問題タブ [pre-authentication]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票する
1 に答える
7792 参照

spring-security - Spring Security の複数の事前認証フィルター?

複数のPRE_AUTHSpring Security フィルターが必要です。特に、Spring Security 3.0 の SAML 拡張でPRE_AUTH構成された 2 つのフィルターに加えて、フィルターを使用する必要があります。PRE_AUTH既存の SAML 構成は次のとおりです。

追加のPRE_AUTHフィルターは、既存のフィルターのいずれかの前にチェックする必要があります (つまり、この認証方法で認証されたユーザーには、SAML を使用する機会を与えてはなりません。

以下の方法で変更することを検討しました。

これは機能しますか、それともより複雑なソリューションが必要ですか。

0 投票する
2 に答える
1473 参照

asp.net-mvc - ASP.NET MVC 3イントラネットアプリケーションでユーザーを再認証するにはどうすればよいですか?

アプリケーションは、フォームではなく、Windows統合セキュリティをすでに使用しています。私が達成しようとしているのは、いわゆる「ステップアップ」認証、または次のシナリオの「強制再認証」です。

  1. ユーザーは一般的で些細なことをしてサイトを閲覧しています
  2. 突然、ユーザーはリソース割り当ての承認や自動車ローンの確認などのデリケートなアクションを実行する必要があります。
  3. ユーザーは、SharePointの「別のユーザーとしてサインイン」と同様の方法で、機密ページにリダイレクトされる前に資格情報の入力を求められます。
  4. 入力された資格情報が現在ログインしているユーザーの資格情報と同じである場合に限り、アプリケーションは機密領域に進みます。

これにより、次の2つの問題を防ぐことができます。

  1. ユーザーが会議またはコーヒーに行き、ワークステーションをロックするのを忘れ、同僚がセッションを使用して機密領域にアクセスする
  2. ユーザーは上司の資格情報を入力して(たとえば、上司の肩越しに覗いたため)、機密領域にアクセスします。

これを「パラノイド」と見なす人もいれば、常識であり、どこかのフレームワーク(jQueryまたは.NET)で構築する必要があると言う人もいます。

0 投票する
1 に答える
955 参照

spring-mvc - Spring MVC 2.5 - カスタム事前認証フィルターで覚えておいてください

Spring Security 2.0.4 を使用するレガシー アプリに取り組んでいます。カスタム AbstractPreAuthenticatedProcessingFilter と PreAuthenticatedAuthenticationProvider を作成しました。顧客のログイン サーバーから送信されたリクエストのパラメータとして送信された電子メール アドレスに基づいて、ユーザーを作成および認証します。(あまり安全ではありませんが、それが要件です)

これはすべて正常に機能しますが、私の問題は、ユーザーが認証されたらカスタム Cookie を作成して、ログイン サーバーによってリダイレクトされることなく現在のセッションの外部でアプリにアクセスできるようにする必要があることです。

AbstractPreAuthenticatedProcessingFilter または PreAuthenticatedAuthenticationProvider の HttpServletRepsonse オブジェクトにアクセスできないため、応答に Cookie を設定することはできません。AbstractPreAuthenticatedProcessingFilter クラスに RememberMeServices を実装できますが、これが正しい方法かどうかはわかりません。

誰かが私を正しい方向に向けることができますか? カスタム記憶機能を作成する必要がありますか? ユーザーが認証されたら、Cookie を設定するだけです (まだ存在しない場合)。その後、今後のリクエストのために、AbstractPreAuthenticatedProcessingFilter 内の Cookie を検証し、認証されたプリンシパルを返すことができます。

0 投票する
1 に答える
17219 参照

java - Spring セキュリティ PreAuthentication フィルターは AuthenticationEntryPoint を要求します

Spring Security 3.0 で PreAuthFilter (Siteminder 用) を使用しようとしています。

上記の構成は失敗します

1) AuthenticationEntryPoint を指定するにはどうすればよいですか???

2) そして、それは本当に事前認証シナリオに適用できますか???

解決

以下のaxtavtのソリューションに従って:

Http403ForbiddenEntryPoint で Bean を作成する

<http>で参照してください

0 投票する
1 に答える
2133 参照

grails - Grails/Spring Security プラグインで /login/auth を無効にする方法

事前認証メカニズムによる認証のみを許可する Spring Security Plugin を使用して、Grails でシステムをセットアップしようとしています。

私がしたいことは、ユーザーが認証されていないときに任意の URL にアクセスしようとすると、アクセスが拒否されたページに移動することです。

私が今得ているのは、Grails がそれらを /login/auth に転送しようとしているということです (そして、Firefox はリダイレクトが決して完了しないと言います)。しかし、問題は、私は Pre-Auth システムだけなので、ログイン ページがありません。

ここに私のConfig.groovyがあります:

これをやめる方法について何か考えはありますか?これらは必要ないはずなので、LoginController.groovy からも index メソッドと auth メソッドを削除しました。

0 投票する
2 に答える
4387 参照

spring-security - Spring Security Preauth "filters=none"が機能しない

奇妙なもの、

私はsiteminderでスプリングセキュリティを使用していますが、正常に動作します。ただし、保護されていないURLが1つ必要です。loadBalancerには、アプリ自体に「healthCheck」URLが必要です。このURLはsiteminderによって傍受されませんが、SpringSecurityはとにかく事前認証を適用しているようです。

単純なフォームベースのセキュリティ構成を使用してローカルで実行すると、次のように機能します(フィルターを除く)。

この場合、認証の問題を発生させることなくlocalhost / myApp / resources / html / healthCheck.htmlを参照できますが、他のURLにはログインフォームが表示されます。これまでのところ、すべて良さそうです!

ただし、サーバーにデプロイするときは、次の構成を使用しています。

server / myapp / resources / html / healthCheck.htmlにアクセスすると、次のエラーが発生します。

これは、UserDetailsS​​erviceがSM_USERなしでインスタンス化されたことが原因だと思います。それでも、filters = noneが設定されており、フォーム認証を使用するときに機能します。これを引き起こしている可能性のある、またはより良い回避策について何か考えはありますか?

ちなみに、私のuserdetailsサービスは次のように構成されています。

つまり、それが役立つ場合は、exceptionIfHeaderMissingをfalseに設定しました。

0 投票する
1 に答える
9336 参照

java - SpringSecurityの事前認証

SpringSecurityでセキュリティを提供するためにJavaEE+ Spring+Hibernateで構築されたWebアプリを変更するように依頼されました。

私はこれまでSpringSecurityを使用したことがなく、ドキュメントを読んだことがありますが、それを機能させるための適切な方法がわかりません。

実際のログインフォームを含む別のページが埋め込まれたログインページがあります。このフォームは、別のWebアプリのログインアクションを呼び出し、ログインの結果を使用してアプリのメソッドの1つを呼び出します。(埋め込まれているログインページは、ログインを処理する「外部」Webアプリの一部です)。

SpringSecurityの構成方法がわかりません。これは事前認証のシナリオだと思いますが、これをどのように機能させるべきかについての手がかりはありません。

これは私のsecurity-context.xmlです

そして私のweb.xml

0 投票する
1 に答える
10116 参照

spring-security - Spring Security を使用した事前認証 / シングル サインオン

サーバーアプリとクライアントアプリの 2 つの Web アプリケーションを開発しています。どちらも Spring Security を使用しています。私の使用例では、ユーザーがサーバー アプリにログインした後、ユーザーはサーバー アプリ内のリンクからクライアント アプリにアクセスできます。ユーザーがこれらのリンクをクリックしたときに再度ログインする必要がないため (要件の一部)、認証情報をサーバー アプリからクライアント アプリに転送するために、シングル サインオンと同様の戦略を使用することにしました。

クライアント アプリでは、Spring Security を使用RequestHeaderAuthenticationFilterして、サーバー アプリによって設定されたカスタム リクエスト ヘッダーを探しています。

  1. このカスタム ヘッダーが見つかった場合、この要求が信頼できるかどうかをさらに検証する必要がありますか? Spring の Pre-Authentication docでは、 RequestHeaderAuthenticationFilter認証を実行せず、SM_USER属性で指定されたユーザーからのリクエストであると想定します。リクエストが本物であることを確認するにはどうすればよいですか?

  2. http 要求でカスタム ヘッダーを使用して、あるアプリから別のアプリにユーザーを送信するにはどうすればよいですか? ヘッダー情報が失われるため、リクエストのリダイレクトは機能しません。転送されたリクエストはクライアント アプリで構成された Spring Security フィルターを通過しないため、転送は機能しません。したがって、リクエストは「認証」されず、セッションは作成されません。

0 投票する
0 に答える
338 参照

iphone - ユーザーにアプリに権限を付与するように再度依頼すると、エラーが発生します

新しいFacebookAPIとiOSアプリの統合をテストしているときに、Facebookアカウントのアプリ設定からアプリを削除しました。これにより、Facebook.authorize()がユーザーにアプリへのアクセス許可を再度要求するようになります。エラーが発生しました:app_nameでエラーが発生しました。後でもう一度やり直してください。

手順:

  1. ポップアップダイアログからFacebookにログインします。そしてそれはうまくいきます。

    [fbSession openWithBehavior:FBSessionLoginBehaviorForcingWebView completeHandler:^(FBSession * session、FBSessionState state、NSError * error){...}];

  2. Facebookアカウントのアプリ設定からアプリを削除しました。

  3. アプリを開いてFacebookに再度ログインすると、エラーが発生します。ここに画像の説明を入力してください

  4. そして、[OK]ボタンをクリックすると、FacebookのWebに直接移動します。ポップアップダイアログを閉じる代わりに。 ここに画像の説明を入力してください