問題タブ [spring-security]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票する
4 に答える
17328 参照

spring-security - Spring security - フォームベース認証と基本認証の両方に言及する方法

other をオーバーライドせずに名前空間構成を使用して、Spring セキュリティでフォームベース認証と基本認証の両方に言及することは可能ですか? アプリケーションがブラウザベースのリクエストとリモートクライアントの両方に対応できるようにします。

0 投票する
1 に答える
1111 参照

java - Pentaho Acegi セキュリティ フレームワーク ダイジェスト認証と Ruby on Rails

現時点では、ユーザーを維持する Ruby on Rails アプリケーションがあり、Acegi/Spring Security を使用してユーザーを認証する別のアプリケーション (Pentaho) があります。

Acegi/Spring Security がユーザーを認証する方法を変更することができました。これで、Ruby on Rails アプリケーションのデータベースを指すようになり、フォーム ベースのログインでユーザーを正常に認証できるようになりました。

Ruby on Rails アプリケーションから Pentaho の Acegi/Spring Security にユーザーを転送し、ログイン フォームに記入しなくてもユーザーを認証できるかどうか疑問に思っていました。(私はCAS / SSOを使用するつもりはありません)

私はいくつかの調査を行ったところ、次のものを使用できることがわかりました。

明らかに、URL パラメーターを使用する方法は、クリア テキストのパスワードを渡すため (基本認証も同様)、HTTPS 経由でも安全ではないため、最後の解決策はダイジェスト認証です。

Ruby on Rails Web アプリケーションから、Spring/Acegi 認証を使用する Pentaho にユーザー資格情報をプッシュし、フォームに入力することなくユーザーを認証するにはどうすればよいですか?

Spring/Acegi フレームワークにどのような変更を加える必要がありますか? これを行うには、Ruby on Rails でどのようなリンクまたはメソッドを作成する必要がありますか?

どんな助けでも大歓迎です!

0 投票する
2 に答える
895 参照

grails - LDAP のみのセキュリティ システムで Grails Spring Security プラグインをオーバーライドするにはどうすればよいですか?

Swing インターフェースを備えた既存の Spring アプリケーションがあります。Spring Security を使用して LDAP システムにインターフェースし、User テーブル、Role テーブル、セキュリティ テーブルは一切ありません。Acegi プラグインを使用したいのですが、USER テーブルが必要です。プラグインをオーバーライドして、これが不要であることを示すにはどうすればよいですか。実際、認証マネージャーを構築する Swing アプリ用のセキュリティー・サービスを既にコーディングしています。この USER テーブルをバイパスして、代わりに独自のセキュリティ サービスを挿入するにはどうすればよいですか?

0 投票する
2 に答える
2982 参照

java - 春のセキュリティ、Tomcat、getRemoteUser メソッド

同じ tomcat に 2 つのアプリケーションがあります。これらのアプリケーションの 1 つは、認証にスプリング セキュリティを使用します。最初のアプリケーションにログインしたときに、メソッド getRemoteUser が 2 番目のアプリケーションで有効なユーザー名を返すようにしたいと考えています。

これを達成する簡単な方法はありますか?それを行う最も簡単な解決策を教えてください。

回答ありがとうございます

0 投票する
7 に答える
34992 参照

authentication - spring-security: 認証なしの承認

Spring Security を Web アプリケーションに統合しようとしています。認証と承認のプロセス全体を統合する限り、それは非常に簡単に思えます。

ただし、認証と承認の両方が非常に結びついているように見えるため、これらのプロセスを分割して、承認とは別に認証を取得する方法を理解するには、非常に時間がかかります。

認証プロセスはシステムの外部にあり (シングル サインオンに基づく)、これを変更することはできません。それでも、ユーザーがこのプロセスに成功すると、ロールを含めてセッションに読み込まれます。

私たちが達成しようとしているのは、Spring Security の承認プロセスにこの情報を利用することです。つまり、認証プロバイダーを介して取得するのではなく、ユーザー セッションからロールを取得するように強制します。

これを達成する方法はありますか?

0 投票する
2 に答える
356 参照

java - Spring Security not working under Windows 7

I just installed Windows 7 with NetBeans 6.5.1 and JDK 6u16. I've checked out the Web application project with SVN, which is working with Spring security. Libraries are imported, no reference problems, the same configuration worked with XP.

Here's the beginning of the exception:

Full version Here.

Please if you have any suggestions, write below! Thanks in advance!

0 投票する
4 に答える
40056 参照

java - 春のセキュリティ認証例外のjspでカスタムエラーメッセージを表示する方法

春のセキュリティ認証例外のjspでカスタムエラーメッセージを表示したい。

ユーザー名またはパスワードが間違っている場合は、

ユーザーが無効になっている場合、

このためだけに AuthenticationProcessingFilter をオーバーライドする必要がありますか? または、認証例外キーを見つけて別のメッセージを表示するためにjsp自体で何かを行うことができます

0 投票する
1 に答える
5855 参照

java - Spring Security の奇妙な点メソッド指定時

私はSpring Securityを少しいじっていて、次の奇妙な点に気づきました。

<http>セキュリティ コンテキスト XML でこのようなブロックを指定すると、 .

ブラウザでさまざまな URL にアクセスすると、すべての URL で HTTP 基本認証のポップアップが表示されるようです。

これは良いことであり、私が期待したことですが、メソッド パラメーターをインターセプト URL の 1 つに追加すると、次のようになります。

基本認証は、メソッドを明示的に設定したものを除くすべての URL でオフになっています ( /url2)。

私には少しばかげているように見えるので、これが機能するはずの方法ですか。これはバグですか?

0 投票する
4 に答える
6073 参照

java - Spring Security 子スレッド コンテキスト

そのため、Spring Security を使用してこの Spring MVC アプリケーションに取り組んでいます。コントローラーの応答に時間がかかりすぎる場合に、パフォーマンスの問題が発生することがあります。これは、一部のユーザー入力に基づいて、処理に大量のデータを取り込むことができる処理方法によるものです。

現在、私はチームと一緒にその処理方法のコードを少し調整していますが、スライスして各スライスを非同期で実行しない限り、パフォーマンスを大幅に向上させることはできないと思います。

問題は、java.util.concurrent のスレッドプールを使用して、それをスライスして子スレッドに分散しようとすると、実行時にセキュリティ コンテキストに関するエラー メッセージが表示されることです。

スタックトレースの抜粋は次のとおりです。

リクエストからスレッドを生成するのは良い習慣ではないことはわかっています... しかし、この時点でアイデアが尽きており、各ワーカー スレッドは数秒以上かかることはありません。また、この機能は 1 人または 2 人の専用ユーザーによって週に 1 回のみ使用されることが予想されます。

securityContext を子スレッドまたはそれらのスレッドの実行を許可する同様のものに渡す方法はありますか?

ありがとう

0 投票する
1 に答える
993 参照

java - @Secured は AccessDeniedException をスローしますが、ロールは正しいです

私の最初のSpring Webアプリケーションで認証関連の問題をすべて解決した後、私は承認に行き詰まっています。

注釈を使用した構成@Securedは非常に簡単なので、ここで間違いを犯したとは思いません。さらに、LDAP 認証プロバイダーを使用して Active Directory を使用しており、AD グループごとに役割を割り当てているため、これも問題ではありません。

だからここに私の問題の簡単な要約があります:

  • セキュリティで保護されていないアクションが機能する
  • 仕事を使ったアクション@Secured("IS_AUTHENTICATED_FULLY")
  • のようなものを使用したアクション@Secured("GROUP_*") は機能しません

保護されたアクションを呼び出すと、 aorg.springframework.security.AccessDeniedExceptionがスローされます。ログからの抜粋は次のとおりです。

ご覧のとおり、アクションにはGROUP_ITロールが必要であり、私のユーザー オブジェクトにはこの権限があります。この問題の原因は本当にわかりません。