Als «spring-security» getaggte Fragen

Ich habe eine Spring MVC-Webanwendung, die Spring Security verwendet. Ich möchte den Benutzernamen des aktuell angemeldeten Benutzers wissen. Ich verwende das unten angegebene Code-Snippet. Ist das der akzeptierte Weg? Ich mag es nicht, eine statische Methode in diesem Controller aufzurufen - das macht den ganzen Zweck von Spring zunichte, IMHO. …

288 java  spring  spring-mvc  spring-security 

Problem: Wir haben eine Spring MVC-basierte RESTful-API, die vertrauliche Informationen enthält. Die API sollte gesichert sein, es ist jedoch nicht wünschenswert, die Anmeldeinformationen des Benutzers (Benutzer / Pass-Kombination) bei jeder Anforderung zu senden. Gemäß den REST-Richtlinien (und den internen Geschäftsanforderungen) muss der Server zustandslos bleiben. Die API wird von einem …

262 java  spring  rest  spring-mvc  spring-security 

In Spring Security gibt es Konzepte und Implementierungen, z. B. die GrantedAuthoritySchnittstelle, über die eine Berechtigung zum Autorisieren / Steuern eines Zugriffs erteilt wird . Ich möchte, dass dies zulässige Vorgänge wie createSubUsers oder deleteAccounts sind , die ich einem Administrator (mit Rolle ROLE_ADMIN) erlauben würde . Ich bin verwirrt …

226 java  spring  spring-mvc  spring-security 

Ich versuche, die Spring Security SAML-Erweiterung in Spring Boot zu integrieren . Zu diesem Thema habe ich eine vollständige Beispielanwendung entwickelt. Der Quellcode ist auf GitHub verfügbar: Spring-Boot-Saml-Integration auf GitHub Durch Ausführen als Spring Boot-Anwendung (ausgeführt auf dem in SDK integrierten Anwendungsserver) funktioniert die WebApp einwandfrei. Leider funktioniert der gleiche …

194 spring  spring-security  wildfly  spring-saml  undertow 

Irgendwelche Ideen, was die Ursache dafür sein könnte? Spring NamespaceHandler für XML-Schemanamensraum konnte nicht gefunden werden [ http://www.springframework.org/schema/security] org.springframework.web.context.ContextLoader initWebApplicationContext: Context initialization failed org.springframework.beans.factory.parsing.BeanDefinitionParsingException: Configuration problem: Unable to locate Spring NamespaceHandler for XML schema namespace [http://www.springframework.org/schema/security] Offending resource: ServletContext resource [/WEB-INF/applicationContext.xml] Dies ist meine applicationContext.xml: <?xml version="1.0" encoding="UTF-8"?> <beans:beans xmlns="http://www.springframework.org/schema/security" …

179 java  spring  maven-2  spring-security 

Im Zusammenhang mit Sicherheits-Frameworks kommen häufig einige Begriffe zu Thema , Benutzer und Prinzipal vor , von denen ich keine klare Definition und den Unterschied zwischen ihnen finden konnte. Was genau bedeuten diese Begriffe und warum sind diese Unterscheidungen zwischen Subjekt und Prinzip erforderlich?

173 java  spring-security  terminology  security 

Wenn ich in meinen Controllern den aktiven (angemeldeten) Benutzer benötige, gehe ich wie folgt vor, um meine UserDetailsImplementierung zu erhalten: User activeUser = (User)SecurityContextHolder.getContext().getAuthentication().getPrincipal(); log.debug(activeUser.getSomeCustomField()); Es funktioniert gut, aber ich würde denken, dass der Frühling in einem solchen Fall das Leben leichter machen könnte. Gibt es eine Möglichkeit, das UserDetailsAutowire …

170 java  spring  spring-mvc  spring-security 

Mir ist nicht klar, was der Unterschied in der Frühlingssicherheit ist zwischen: @PreAuthorize("hasRole('ROLE_USER')") public void create(Contact contact) Und @Secured("ROLE_USER") public void create(Contact contact) Ich verstehe, dass PreAuthorize mit Spring El arbeiten kann, aber gibt es in meinem Beispiel einen echten Unterschied?

147 spring-security 

Mein Unternehmen hat Spring MVC evaluiert, um festzustellen, ob wir es in einem unserer nächsten Projekte verwenden sollten. Bisher liebe ich das, was ich gesehen habe, und im Moment schaue ich mir das Spring Security-Modul an, um festzustellen, ob es etwas ist, das wir verwenden können / sollten. Unsere Sicherheitsanforderungen …

140 java  security  unit-testing  spring  spring-security 

Mir ist klar, dass die Spring-Sicherheit auf einer Filterkette aufbaut, die die Anforderung abfängt, die Authentifizierung erkennt (nicht), zum Authentifizierungseintrittspunkt umleitet oder die Anforderung an den Autorisierungsdienst weiterleitet und die Anforderung schließlich entweder das Servlet trifft oder eine Sicherheitsausnahme auslöst (nicht authentifiziert oder nicht autorisiert). DelegatingFitlerProxy klebt diese Filter zusammen. …

135 spring  authentication  spring-security  filter  jwt 

Geschlossen . Diese Frage basiert auf Meinungen . Derzeit werden keine Antworten akzeptiert. Möchten Sie diese Frage verbessern? Aktualisieren Sie die Frage, damit sie durch Bearbeiten dieses Beitrags mit Fakten und Zitaten beantwortet werden kann . Geschlossen vor 6 Jahren . Verbessere diese Frage Ich habe derzeit Java-basierte Sicherheits-Frameworks evaluiert. …

132 java  spring  spring-security  shiro 

Ich sehe dies in meinen Spring MVC-Apps web.xml: <filter> <filter-name>springSecurityFilterChain</filter-name> <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class> </filter> Ich versuche herauszufinden, warum es da ist und ob es tatsächlich gebraucht wird. Ich habe diese Erklärung in den Spring-Dokumenten gefunden, aber es hilft mir nicht, sie zu verstehen: Es scheint darauf hinzudeuten, dass diese Komponente der "Klebstoff" …

120 java  spring  spring-mvc  spring-security 

Wie überprüfe ich die Berechtigung oder Berechtigung des Benutzers in Java Code? Zum Beispiel - Ich möchte die Schaltfläche für den Benutzer je nach Rolle ein- oder ausblenden. Es gibt Anmerkungen wie: @PreAuthorize("hasRole('ROLE_USER')") Wie mache ich es in Java-Code? Etwas wie : if(somethingHere.hasRole("ROLE_MANAGER")) { layout.addComponent(new Button("Edit users")); }

118 java  spring-security  user-roles 

Nachdem ein neuer Benutzer ein Formular "Neues Konto" eingereicht hat, möchte ich diesen Benutzer manuell anmelden, damit er sich nicht auf der folgenden Seite anmelden muss. Die normale Formular-Anmeldeseite, die den Spring Security Interceptor durchläuft, funktioniert einwandfrei. Im New-Account-Form-Controller erstelle ich ein UsernamePasswordAuthenticationToken und setze es manuell im SecurityContext: SecurityContextHolder.getContext().setAuthentication(authentication); …

107 java  authentication  spring-mvc  spring-security 

Ich möchte eine generische Methode zum Verwalten von 5xx-Fehlercodes verwenden. Sagen wir speziell den Fall, dass die Datenbank in meiner gesamten Frühjahrsanwendung nicht verfügbar ist. Ich möchte einen hübschen Fehler json anstelle eines Stack-Trace. Für die Controller habe ich eine @ControllerAdviceKlasse für die verschiedenen Ausnahmen und dies fängt auch den …

106 java  spring  spring-security