問題タブ [pre-authentication]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票する
2 に答える
2102 参照

spring-security - Spring Security - 外部認証が失敗した場合、または存在しない場合、条件付きでフォーム ログインを使用する

私の必要なセットアップは、(pubcookie を使用して) 事前認証するか、「dev」モードを有効にして、pubcookie を無視してログインフォームを表示できる (Spring-Security が有効な) webapp です。当然のことながら、アプリが mod_pubcookie を実行している Apache の背後にある本番環境では、開発モードはオフになりますが、開発/QA の場合、外部認証メカニズムは実際には必要ありません。

ログイン フォームは、(1) REMOTE_USER リクエスト ヘッダーがない (つまり、pubcookie を使用していない) 場合にのみ表示されます。AND (2) プロパティ ファイルで dev-mode がオンになっている。

私の質問: これは春のセキュリティ XML ファイルで構成できますか、それともコードに組み込む必要がありますか? (そして、どうすればそれを行うことができますか?)

ありがとう、

D.

0 投票する
2 に答える
6629 参照

spring-security - WebSphere での Spring Security PreAuthentication フィルターの例?

Spring Security のサンプル PreAuthentication Filter for WebSphere が動作している人はいますか (WebSpherePreAuthenticatedProcessingFilter)? それに関するドキュメントはほとんどなく、私はそれを釘付けにすることはできません。動作していて、構成の例を喜んで提供してくれる人を探しています。Spring 3.1 および WAS 7 または 8 に最適です。

「ちょっと」機能しているように見える構成が整っています。WebSphere で認証し、アプリで URL をヒットできますが、ブラウザーは次のメッセージを返します。

エラー 500: java.lang.RuntimeException: ユーザーのグループを検索中に例外が発生しました

次のような例外スタック トレースを取得します。

私の web.xml ファイルは次のとおりです。

私の Spring セキュリティ コンテキスト XML ファイルは次のとおりです。

0 投票する
3 に答える
4279 参照

java - @PreAuthorize が正しく機能しない

私のコントローラー:

spring-security.xml

アプリケーションを再デプロイした後でも、ページは常に読み込まれます。ログインすらしていません。ログインページにリダイレクトされないのはなぜですか?

さらに情報が必要な場合は、お気軽にお問い合わせください。

0 投票する
2 に答える
361 参照

authentication - 1 つの HttpSession 内の複数の SecurityContext

私は春のセキュリティを使用しているアプリケーションに取り組んできました。私は春のセキュリティにまったく慣れていないため、thisおよびthisに似た問題が発生しました。しかし、それは少し違います。

私はこの方法で手動認証を行います:

ページが読み込まれると、すべて問題ないようです。しかし、アプリケーションをナビゲートすると、SecurityContext が失われているようです。(ユーザーがログインしている場合、ステータスバーにユーザー名が表示されます)

私はこのようにコンテキストを取得します:

さらに、コンテキストが完全に失われるわけではなく、正しくロードされないことがあります。1 つのセッションに複数のコンテキストがあるようです (HttpSessionListener があり、sessionCreated が 1 回だけ起動します)。コンテキストのオブジェクト ハッシュを出力してみましたが、いくつかの異なるハッシュが繰り返されていることに気付きました。接続しているユーザーと一緒にいるのは 1 つだけです。他のユーザーはそうではありません。

したがって、1 つのセッションに複数のコンテキストがあると仮定します (これが可能であれば)。すべてを明確に説明したことを願っています。誰かが私に何か助けてくれたら幸いです。

0 投票する
1 に答える
1315 参照

annotations - 春のセキュリティ 3 で、@ PreAuthorize アノテーションをカスタマイズするにはどうすればよいですか?

最近私は問題に遭遇しました、私はそれを理解することができないので、私を助けてください...

My entity: Utilisateur これはフランス語で、ユーザーを意味します

そしてRoleエンティティ。

私のWebアプリには、たとえば学生に関する情報を表示するコントローラーがあります(Etudiantフランス語)

CustomUseDetailServiceエンティティUtilisateurを直接使用して独自に実装しました。

私のsecurity.xmlは以下の通りです:

最後の私の質問は: 学生の場合、彼の ID は 1、彼のユーザー名は stu1 です。ID 1 でこの学生を制御するには、自分のページ情報にのみアクセスでき /ProjetName/Student/{studentId}/Info ます@PreAuthorize。のような例が@PreAuthorize(#contract.name = principal.username)あります。プリンシパルには属性ユーザー名があるためですが、ここで必要なのは ID であり@RequestMapping(value = "/Etudiant/{idEtudiant}/info")、ユーザー名ではなく学生と一致させるために使用します。では、どうすれば解決できますか?どうもありがとう...チュートリアルが見つかりません。

0 投票する
1 に答える
248 参照

iphone - Paypalの事前認証をiPhoneアプリに統合するには?

名前の値の非表示変数 payment-action=authorization を使用して、pay-pal 事前承認機能の支払いフォームを Web サイトに統合できます。iPhone アプリでこのペイパルの事前承認機能を実現するにはどうすればよいですか? iOS の支払いアクションの変数は何ですか?

0 投票する
0 に答える
740 参照

spring - 事前認証の問題

こんにちは、私は私のプロジェクトで大きな問題を抱えています。

認証に Java EE Security を使用し、Spring Pre Authentication を使用した承認に Spring Security を使用するようにプロジェクトを構成しました。

Java EE ログイン後、アプリケーションは事前認証フィルター クラスに到達し、そこで付与された権限を設定します。しかし、その後、ホームページに移動せずに、アプリケーションによって、Java EE コンテナー セキュリティを介して再度ログインするように求められます。2 回目にログインすると、アプリケーションのホームページに移動します。この 2 回目のログインをなくしたい。

UIにvaadinを使用しています。以下は私のクラスです

0 投票する
1 に答える
4518 参照

spring - 複数のカスタム フィルターとロールを使用した Spring セキュリティ

2 つのフィルターで Spring セキュリティを使用しています。 - クライアント証明書の x.509 認証用の 1 つのフィルター。彼のフィルターは、原則として証明書からユーザー名を抽出するだけです。- ヘッダー ベースの認証を行う 1 つのフィルター。ヘッダーには、ユーザー名とロールが必要です。このフィルターでは、プリンシパルがセキュリティ コンテキストに既に存在することを確認します。存在する場合は、ヘッダーの内容と一致することを確認します。次に、ヘッダーからロールを抽出し、付与された権限を設定します。ロールにアクセスできるようにしたいURLパターンがあります-「ROLE_USER」

ここに問題があります。リクエストは最初のフィルター (X.509) にのみヒットし、このヘッダーには明らかに役割がなく、Spring セキュリティによってアクセスが拒否されます。

フィルターの順序を切り替えることはできません。これを行うと、Spring によって提供される X.509 フィルターは単にプリンシパルが既に存在していることを認識し、役に立たないことは何もしないためです。

すべてのフィルターが処理されるまで役割チェックを延期する方法はありますか? または、私がやろうとしていることを達成するための他の方法。

これが私の春のセキュリティ設定です:

x509Filter は、次のように構成された標準のスプリング セキュリティ フィルターです。

必要に応じてスクラブされた customHeaderFilter を提供できますが、この時点ではコントロールがフィルターに到達することはないため、フィルターで何が起こるかは重要ではありません。

ヘルプ/ガイダンスをいただければ幸いです。

0 投票する
1 に答える
693 参照

gwt - Spring Security X.509 事前認証

X.509 証明書で Spring Security 2.x の事前認証を使用しています。

certificateTextビアを取得しHttpServletRequest.getAttribute("CERTIFICATE")ます。

時々、上記の呼び出しは""(空) を返します。HTTP セッションの有効期限が切れたときに発生すると思います。

HttpServletRequest.getAttribute("CERT")空を返す理由は何ですか?

EDIT Kerberos では、たとえば、すべての HTTP 要求でチケットを使用できます。証明書は常に X.509 HTTP 要求にあるとは限りませんか?