate: fun createOAuthRestTemplate(resourceDetails: OAuth2Pr ...

Как запретить доступ ко всем URL-адресам по умолчанию?

... нней загрузки я обычно забываю создать 11 конфигурацию безопасности Spring для их 10 шаблонов URL. Как я могу по умолчанию запретить 9 доступ ко всем URL-адресам и разрешить доступ 8 только к явно настроенным шаблонам URL-адресов? (Я 7 использую .hasRole для разрешения доступа) Я хочу 6 избежать как можно большего количества непреднамеренных 5 дыр в безопасности. Допустим, у меня есть 4 три ресурса REST: /jobs, /desks и /salary. Мой теку ...

Как я могу аннотировать метод с помощью Spring Security, чтобы у вызывающего абонента была одна из списков ролей?

... ел способа сделать мой метод доступным 2 для нескольких ролей. Одиночная роль отлично 1 работает с @Secured("ROLE_CUSTOMER"). Есть ли способ сделать h ...

Spring OAuth2 генерирует токен доступа для каждого запроса к конечной точке токена

... lue="true" /> <property name="accessTokenValiditySeconds" value="300"></property> <property name="clientDetailsService" ref="clientDetails" /> </bean> <bean id="tokenStore" class="org.springframework.security.oauth2.provider.token.store.JdbcTokenStore"> <constructor-arg ref="jdbcTemplate" /> </ ...

С Spring Security 3.2.0.RELEASE, как я могу получить токен CSRF на странице, которая является чисто HTML без библиотек тегов

... ючен по умолчанию, и 13 я знаю, что могу отключить его в моем переопределенном 12 методе настройки с помощью http.csrf(). Disable(). Но 11 предположим, что я не хочу отключать его, но 10 мне нужен токен CSRF на моей странице входа, где 9 не используются библиотеки тегов JSP или ...

Объект аутентификации не найден в SecurityContext - Spring 3.2.2

... equest : '/utility/login.jsf'; against '/utility/login.jsf*' DEBUG [http-apr-8080-exec-49] (AntPathRequestMatcher.java:116) - Checking match of request : '/utility/login.jsf'; against '/utility/login.jsf*' DEBUG [http-apr-8080-exec-49] (FilterCh ...

Как получить идентификатор пользователя от CustomUser в Spring Security

... thentication.getName(); А это CustomUser public class CustomUser extends User { private final int userID; public CustomUser(String username, String password, boolean enabled, boolean accountNonExpired, boolean credentialsNonExpired, boolean accountNonLocked, Collection<? extends GrantedAuthority> authorities, int userID) { super(usernam ...

Почему BCryptPasswordEncoder из Spring генерирует разные выходные данные для одного и того же входа?

... а 5 кода ниже: String password = "123456"; PasswordEncoder passwordEncoder = new BCryptPasswordEncoder(); String encodedPassword = passwordEncoder.encode(password); System.out.print(encodedPassword); вывод: $ 2a $ 10 $ cYLM.qoXpeAzcZhJ3oXRLu9Slkb61LHyWW5qJ4QKvHEMhaxZ5qCPi output2: $ 2a 4 $ 10 $ KEvYX9yjj0f1X3Wl8S.KPuWzSWGyGM9ubI71NOm3ZNbJcwWN6agvW output3: $ 2a 3 $ 10 $ ...

Spring Security hasRole() не работает

... кла проблема при использовании 10 Spring Security && Thymeleaf, особенно 9 при попытке использовать выражение hasRole. Пользователь 8 admin имеет роль ADMIN, но hasRole('ADMIN') все равно принимает 7 значение false, если я попробую Мой HTML: 1.<div sec:authentication="name"></div> <!-- works fine --&gt ...

Разрешить анонимный доступ к springdoc-openapi-ui с помощью Spring Security

... er-ui.html) в приложении Spring Boot, защищенно ...

Фильтр Spring Boot CORS - канал предварительной проверки CORS не прошел

... ) .maxAge(3600L); // @formatter:on } ... } Прямо сейчас, когда я пытаюсь 4 получить доступ к своему API, я получаю 3 следующую ошибку: Cross-Origin Request Blocked: The Same Origin Policy disallows reading the remote resource at https://example.com/api/v1.0/user. (Reason: CORS preflight channel did not succeed). Это скриншот консоли FF: Что 2 я делаю не так и ...

Thymeleaf с Spring Security - как проверить, вошел ли пользователь в систему или нет?

... cated()}"> <a th:href="@{/logout}">Log out</a> </div> <div sec:authorize="#{isAnonymous()}"> <a th:href="@{/login}">Log in</a> </div> но не работает - отображаются 4 обе ссылки. РЕДАКТИРОВАТЬ: Я реши ...

Методы поста безопасности стартера весенней загрузки не работают

... ndency> <groupId>org.hibernate</groupId> <artifactId>hibernate-jpamodelgen</artifactId> </dependency> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-integration</artifactId> ...

Аутентификация с помощью Spring Security + Spring data + MongoDB

... Это 4 мой класс UserService: public class UserService { private ApplicationContext applicationContext; private MongoOperations mongoOperations; public UserService() { applicationContext = new AnnotationConfigApplicationContext(MongoConfig.class ...

Как добавить токен csrf в запрос ajax

... bits(){ var xhttp = new XMLHttpRequest(); var selected = document.getElementById("product").value; xhttp.onreadystatechange = function(){ if(xhttp.readyState==4 && xhttp.status==200){ var result= JSON.parse(xhttp.responseText) var length = result.length; for(i=0; i<length; i++){ console.log(result[k].spid); } } }; xhttp.open("POST", "http://localhost:8080/bids?q="+s ...

Безопасность Spring и аутентификация JSON

... j_username=myUsername&j_password=myPass Но я хочу передать 4 объект JSON следующим образом: {"j_username":"myUsername","j_password":"myPass"} Я безуспешно 3 читал много сообщений вроде this, this other или this one, во 2 всех случаях ajax выполняется POST, как 1 указано выше. Ес ...

Отключить метод HTTP OPTIONS в приложении весенней загрузки

... я 7 с весенней загрузкой. API-интерфейсы принимают 6 только GET и POST, но при запросе с использованием 5 метода OPTIONS API отвечает со статусом 4 200 (вместо 405). Я искал эту проблему в ...

Весенний веб-сокет для отправки конкретным людям

... rConfigurer { @Override public void configureMessageBroker(MessageBrokerRegistry config) { config.enableSimpleBroker("/topic", "/queue"); config.setApplicationDestinationPrefixes("/app"); config.setUserDestinationPrefix("/user"); } @Override public void registerStompEndpoints(StompEndpointRegistry registry) { registry.addEn ...

Spring Security SecurityContextHolder: привязка сеанса или запроса?

... ontextHolder.getContext().getAuthentication().getPrincipal(); Таким образом 3 я получаю доступ к текущему авторизованному 2 пользователю. Будет ли это недействительным, если 1 текущий сеанс будет уничтожен? ...

Spring Security OAuth - для доступа к этому ресурсу требуется полная аутентификация.

... ico' 2016-07-11 17:39:46.120 DEBUG 12502 --- [nio-9999-exec-2] o.s.s.w.u.matcher.AntPathRequestMatcher : Checking match of request : '/oauth/token'; against '/error' 2016-07-11 17:39:46.120 DEBUG 12502 --- [nio-9999-exec-2] o.s.security.web.FilterChainProxy : /oauth/token at position 1 of 11 in additional filter chain; firing Filter: 'Web ...

Контроллеры модульного тестирования с включенной защитой CSRF в Spring Security

... нашего 8 проекта, которая использует Spring Security 7 3.2. После включения CSRF некоторые модульные 6 тесты завершаются ошибкой из-за отсутствия 5 в запросе токена csrf. Я поместил какое-то 4 фиктивное значение ...

Обработка исключений аутентификации Spring Security с помощью @ExceptionHandler

... ass }) @ResponseStatus(value = HttpStatus.UNAUTHORIZED) @ResponseBody public RestError handleAuthenticationException(Exception ex) { int errorCode = AegisErrorCode.GenericAuthenticationError; if(ex instanceof AegisException) { errorCode = ((AegisException)ex).getCode(); } RestError re = new RestError( HttpStatus.UNAUTHORIZED, er ...

Директива Spring security "forward:" не может пересылать данные в форму входа

... ытаюсь вернуться с контроллера: "forward: / postlogin", я 8 получаю 404. Я предполагаю, что директива 7 forward: не проходит через фильтры, поэтому 6 не обрабатывается UsernamePasswordAuthenticationFilter. Как мне вручную вызвать 5 вход в систему программным способом? Я хочу 4 сделать это после того, как пользователь 3 создаст новую учетную запись (они должны 2 войти в эту учетную запись сразу после ...

Доступ к токену JWT из контроллера Spring Boot Rest

... h.getPrincipal().toString()); logger.info("OAuth2Request:" + auth.getOAuth2Request()); logger.info("UserAuthentication:" + auth.getUserAuthentication()); return userService.findAllUsers(); } Я пробовал что-то подобное, но 4 не смог достучаться до токена, я получил 3 только имя пользователя. Есть ли способ ...

Загрузка файла возвращает ошибку 403 - Spring MVC

... tyConfig.class }) public class WebAppInitializer implements WebApplicationInitializer { @Override public void onStartup(ServletContext servletContext) throws ServletException { System.out.println(":::Starting My App:::"); AnnotationConfigWebApplicationContext context = new AnnotationConfigWebApplicationContext(); context.regis ...

Обработка исключений безопасности в Spring Boot Resource Server

... .122Z", "status": 403, "error": "Forbidden", "message": "Access Denied", "path": "/api/templates/585004226f793042a094d3a9/schema" } или { "error": "invalid_token", "error_description": "5d7e4ab5-4a88-4571-b4a4-042bce0a076b" } Итак, как мне настроить 6 обработку исключений безопасности для сервера 5 ресурсов? Все, что я когда-либо находил, - это 4 примеры того, как настроить сервер аутентификации, реализовав 3 ...

Тип javax.servlet.ServletContext и javax.servlet.ServletException не могут быть разрешены

... ен. На него косвенно ссылаются из обязательных файлов .class Файл POM.xml <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd"> <modelVersion>4.0.0</modelVersion> <groupId>spring ...

Как включить кеширование HTTP-ответов в Spring Boot

... public @ResponseBody ResponseEntity<String> myMethod( HttpServletResponse httpResponse) throws SQLException { return new ResponseEntity<String>("{}", HttpStatus.OK); } } Все ответы HTTP содержат 6 следующие заголовки: Cache-Control: no-cache, no-store, max-age=0, must-revalidate Expires: 0 Pragma: no-cache Чтобы удалить или изменить 5 эти заголовки, я пробовал следующее: Вызовите setCache ...

Возврат кода ошибки HTTP 401 и пропуск цепочек фильтров

... ер: public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException { HttpServletRequest request = (HttpServletRequest) req; final String val = request.getHeader(FOO_TOKEN) if(val == null || !val.equals("FOO")) { // token is not valid, return an HTTP 401 error code ... ...