Spring Security中的Role和GrantedAuthority之间的区别
Spring Security中有概念和实现,比如GrantedAuthority接口来获取授权/控制访问。 我想将其用于可行的操作,例如创建子用户或删除帐户,我允许一个管理员(拥有角色ROLE_ADMIN)进行操作。 看到在线教程/演示文稿时,我感到很困惑。我试图联系我所读的内容,但我...
在使用Spring Security时,如何以适当的方式获取bean中当前用户名(即SecurityContext)信息?
我有一个使用Spring Security的Spring MVC Web应用程序。 我想知道当前登录用户的用户名。 我正在使用以下代码片段。 这是被接受的方式吗? 我不喜欢在控制器内调用静态方法-这破坏了Spring的整个目的,依我看来。 是否有一种方法可以配置应用程序以注入当前Securi...
基于Spring的RESTful认证
问题: 我们有一个基于Spring MVC的RESTful API,其中包含敏感信息。API应该是安全的,但每次请求时发送用户的凭据(用户名/密码组合)并不可取。根据REST指南(以及内部业务要求),服务器必须保持无状态。该API将以混合风格的方式被另一个服务器消耗。 需求: 客户端使用...
Spring Security 过滤器链的工作原理
我知道Spring security是建立在一系列过滤器的基础上的,这些过滤器将拦截请求,检测(缺少)身份验证,重定向到身份验证入口或将请求传递给授权服务,并最终让请求命中servlet或抛出安全异常(未经身份验证或未经授权)。DelegatingFitlerProxy将这些过滤器粘合在一起。...
主题、用户和主体之间的含义和区别是什么?
在安全框架的背景下,经常出现几个术语:主题、用户和主体,但我无法找到它们的清晰定义和区别。那么,这些术语到底是什么意思,以及为什么需要区分主题和主体?
如何在Spring中处理过滤器抛出的异常?
我想使用通用的方法来管理5xx错误代码,具体来说是当整个Spring应用程序中的数据库停止时。我希望得到一个漂亮的错误JSON而不是堆栈跟踪。 对于控制器,我有一个@ControllerAdvice类来处理不同的异常,这也会捕获在请求过程中数据库停止的情况。但这还不够。我还碰巧有一个自定义的C...
如何修复Hibernate LazyInitializationException:无法延迟初始化角色集合,无法初始化代理 - 没有会话
在我的Spring项目中的自定义AuthenticationProvider中,我正在尝试读取已登录用户的权限列表,但是我遇到了以下错误: org.hibernate.LazyInitializationException: failed to lazily initialize a col...
Spring Security在Wildfly上:执行过滤器链时出现错误
我正在尝试将 Spring Security SAML 扩展 与 Spring Boot 集成。 关于这个问题,我已经开发了一个完整的示例应用程序。其源代码可以在 GitHub 上获取: spring-boot-saml-integration on GitHub 通过将其作为 Sp...
Spring 3.0 - 找不到用于XML模式命名空间[http://www.springframework.org/schema/security]的Spring NamespaceHandler
您有什么想法,可能是什么原因导致这个问题出现? 无法定位 Spring NamespaceHandler 的 XML schema 命名空间, [http://www.springframework.org/schema/security] org.springframework.we...
使用Spring Security进行单元测试
我们公司正在评估Spring MVC,以确定是否应该在我们的下一个项目中使用它。到目前为止,我喜欢我看到的内容,现在我正在查看Spring Security模块,以确定它是否是我们可以/应该使用的东西。 我们的安全要求非常基本;用户只需要提供用户名和密码即可访问网站的某些部分(例如获取有关其...