Pytania otagowane jako spring-security

Mam aplikację internetową Spring MVC, która korzysta z Spring Security. Chcę poznać nazwę użytkownika aktualnie zalogowanego. Używam fragmentu kodu podanego poniżej. Czy to jest akceptowany sposób? Nie podoba mi się wywołanie metody statycznej w tym kontrolerze - co przeczy całemu celowi Springa, IMHO. Czy istnieje sposób, aby skonfigurować aplikację tak, …

288 java  spring  spring-mvc  spring-security 

Problem: Mamy oparty na Spring MVC interfejs API RESTful, który zawiera poufne informacje. Interfejs API powinien być zabezpieczony, jednak wysyłanie poświadczeń użytkownika (kombinacja użytkownik / hasło) przy każdym żądaniu nie jest pożądane. Zgodnie z wytycznymi REST (i wewnętrznymi wymaganiami biznesowymi) serwer musi pozostać bezstanowy. Interfejs API zostanie wykorzystany przez inny …

262 java  spring  rest  spring-mvc  spring-security 

W Spring Security istnieją koncepcje i implementacje, takie jak GrantedAuthorityinterfejs pozwalający uzyskać uprawnienia do autoryzacji / kontroli dostępu. Chciałbym, aby dozwolone operacje, takie jak createSubUsers lub deleteAccounts , które pozwoliłbym administratorowi (z rolą ROLE_ADMIN). Czuję się zagubiony w tutorialach / pokazach, które widzę online. Próbuję połączyć to, co przeczytałem, ale …

227 java  spring  spring-mvc  spring-security 

Próbuję zintegrować rozszerzenie Spring Security SAML z Spring Boot . W tej sprawie opracowałem kompletną aplikację przykładową. Jego kod źródłowy jest dostępny na GitHub: integracja Spring-boot-saml na GitHub Uruchamiając go jako aplikację Spring Boot (działającą na wbudowanym serwerze aplikacji SDK), WebApp działa dobrze. Niestety ten sam proces AuthN w ogóle …

194 spring  spring-security  wildfly  spring-saml  undertow 

Wszelkie pomysły, co może być tego przyczyną? Nie można zlokalizować Spring NamespaceHandler dla przestrzeni nazw schematu XML [ http://www.springframework.org/schema/security] org.springframework.web.context.ContextLoader initWebApplicationContext: Context initialization failed org.springframework.beans.factory.parsing.BeanDefinitionParsingException: Configuration problem: Unable to locate Spring NamespaceHandler for XML schema namespace [http://www.springframework.org/schema/security] Offending resource: ServletContext resource [/WEB-INF/applicationContext.xml] To jest moja aplikacjaContext.xml: <?xml version="1.0" encoding="UTF-8"?> <beans:beans …

179 java  spring  maven-2  spring-security 

W kontekście ram bezpieczeństwa, kilka terminów powszechnie występują zastrzeżeniem , użytkownika i głównego , którego nie byłem w stanie znaleźć jasnej definicji, a różnica między nimi. Więc co dokładnie oznaczają te terminy i dlaczego potrzebne są te rozróżnienia na temat i zasadę ?

173 java  spring-security  terminology  security 

W moich kontrolerach, gdy potrzebuję aktywnego (zalogowanego) użytkownika, wykonuję następujące czynności, aby uzyskać moją UserDetailsimplementację: User activeUser = (User)SecurityContextHolder.getContext().getAuthentication().getPrincipal(); log.debug(activeUser.getSomeCustomField()); Działa dobrze, ale myślę, że Wiosna może ułatwić życie w takim przypadku. Czy istnieje sposób na automatyczne UserDetailspołączenie z kontrolerem lub metodą? Na przykład coś takiego: public ModelAndView someRequestHandler(Principal principal) …

170 java  spring  spring-mvc  spring-security 

Nie jest dla mnie jasne, jaka jest różnica w zabezpieczeniach wiosennych między: @PreAuthorize("hasRole('ROLE_USER')") public void create(Contact contact) I @Secured("ROLE_USER") public void create(Contact contact) Rozumiem, że PreAuthorize może współpracować z spring el, ale czy w mojej próbce jest prawdziwa różnica?

147 spring-security 

Zdaję sobie sprawę, że zabezpieczenia Spring zbudowane są na łańcuchu filtrów, które przechwytują żądanie, wykryją (brak) uwierzytelnienia, przekierowują do punktu wejścia uwierzytelniania lub przekazują żądanie do usługi autoryzacji i ostatecznie pozwalają żądaniu trafić do serwletu lub zgłosić wyjątek bezpieczeństwa (nieuwierzytelnione lub nieautoryzowane). DelegatingFitlerProxy skleja te filtry razem. Aby wykonywać swoje …

145 spring  authentication  spring-security  filter  jwt 

Moja firma oceniała Spring MVC, aby określić, czy powinniśmy go użyć w jednym z naszych następnych projektów. Jak dotąd podoba mi się to, co widziałem, a teraz przyglądam się modułowi Spring Security, aby określić, czy jest to coś, czego możemy / powinniśmy użyć. Nasze wymagania dotyczące bezpieczeństwa są dość podstawowe; …

140 java  security  unit-testing  spring  spring-security 

Zamknięte . To pytanie jest oparte na opinii . Obecnie nie przyjmuje odpowiedzi. Chcesz poprawić to pytanie? Zaktualizuj pytanie, aby można było na nie odpowiedzieć, podając fakty i cytaty, edytując ten post . Zamknięte 7 lat temu . Popraw to pytanie Obecnie oceniam ramy bezpieczeństwa oparte na Javie, jestem użytkownikiem …

132 java  spring  spring-security  shiro 

Widzę to w mojej aplikacji Spring MVC web.xml: <filter> <filter-name>springSecurityFilterChain</filter-name> <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class> </filter> Próbuję dowiedzieć się, dlaczego tam jest i czy jest rzeczywiście potrzebny. Znalazłem to wyjaśnienie w dokumentacji Spring, ale nie pomaga mi to zrozumieć: Wydaje się, że komponent ten jest „spoiwem” między serwletami zdefiniowanymi w programie web.xmla komponentami zdefiniowanymi …

120 java  spring  spring-mvc  spring-security 

Jak sprawdzić uprawnienia lub uprawnienia użytkownika w kodzie Java? Na przykład - chcę pokazać lub ukryć przycisk dla użytkownika w zależności od roli. Istnieją adnotacje takie jak: @PreAuthorize("hasRole('ROLE_USER')") Jak to zrobić w kodzie Java? Coś jak : if(somethingHere.hasRole("ROLE_MANAGER")) { layout.addComponent(new Button("Edit users")); }

118 java  spring-security  user-roles 

Chcę użyć ogólnego sposobu zarządzania kodami błędów 5xx, powiedzmy konkretnie w przypadku, gdy db nie działa w całej mojej wiosennej aplikacji. Chcę mieć ładny plik JSON o błędzie zamiast śladu stosu. Dla kontrolerów mam @ControllerAdviceklasę dla różnych wyjątków i to również wychwytuje przypadek, że db zatrzymuje się w środku żądania. …

109 java  spring  spring-security 

W niestandardowym AuthenticationProvider z mojego wiosennego projektu próbuję odczytać listę uprawnień zalogowanego użytkownika, ale napotykam następujący błąd: org.hibernate.LazyInitializationException: failed to lazily initialize a collection of role: com.horariolivre.entity.Usuario.autorizacoes, could not initialize proxy - no Session at org.hibernate.collection.internal.AbstractPersistentCollection.throwLazyInitializationException(AbstractPersistentCollection.java:566) at org.hibernate.collection.internal.AbstractPersistentCollection.withTemporarySessionIfNeeded(AbstractPersistentCollection.java:186) at org.hibernate.collection.internal.AbstractPersistentCollection.initialize(AbstractPersistentCollection.java:545) at org.hibernate.collection.internal.AbstractPersistentCollection.read(AbstractPersistentCollection.java:124) at org.hibernate.collection.internal.PersistentBag.iterator(PersistentBag.java:266) at com.horariolivre.security.CustomAuthenticationProvider.authenticate(CustomAuthenticationProvider.java:45) at org.springframework.security.authentication.ProviderManager.authenticate(ProviderManager.java:156) at org.springframework.security.authentication.ProviderManager.authenticate(ProviderManager.java:177) …

108 java  spring  hibernate  spring-mvc  spring-security