問題タブ [spring-security]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
xml - Spring 構成タグに含まれる XML パラメーターをどのように知ることができますか?
次の Spring Security XML 構成を示す記事を読んでいたところです。
password-encoder が SHA-256 を使用するパラメータの組み合わせを使用できるかどうか疑問に思いました。ShaPasswordEncoderの Java コンストラクターは簡単に見つかりましたが、password-encoder タグが Java オブジェクトの引数を取るかどうかはどうすればわかりますか?
一般に、Spring 構成のタグとパラメーターが何であるかをどのように知ることができますか?
たとえば、どの ShaPasswordEncoder が "password-encoder" と一致するか (実際に一致する場合) をどのように知ることができますか?
passwords - Acegiパスワード暗号化
ユーザーの登録と認証にacegigroovyプラグインを使用しています。プラグインに付属するUserドメインクラスには、次の定義(およびコメント)があります。
}
等々。したがって、パスワードの暗号化方法はMD5であると想定しました。
何千人ものユーザーを登録し、ユーザーごとにランダムなパスワードを生成する必要があります。(ユーザー名はすでに指定されています)。
ランダムな-plain-パスワードとMD5暗号化パスワードを生成し、それぞれをDBに挿入するスクリプトを作成しました。残念ながら、これらのユーザーは誰もログインできません。
acegiセキュリティプラグインはMD5暗号化を使用していますか?
他のものを使用しているようです。残念ながら、ドキュメントには何も見つかりませんでした。
この暗号化がどのように行われるか知っている人はいますか?
ありがとう!
ルイス
java - acegi ntlm 方法は?
ldap acegi-security-1.0.2.jar を使用するアプリケーションがあります。Active Directory でユーザーを認証できました。アプリケーションに NTLM 自動ログイン機能を追加したいと考えていました。これを行うには、追加のacegiライブラリが必要ですか?これに関するacegi + nltmの例はありますか?
grails - PersistentTokenBasedRememberMeServices での CookieTheftException
OpenIDAuthenticationProcessingFilter と組み合わせて、GrailsアプリでPersistentTokenBasedRememberMeServices (Spring Security 2.04) を使用しています。構成は次のとおりです (これはSpring resource.xml に相当するGrails のDSL ですが、非常に簡単に適応できるはずです)。
ユーザーが認証された後、たとえばコンテナーの再起動後など、ユーザーに発行された Cookie が初めて使用されるまで、すべて問題ありません (こちらを参照)。
Cookie を使用した最初のリクエストは常に問題ないように見えますが、Cookie が新しい日付と最も重要な新しいトークンで更新された後、後続のリクエストはhere でクラッシュします。あたかもブラウザが古いトークンを含む古いバージョンの Cookie を使用して引き続きリソースを要求するかのように。なぜこれが起こるのか、私は完全に困惑しています。助言がありますか?
spring - filterclass を applicationContext に追加する方法は?
通常はweb.xmlに入れるフィルタークラスがあります。私のfitlerclassで春の機能を使用できるように、春のアプリケーションコンテキスト内でそれを指定する方法を知っていますか?
spring-security - サーバーの再起動後、ユーザーは認証を求められません
アプリケーションにはSpringセキュリティが使用されています。Spring セキュリティは、Bean 宣言の方法で構成されています。
問題は次のとおりです。アプリケーションにログインし、いくつかのページを閲覧し、サーバーを再起動しました (ただし、ブラウザーを閉じませんでした)。サーバーを再起動した後、他のページに正常に移動できました。他のページに移動する前にすべての Cookie を削除するため、ブラウザーのキャッシュではないと確信しています。
なぜこのようなことが起こるのですか?これはデフォルトの動作ですか? サーバーの再起動後に認証を強制するにはどうすればよいですか?
java - @セキュアなサービス方法と春のWS
次のプロジェクト構造があります。
ベース プロジェクト (サービス層、モデル) web プロジェクト webservice プロジェクト
ここで、Web プロジェクトと Web サービス プロジェクトの両方が基本プロジェクトに依存し、それによって提供されるサービスを使用します。
私は Spring Framework を多用しています。つまり、サービスは@Secured Annotation とSpring Securityによって保護されたメソッドを持つ Spring Beanです。クライアントのアクセス許可をチェックする AbstractAclVoter を拡張するVoterを作成しました。
Web プロジェクトは、Spring MVCと、@EndpointアノテーションおよびXwsSecurityInterceptorを備えた Web サービス プロジェクトSpring WSを使用します。
これが私の問題です:
呼び出しが Web プロジェクト コントローラーまたはベース プロジェクトの JUnit テストで行われた場合、パーミッションはチェックされますが、Web サービス プロジェクトからのリクエストは正しいパーミッションについてチェックされません - 私の投票者は呼び出されません!
- これはXwsSecurityInterceptorと関係がありますか?
- Web サービス プロジェクトにもDelegatingFilterProxyが必要ですか? (すべてが MessageDispatcherServlet 構成によって構成されているため、 ContextLoaderListener はありません)
security - Spring セキュリティ - taglib と jsp では SecurityContext.authentication null が、コントローラでは問題ありません
私はしばらくの間、この問題に苦労してきました。それに関するいくつかの投稿が見つかりましたが、私の問題を解決したものはありませんでした。おそらく、SecurityContext が特定の Thread にバインドされているという事実と関係がありますが、それでも解決方法がわかりません。
ログインしたユーザーを取得するには、次のコードを検討してください。
コントローラーでこのコードを実行すると、(正しく) ログインしたユーザーが返されます。このコードを taglib または jsp から実行すると、NPE (authentication = null) がスローされます。スプリングタグも機能しません(おそらく同じ理由で)。
web.xml から抽出:
春のセキュリティ構成ファイルから抽出します。
gwt - gwt&gwt-インキュベーター-セキュリティ
gwt-incubator-securityとAOPを使用してSpringSecurityを実装する方法について誰かが私にヒントを教えてもらえますか?私は彼らのウィキページで説明されているようにすべてをやろうとしましたが、それでも効果はありませんでした。PRC通話を安全にする方法に興味があります。
java - 再起動後にTomcat永続セッションをセッションレジストリに復元しないSpring?
Tomcat6.2とSpringMVC2.5を使用しています。ユーザーがログインしている間、Tomcatを再起動でき、ユーザーは再認証せずにブラウジングを続行できることに気付きました。これは、再起動後もセッションを永続化するTomcatの機能に起因しているようです。
ただし、これらの永続化されたセッションは、Springセッションレジストリに戻らないようです。再起動前にセッションレジストリからユーザーのセッション情報を取得すると、情報が返されます。セッションレジストリにはユーザーに関する情報がありませんが、再起動を投稿してください。
再起動後にSpringがこれらの永続化されたTomcatセッションを復元できるようにするいくつかの構成を見逃しましたか?それができない場合、sessionInformation.expireNow()を呼び出さずにユーザーをWebアプリケーションから追い出す方法はありますか?