在Spring安全性中使用LDAP身份验证返回cookie或令牌
,可以通过以下步骤实现:
- 配置LDAP服务器连接:在Spring的配置文件中,配置LDAP服务器的连接信息,包括服务器地址、端口号、用户名、密码等。
- 配置LDAP身份验证:使用Spring Security提供的LDAP身份验证功能,配置LDAP的基本信息,如LDAP服务器的根节点、用户搜索过滤条件等。
- 实现身份验证逻辑:编写自定义的身份验证逻辑,通过LDAP服务器验证用户的用户名和密码是否正确。可以使用Spring Security提供的LDAP模板类来简化LDAP操作。
- 返回cookie或令牌:验证成功后,可以生成一个包含用户信息的cookie或令牌,并将其返回给客户端。可以使用Spring Security提供的Token-based Remember-Me功能来实现。
LDAP(Lightweight Directory Access Protocol)是一种用于访问和维护分布式目录服务的协议。它提供了一种标准的方式来管理用户、组织结构和其他资源的信息。LDAP身份验证是一种常见的身份验证方式,特别适用于大型组织或企业。
LDAP身份验证的优势包括:
- 集中管理用户信息:LDAP可以将用户信息集中存储在一个目录服务中,方便管理和维护。
- 高效的身份验证:LDAP使用索引和缓存等技术,可以快速验证用户的身份。
- 可扩展性:LDAP支持分布式部署,可以根据需要扩展服务器的容量和性能。
LDAP身份验证在以下场景中得到广泛应用:
- 企业内部系统:LDAP可以用于企业内部系统的用户身份验证,如企业门户、邮件系统等。
- 协作平台:LDAP可以用于协作平台的用户身份验证,如企业内部的Wiki、论坛等。
- 电子商务网站:LDAP可以用于电子商务网站的用户身份验证,如用户注册、登录等。
腾讯云提供了一系列与云计算相关的产品和服务,包括云服务器、云数据库、云存储等。在使用Spring安全性中使用LDAP身份验证返回cookie或令牌时,可以考虑使用腾讯云的云服务器和云数据库来搭建应用程序的后端环境。具体的产品和产品介绍链接地址可以参考腾讯云的官方网站:https://cloud.tencent.com/
相关·内容
我有一个Java spring后端,它使用LDAP作为用户帐户,使用spring安全性进行身份验证。
我还使用SpringSecurityOAuth2进行客户端身份验证,并使用JWT对客户端进行身份验证。
使用该JWT,如何使用NodeJS解密JWT并检索数据库中的会话信息(用户和角色)?
我也有一个X-XSRF-TOKEN,我想我需要验证(cookie)。
有可能吗?
浏览 2提问于2018-06-14得票数 1
回答已采纳
我正在实现三种类型的身份验证机制,即SAML和两种自定义身份验证。因此,我如何实现基于报头的过滤器--它将检测身份验证类型,并将其路由到适当的身份验证机制。
SAML:在SAML的情况下,如果cookie的密钥为saml,则必须进行SAML身份验证。在SAML身份验证中,每当用户登录时,我都会在浏览器中插入名为saml的cookie,对于进一步的请求,我需要传递saml cookie值并检查身份验证是否有效,从而调用REST。
Custom authentication:如果cookie密钥具有token1或token2,则执行自定义身份验证,这涉及通过传递令牌调用Rest并检
浏览 5提问于2021-01-27得票数 2
1回答
Spring和
、、、
你好,我是春季和春季的新保安。目前,我正在春季编写rest。根据spring提供rest。rest是无状态的,因此我们不能创建rest会话。因为它是无状态的,如果我们这样做,那么它就违背了其余的设计。所以我的问题是,我们永远不能在服务器端维护用户的状态吗?,我们能维护它客户端吗?如何??在security中我们登录并获得当前用户使用的原则。春rest身份验证中的情况相同。因此,在rest的情况下,所有需要的都是当前登录的用户?.if,spring是无状态的,那么spring安全如何维护当前登录的用户。我读了一些关于spring的内容,通过它我们可以使用基于令牌的身份验证,在其中我们可以发送用户
浏览 4提问于2017-10-01得票数 0
如何配置Maven配置文件(在settings.xml文件中)以在SonarQube中创建报表,该报表使用LDAP对用户进行身份验证。我想从我的本地机器执行一个Maven命令:
mvn org.sonarsource.scanner.maven:sonar-maven-plugin:3.0.2:sonar -Psonar
如何修复配置文件“声纳”在SonarQube中通过LDAP身份验证的用户和密码?
<profile>
<id>sonar</id>
<activation>
<activeByDefault
浏览 2提问于2017-02-02得票数 1
我有一个Grails应用程序,它成功地使用了最新的spring-security-core:2.0-RC4和spring-security-ldap:2.0-RC2.用户可以完美地使用grails.plugin.springsecurity.ldap.search.base设置进行LDAP登录身份验证。
rememberMe userDnBase (映射器)有一个不同的设置,该设置是:
LDAP身份验证grails.plugin.springsecurity.ldap.search.base设置为ou=people、dc=sitcudy、dc=edu。如上所述,登录工作正常,因为有一个名为se
浏览 0提问于2014-11-06得票数 1
我试图在Spring中创建REST和web/MVC应用程序。它们都应该使用相同的服务层。我是否可以在Spring中使用两种完全不同的配置( API的令牌身份验证,web的cookie,web的404页,等等)?还是应该创建两个独立的Spring应用程序?
浏览 4提问于2019-11-15得票数 6
回答已采纳
我使用Spring security对登录进行身份验证,我在securityContext.xml中配置了Spring security
<http auto-config="false" use-expressions="true">
<intercept-url pattern="/**" access="hasRole('ROLE_DEV-TEAM')" />
<intercept-url pattern="/customerMgt/customers/
浏览 1提问于2015-12-16得票数 0
我正在尝试将一个zuul网关转换为spring云网关,以前我们从UI中发送了带有会话id (keycloak)的cookie,zuul会自动验证请求并发送到微服务,但是在Spring的情况下,我们将身份验证对象作为空
有人能给出主意吗?从
ReactiveSecurityContextHolder.getContext()
ReactiveSecurityContextHolder.getContext()
.map(SecurityContext::getAuthentication)
.doOnNext(auth -> log.debug("Authentic
浏览 3提问于2022-11-08得票数 0
1回答
我正在用Spring构建一个站点,它需要身份验证才能访问某些页面。
该站点实际上由一个呈现视图和处理数据绑定的客户端主机和一个REST主机(也是用Spring构建的)组成,它的责任是返回/操作数据、验证/生成用户令牌等。
我决定在REST端实现自定义身份验证,在接收到有效的用户名和密码后,它将返回:
由REST用AES-256签名的JWT,有效载荷将包含用户id和到期日期。
JWT存储在cookie上,它仅是HTTP,安全,并且只从客户端站点域有效(它足以对抗csrf攻击吗?)
我能想到的唯一后门是,如果攻击者窃取了cookie,我就可以为该cookie向JWT有效负载添加一个唯一的随机值(存
浏览 0提问于2017-03-28得票数 2
回答已采纳
2回答
我需要创建一个基于LTPA的sso(单点登录),有没有一种方法可以使用tomcat服务器接受LTPA令牌,或者spring安全可以解密LTPA令牌并授权用户。我可能到处都找过了,但是没有解决办法, 如何配置spring安全以使用WebSphere LTPA身份验证?spring security和LTPA通过身份验证后,如何在cookie中设置/从cookie中获取LTPA令牌? 提前谢谢。
浏览 34提问于2020-10-12得票数 2
我能够使用spring data ldap模块创建用户,当我尝试使用userid和password进行身份验证时,它给出了错误。我的猜测是,当创建用户时,ladp正在对密码执行一些加密,并将其保存到ldap树中。我怎么知道ldao使用的是哪种加密。我已经看过一些如何使用spring-security-ldap对用户进行身份验证的示例,我需要使用spring-data-ldap的帮助。任何想法都将受到感谢。
谢谢
浏览 21提问于2019-07-10得票数 0
2回答
在我的当前项目中,我必须实现LDAP身份验证。我使用的是JSF2.2、primefaces和Spring4.0以及Spring core 1.3.2和security ldap-3.2.0。以下是我为达到以下目标所做的工作:
Spring-Ldap.xml
<bean id="contextSource" class="org.springframework.ldap.core.support.LdapContextSource">
<property name="url" value="ldap://mumcXXXX
浏览 7提问于2014-02-04得票数 4
我在使用Spring Security为我的无状态应用程序反序列化cookie时遇到了问题。 调用https://localhost:8080/login并成功地进行身份验证后,会生成一个包含JWT令牌和一些其他字段的cookie,特别是Secure、HttpOnly、SameSite=None。例如,它看起来是这样的(token只在本地工作,过期了,不包含有用的信息,可以随意窃取): token=eyJhbGciOiJIUzUxMiJ9.eyJ1c2VySWQiOiI2NzA1ZTk1YS1hOTgzLTRiMDItYmVjOC01ZGFkNDM0MzY0NzAiLCJleHAiOjE2M
浏览 31提问于2020-12-28得票数 1
嗨,我正在寻找一个经过验证的java安全web库,它比著名的框架spring-security和apache shiro更低级,因此侵入性更小。
只是一些具有最佳实践实用程序的东西-apis,例如,用于编码remember-me cookie或用于最困难的身份验证,访问ldap。所有的sutff在上述框架中非常有用,但不需要遵循框架、过滤器和插入、应用程序上下文或另一个ini文件等。
浏览 0提问于2011-07-27得票数 1
回答已采纳
1回答
这是我第一次尝试spring安全和ldap。我有几个新手的问题。我的主要困惑是:
我们如何为用户分配角色?在ldap服务器上完成了吗?还是通过我的webapp中的配置文件完成?我的意思是,有两个用户可以访问webapp功能(Admins)、常规用户(对webapp数据的只读访问)、Analytic组(可以在webapp中运行报表)。
目前,应用程序使用j_security_check对ldap服务器进行正常用户身份验证。( Websphere在哪里,我们应该在哪里连接ldap连接设置以进行身份验证?)
浏览 2提问于2011-06-25得票数 1
回答已采纳
我在企业内部网上公开了一个基于REST的API,以同时支持web应用程序和其他服务。对于web应用程序,基于cookie的解决方案符合我的要求。而对于其他服务,基本身份验证就足够了。
但诀窍是,用户是根据ldap进行身份验证的,我不希望每个服务调用都访问ldap服务器。我想知道对于这种情况是否有任何最佳实践。
我正在使用Spring (3.2)和其他常见的疑似工具,Spring Security,MVC,Hibernate……
Ldap身份验证有点麻烦,所以我使用自己的东西,也许我可以在其中引入某种类型的缓存。
浏览 0提问于2014-04-28得票数 0
我尝试使用cookie来实现身份验证(对于我的android客户端应用程序),基于本文-。
SecurityConfig:
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
private final static String TOKEN_STRING = "my_token";
private final static String COOKIE_STRING = "my_cookie";
浏览 7提问于2015-08-19得票数 6
回答已采纳
我们有一个批处理过程和4个通过REST端点调用的Spring微服务。每个微服务都有LDAP身份验证。运行批处理时,LDAP身份验证需要80%的时间,这会显著减慢数据加载过程。是否有简化身份验证的建议?目前,我们使用LDAP身份验证。
浏览 11提问于2018-01-10得票数 1
新手问题所以请耐心听我说。
目前,我有一个Grails 2.4.4应用程序,它使用spring-security-LDAP2.0.1通过OpenLdap服务器对授权用户进行身份验证。
LDAP人员担心,如果不缓存此应用程序,在迁移到生产环境时可能会影响LDAP服务器的性能。他们建议考虑使用Redis作为用户的应用程序级缓存,b4命中LDAP服务器。
在深入POC之前,我想了解一些方向,请确保我从正确的路径开始:
i)我简单查看了Grail org上的“Grails 1&2 plugins”,当我搜索Redis时,出现了几个插件……哪些(哪些)实际上与我正在尝试实现的目标相关?
ii)假
浏览 2提问于2018-05-02得票数 9
1回答
只是有一些一般性的问题,你可以期望的安全水平时,使用护照的应用程序的认证;
目前,我正在使用MongoDB、Express、React和Node.js堆栈设计我的第一个应用程序。在没有多少关于网络安全的先验知识的情况下,我已经做了相当多的关于身份验证和什么类型的攻击可以发生在我的网站上的研究。我选择在passport.js npm包中使用基于cookie的身份验证系统,并且我设计了/login路由以要求用户的密码和用户名首先传递一个passport.authenticate('local',.)创建会话和cookie之前的中间件设置。
为了在我的react应用程序中持久化当前用
浏览 3提问于2020-07-10得票数 1
我们有几个Grails应用程序,它们使用一个共享插件,这些插件为它们提供了基本的安全性。我们将在将来添加其他类型的身份验证,因此出现了使用Security插件的想法。然而,我想知道它是否对我们的基本需求来说太强大了。
目前,我们使用在访问任何URL之前运行的Grails过滤器,并执行安全检查。初始身份验证是通过查找特定的加密POST变量或cookie (从另一个封闭源应用程序发送)并在解密后验证数据库中的细节来处理的。如果所有的内容都签出了,我们就会考虑用户登录(并从加密的数据中获得他们的数字用户ID )。所有的用户都有相同的访问权限,除了少数几个拥有更大访问权限的用户。它们是在一个包含数字I
浏览 5提问于2014-06-28得票数 1
回答已采纳
3回答
我需要为Webpshere门户提供SSO。身份验证过程需要由PHP站点处理(该站点本身应该通过LDAP根据Active Directory对用户进行身份验证-我想我已经介绍了这一点)。有人告诉我需要创建一个LTPA cookie。我该怎么做呢?需要设置哪些信息?Websphere是否能够读取此cookie并向用户授予访问权限?
浏览 1提问于2009-02-03得票数 2
1回答
我们有一个完全工作的后端登录POST服务,使用Security实现,以及Spring和Spring会话。用户需要登录才能访问其他服务。登录操作可以工作,限制/允许访问其他服务的机制也是如此。这已经用Postman进行了测试,它“足够聪明”,可以在连续的请求中保留会话cookie。
现在,我们正在努力建立客户的反应。在使用浏览器的调试时,我们可以看到会话cookie是在响应头中发送的,没有问题。我们试图从头获取会话cookie,并将其存储到连续的请求中,但它不起作用。在调查时,我们学习了,而不是从代码中读取响应头,正如和所解释的那样。
我们的登录操作应该重定向到/customer/home,它在
浏览 1提问于2019-01-18得票数 1
我以前使用的是基本auth,但我需要使用Ping Access切换到联邦auth。已经对用户进行了身份验证,并且在请求头中发送了用户名和令牌。如何使用spring安全性将用户名链接到ldap用户主体?
浏览 4提问于2018-08-13得票数 2
回答已采纳
我正在寻找在应用程序中执行身份验证的方法,这些方法主要使用RESTFUL API。我特别指的是普通的堆栈应用。在这里,后端(Node + express)和前端(Angular)完全解耦,没有任何联系。
我执行身份验证的方式是: 1.当用户第一次登录时,服务器在HTTP消息的x-access-token头中包含加密形式的userid。然后,对于所有后续请求,服务器将检查令牌的请求头
var token = (req.body && req.body.access_token) || parsed_url.access_token || req.headers['x-a
浏览 2提问于2014-08-12得票数 0
1回答
向WCF服务进行身份验证
、、、
关于如何做到这一点,似乎有太多的资源,但我还没有真正能够找到任何东西来确切地做我想做的事情。我正在尝试创建一个WCF web服务,它需要用户进行身份验证才能执行任何操作(调用方法、查看WSDL等)。身份验证将是我编写的用于连接到我们的LDAP服务器的自定义部分。我希望使用表单身份验证,因为我不希望客户端在每次请求时都必须重新进行身份验证。我希望服务只发送一个表单身份验证票证cookie到客户端,客户端可以发送回未来的请求(对于不支持cookie的客户端环境,例如移动应用程序,我可以处理这一点)。但是,在服务端,我需要能够在内存中存储每个用户的数据,这些数据保存了用户身份验证组的缓存副本(以避免
浏览 0提问于2011-05-20得票数 5
回答已采纳
有趣的话题。由于我使用Node.js Api和Redux创建了我的第一个真正更大的项目,所以我需要身份验证。
现在我不知道如何以“正确的方式”处理身份验证。
因为我读了很多关于它的话题,但是它们不同。
因此,最初有人会立即说:不要在JWT.中使用localStorage
例如,这里有一篇文章:
以下是auth0的另一篇文章:
但后来我深入到了广泛的认证世界,我发现许多人说:
"localStorage和cookie一样安全“
例如,在第一篇文章中,第一条评论,第三条回复(以下是链接: )
我是说他说得对吗?在阅读了这篇文章以及其他一些文章和评论之后,他们说,如果你不是一家拥有非
浏览 1提问于2019-05-29得票数 10
1回答
我已经读了好几个月了,看起来整件事都可以集中在我下面总结的内容上。我正试图达到最理想的境界:
OAuth2
OpenID连接
水疗中心/移动客户
JWT
以上部分涉及到具有银行级安全质量的解决方案。所以这似乎是有意义的。
在不使用服务器端会话和cookie的情况下使用,因为这个OAuth流比隐式流更安全。
不要创建服务器端会话或cookie(此外,请记住我的cookie,以确定客户端以前是否已经过身份验证)。这是更好的缩放和整体简单性。
将JWT / OpenID连接令牌返回到客户端,以便客户端可以使用它来发出API请求并在客户端内作出授权决策。(我认为这就
浏览 1提问于2017-10-06得票数 5
回答已采纳
1回答
这里有Spring应用程序--服务器生成HTML,客户端不是SPA (也就是说,这不是任何形式的API )。
在身份验证期间,将生成JWT令牌并将其返回给客户端。在授权期间,服务器验证JWT令牌。
如何在客户端存储JWT令牌并将其传递给服务器?记住,这是Spring应用程序,而不是SPA。
我试图搜索任何示例,但唯一的发现与REST身份验证无关,这与本例完全无关。
在最坏的情况下,我们可以从JavaScript执行身份验证,并将JWT令牌存储在缓存/cookie中。但是Spring可能支持这一点,我们只需要在配置中设置一些复选框:-)
浏览 1提问于2019-05-15得票数 5
回答已采纳
我编写了一个小部件应用程序,它与API通信以创建、帐户和登录。这需要嵌入到客户端的页面中,以添加我们的功能。
这很好,我可以在本地存储或cookie中存储API的凭据。
我不知道如何做的是让我们的终端用户登录多个网站?
其思想是,他们将保持他们的身份验证状态,以便我们的服务可以继续工作,无论他们遇到它。有人有做这种事的经验吗?
浏览 0提问于2018-05-06得票数 0
回答已采纳
例如双因素身份验证、第三方OAuth、连接到LDAP。
我已将上述安全性添加到Wso2 Identity Server中。但请帮助我实现与Wso2企业服务总线相同的功能。
谢谢
浏览 0提问于2016-05-26得票数 0
1回答
我对基于令牌的身份验证的理解是,在身份验证(可能是通过ssl)时,会将令牌传递给用户,以便即时进行廉价的用户验证。这样做的一个实现是生成一个cookie,该cookie被传递给用户以进行会话管理。
但是,我的理解是,基于令牌的身份验证(至少通过cookie)容易受到中间人攻击,如firesheep。
有没有其他的实现方法可以避开这个主要的安全问题,或者我对tba有根本的误解?
浏览 1提问于2011-01-13得票数 6
回答已采纳
1回答
我需要检查浏览器cookie (以及id - password)以确定用户是否有效。当用户激活帐户时,我在浏览器中设置了cookie。在登录时,我需要检查cookie以及凭据。我使用spring security (daoAuthenticationProvider)进行身份验证。我正在使用代码设置cookie:
public void setCookie(String token, HttpServletRequest request, HttpServletResponse response) {
try {
Cookie cookie = new Cookie(c
浏览 0提问于2013-04-18得票数 0
回答已采纳
我有一些WebSphere实例,活动目录已经为其连接以进行LDAP身份验证,而另一些实例则没有。
我有一个servlet来处理身份验证。它调用httpServletRequest.getRemoteUser()并检查这是否为null。这在部署到支持LDAP的服务器上时有效,但在未启用LDAP的实例上(如开发人员工作站),这意味着用户永远不会通过身份验证。
如何以编程方式检查容器中是否启用了LDAP?
浏览 0提问于2012-01-03得票数 0
回答已采纳
我正在尝试通过LDAP服务器(从我的RN应用程序)对我的用户进行身份验证(我已经找到了一个尝试身份验证,而且它是有效的!)每次收到用户的凭据(用户名和密码)时,我都可以使用Firebase创建一个自定义令牌,并将其保存在Firebase实时数据库中。
主要的问题是我不知道如何将我的应用程序连接到LDAP服务器,我调查并发现我必须安装类似或的东西,但我不明白如何进行身份验证,我的猜测是:
我的RN应用程序中的用户登录
RN应用程序向Firebase发送凭据
Firebase创建自定义令牌(使用Firebase函数生成自定义令牌)
Firebase将自定义令牌返回给RN应用程序。
浏览 1提问于2019-01-05得票数 3
回答已采纳
在REST春季引导中,授权和用户身份验证的最佳实践是什么?
我正在用标准页面+ REST为移动工具构建web应用程序。我看了很多关于Spring安全性的文章,基本上其中大部分都使用了某种允许或阻止REST调用的fitler方法。然而,在我的例子中,我有一些基于用户身份的逻辑。例如,有一个更新用户信息的/update API,用户可以自己更新,但不能更新其他人。最初,我想使用下一个auth模式:
用户调用auth API并传递名称/密码或cookie。
系统产生短寿命令牌,保存在其数据库中。
用户获得这个令牌,更新他的cookie (这样web应用程序中的JS就可以读取和使用它)
浏览 2提问于2014-12-25得票数 6
回答已采纳
即将到来的问题的座右铭是“我不知道我不知道什么”。我想知道身份验证实现是否存在不利因素或安全风险。
现在,我只将一个JWT存储在一个HTTP cookie中,以便将它从客户机(React应用程序)发送到服务器(Spring /Kotlin应用程序)。这消除了XSS漏洞。
JWT遵循基本原则(编码秘密、过期日期、发行者检查等)。服务器有servlet过滤器,用于检查每个请求的有效性。当通过客户端登录时,服务器使用有效的JWT进行响应:
📷
客户端将在每个请求中发送其cookie,服务器的servlet过滤器将进一步检查每个请求的有效性。当这些检查为阳性时,用户将通过Security进行身份验证。
浏览 0提问于2021-05-26得票数 2
回答已采纳
1回答
我正在尝试创建一个安全模块,该模块将根据LDAP检查用户凭据(登录时)和成功登录时生成一个JWT,以便向服务器提出进一步的请求。
目前,我的模块的工作方式如下:我有3个rest端点来提供不受保护的身份验证(登录、验证JWT、注销),因为任何人都必须能够访问这些端点,并且还有一个userUpdate端点通过JWTAuthenticationProvider安全保护。
所有关于JWT的东西都准备好了,现在我只需要创建一个方法来签入LDAP,如果用户和密码是正确的话。但我很难理解我该怎么做
我已经有了主用户并将其传递给ldap,但我发现的大多数关于ldap身份验证的示例都是使用spring安全性的
浏览 2提问于2017-04-25得票数 0
4回答
我在Auth0站点上阅读有关的文档,它们声明不能安全地存储在浏览器中,而是使用沉默身份验证来检索新的访问令牌。
单个页面应用程序(通常实现隐式拨款)在任何情况下都不应获得刷新令牌。其原因是这条信息的敏感性。您可以将其视为用户凭据,因为刷新令牌允许用户基本上永远保持身份验证。因此,不能将此信息保存在浏览器中,必须安全存储。
我很困惑。据我理解,检索新访问令牌的唯一方法是向Auth服务器提交一个新请求,以及某种形式的Auth0会话cookie,以验证登录的用户。在接收到会话cookie之后,Auth0服务器将能够发出一个新的访问令牌。
但是,这与浏览器中或本地存储中有一个刷新令牌有什么不同
浏览 3提问于2018-03-15得票数 31
1回答
我在为android编写应用程序。
我用过SpringBoot、SpringData JPA和Retrofit来连接安卓和TomCat。我试图在我的Android应用程序中使用Spring Security进行身份验证。
我的要求是,一旦对用户进行了身份验证,就会发送令牌用于后续调用。
请你给我举个例子,我要做些什么。
浏览 3提问于2017-11-24得票数 0
回答已采纳
目前,我的应用程序中只有一个身份验证机制,即使用LDAP进行身份验证和授权。我的安全配置如下所示
@Configuration
@EnableWebMvcSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.csrf().disable()
.authorizeRequests()
浏览 7提问于2014-09-11得票数 30
回答已采纳
2回答
我需要保护我的spring引导应用程序,这就是我所拥有的:
一个春季引导应用程序,它公开了一些rest。
与公开的apis进行通信的前端。
前端发送用于身份验证的自定义令牌。
存储自定义令牌的数据库。
因此,基本上,我的前端将向我的spring引导应用程序发送rest请求以及auth令牌,而我的spring引导应用程序将查询数据库以查看auth令牌是否有效。
这个身份验证应该适用于我的spring引导应用程序中的所有控制器。对于每个rest请求,是否有一种不显式地将身份验证放置在每个控制器中的默认方法?
我知道spring引导web安全特性,但是关于如何使用这些自定义令
浏览 1提问于2018-04-09得票数 4
我正在尝试使用Enterprise Vault身份验证方法将我的LDAP应用程序连接到LDAP。
spring不会像它为TOKEN提供的那样提供一种直接的连接方式
spring.cloud.vault.uri=https:8080/vault/uri
spring.cloud.vault.namespace=admin
spring.cloud.vault.authentication=TOKEN
spring.cloud.vault.token=some-token
和APPROLE
spring.cloud.vault.uri=https:8080/vault/uri
spring.clo
浏览 4提问于2021-08-09得票数 1
1回答
应用程序是驻留在静态存储上的SPA (概念上类似于S3,尽管它不是S3),并且根本没有后端服务器。假设这是https://static.example.com/app.html
当用户访问页面时,他们可以使用外部提供程序(如Auth0和Azure )进行身份验证。它们完成身份验证流,并通过URL片段上的id_token返回SPA。例如,https://static.example.com/app.html#id_token=XX。该id_token用于调用外部API服务器,该服务器在Bearer授权头中传递。
问题是将JWT存储在客户机中的位置。
众所周知,将JWT存储在sessionSt
浏览 0提问于2018-10-19得票数 6
我是spring security的新手
我有一个使用vuejs构建的前端应用程序,它调用spring rest api与后端系统交互。
我有一个用户输入密码的登录页。我希望能够授权用户,如果他的登录是正确的,并为随后的请求授权他与rememberMe令牌。
我知道有很多关于这个话题的信息,但是
实施的正确方式是什么?我应该使用基本身份验证吗?如果我使用的是基本身份验证,我应该如何将记住我与基本身份验证一起设置?
是否应该在post调用中处理身份验证,而不是使用身份验证过滤器?
浏览 4提问于2017-08-02得票数 0
有一个spring应用程序需要用户身份验证。
它检查JWT是否存在,然后允许用户访问其他重定向到身份验证应用程序。
此身份验证应用程序针对数据库验证用户,并以JWT cookie(其私钥为原始应用程序所知)作为url参数返回到原始应用程序。
原始应用程序然后设置JWT cookie,允许用户访问,并向spring后端发送ajax请求,重新初始化用户会话对象。
用户被定义为组件:
@Component
@Scope("session")
public class User {
}
在控制器中,我这样做:
@Controller
@RequestMapping("/logi
浏览 3提问于2015-08-27得票数 0
3回答
我有一个带有spring安全性和LDAP身份验证的spring引导web应用程序。这个web应用程序内部进行REST调用。这些REST调用具有用户名-密码身份验证。这个用户名-密码与spring安全性使用的相同。我是否可以获得由spring安全认证的用户名-密码,以便在其他调用中使用。如果不是这样的话,还有其他方法来实现这一点吗?
提前谢谢。
浏览 3提问于2016-04-20得票数 0
回答已采纳
2回答
我使用oauth2和LDAP对API进行授权和身份验证。身份验证流程如下所示。
用户向服务器发送LDAP用户名和密码(密码大类型)。
服务器验证与LDAP服务器通信的密码,如果有效,服务器将返回访问令牌和刷新令牌。
用户一直使用访问令牌访问API,直到过期为止。过期时,可以使用刷新令牌获得新的访问令牌和新的刷新令牌。用户可以一直访问API,永远更新令牌。
的另一个要求是在更改用户密码或当用户在LDAP服务器中禁用时使令牌无效。有这样的事吗?
到目前为止,我尝试了以下方法:
在最初用户发送LDAP密码哈希时,将其存储在服务器中。刷新令牌时,从LDAP服务器获取用户的密码哈希,并将它们与保存在服务
浏览 0提问于2019-03-16得票数 2
1回答
如果我的ldap OU的密码分布是隐藏的,是否有问题?在春天的安全中,我必须做一些调整吗?如果我目前的ldap结构如下所示:
并且测试cn密码属性是隐藏的,我应该如何配置spring安全性来进行ldap身份验证?
目前,我已经将其配置为:
@Override
public void configure(AuthenticationManagerBuilder auth) throws Exception {
auth
.ldapAuthentication()
.userDnPatterns(USER_DN_PATTERNS)
浏览 6提问于2017-04-27得票数 1
回答已采纳
我试图使用Microsoft中的方法,使用GSSAPI作为身份验证机制。ldap_sasl_bind_s期望凭据是一个不透明的BERVAL结构。
给定用户名(或DN)和密码,如何到达应该传递给ldap_sasl_bind_s的结构
到目前为止我找到的例子
来自其他LDAP c SDKs -而不是来自Microsoft的
在需要简单身份验证时使用ldap_sasl_bind_s --但我需要使用GSSAPI
如果需要其他SASL身份验证机制,请使用ldap_sasl_interactive_bind_s。但是,Microsoft中没有ldap_sasl_interactive_bin
浏览 7提问于2010-06-29得票数 11
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
实时音视频
对象存储
即时通信 IM活动推荐
腾讯云开发者
