当Spring Security对用户进行身份验证时,如何在会话中管理自定义用户对象?
当Spring Security对用户进行身份验证时,可以通过自定义实现UserDetailsService接口来管理自定义用户对象。
首先,创建一个实现UserDetailsService接口的类,并实现loadUserByUsername方法。在该方法中,可以从数据库或其他数据存储中查询用户信息,并返回一个实现了UserDetails接口的自定义用户对象。
@Service
public class CustomUserDetailsService implements UserDetailsService {
@Autowired
private UserRepository userRepository;
@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
User user = userRepository.findByUsername(username);
if (user == null) {
throw new UsernameNotFoundException("User not found");
}
return new CustomUserDetails(user);
}
}其中,CustomUserDetails是一个实现了UserDetails接口的自定义用户对象。
public class CustomUserDetails implements UserDetails {
private User user;
public CustomUserDetails(User user) {
this.user = user;
}
@Override
public Collection<? extends GrantedAuthority> getAuthorities() {
// 返回用户权限列表
}
@Override
public String getPassword() {
return user.getPassword();
}
@Override
public String getUsername() {
return user.getUsername();
}
@Override
public boolean isAccountNonExpired() {
// 判断账户是否未过期
}
@Override
public boolean isAccountNonLocked() {
// 判断账户是否未锁定
}
@Override
public boolean isCredentialsNonExpired() {
// 判断凭证是否未过期
}
@Override
public boolean isEnabled() {
// 判断账户是否启用
}
}接下来,在Spring Security的配置类中,将自定义的UserDetailsService实现类注入到DaoAuthenticationProvider中。
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Autowired
private CustomUserDetailsService customUserDetailsService;
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
auth.authenticationProvider(daoAuthenticationProvider());
}
@Bean
public DaoAuthenticationProvider daoAuthenticationProvider() {
DaoAuthenticationProvider provider = new DaoAuthenticationProvider();
provider.setUserDetailsService(customUserDetailsService);
provider.setPasswordEncoder(passwordEncoder());
return provider;
}
@Bean
public PasswordEncoder passwordEncoder() {
return new BCryptPasswordEncoder();
}
}最后,在控制器中使用@AuthenticationPrincipal注解,可以直接将自定义用户对象注入到方法参数中。
@GetMapping("/user")
public String user(@AuthenticationPrincipal CustomUserDetails customUserDetails) {
// 使用自定义用户对象
}通过这种方式,可以在Spring Security会话中管理自定义用户对象。
相关·内容
我使用的是spring-security 3.1。
我必须以最大会话数由用户指定的方式来实现会话并发策略。下面是我所做的:
编写了扩展org.springframework.security.web.authentication.session.ConcurrentSessionControlStrategy的类并重写了该方法
protected int getMaximumSessionsForThisUser(Authentication authentication)
我使用名称空间配置对其进行了配置:
<security:http>
...
<securi
浏览 0提问于2013-06-04得票数 2
回答已采纳
1回答
我有一个有趣的项目需求,我们必须接受一个令牌作为GET参数,它将对进入应用程序的用户进行身份验证。这是为了允许受信任的第三方无缝地将用户发送到我们的网站,而不必让他们再次登录。
一个例子可能是:
appName将是上下文根,而user_token将是可以检查的令牌。令牌将被使用一次,然后被丢弃,它们在生成几秒钟后过期。令牌部分并不是我真正想要的,它是与JAAS的集成。
在Spring Security中,我可以设置一个过滤器来拦截请求,从URL中提取令牌,并根据UserDetailsService对用户进行身份验证。遗憾的是,由于大量问题,Spring Security在此项目中不可用,因此我
浏览 1提问于2011-03-10得票数 3
回答已采纳
2回答
仅检查SAML身份验证,不转发
、、、、
我正在使用spring-security-saml2库根据SAML对我的用户进行身份验证。它工作得很好,但现在我只想检查用户是否使用该IdP进行了身份验证(并避免自动转发以要求用户提供凭据)。
用例是,我想添加其他自定义身份验证机制,并且只在所有机制都失败后才转到登录页面。因此,我想检查是否有活动的SAML会话,如果没有,则通过OAuth进行检查,如果没有在任何地方进行身份验证,则将用户转发到登录页面。
对于spring-security-saml2库,这是可能的吗?或者我必须派生/更改它吗?
浏览 2提问于2015-08-31得票数 1
当验证用户身份时,它会创建一个UserDetail对象,该对象可用于在web应用程序中查找当前的UserId。但是,假设我想保留一个自定义用户对象,该对象带有首选项和其他详细信息,以及UserDetails或替换UserDetails。
那么,当Spring Security成功通过身份验证时,如何将自定义用户对象添加到会话中?以及如何在Spring Security注销登录用户时从会话中删除自定义用户对象。
或者,有没有合适的方法来做到这一点?
浏览 1提问于2009-12-08得票数 20
回答已采纳
互联网上的大多数教程都是在Spring中使用React,因此它将是服务器端呈现,就像胸腺网一样。但是在我的项目中,spring (REST后端)和ReactJS (SPA)是分开的。
我有一个单块的应用程序,所以我想我不必使用JWT (而且spring oauth2授权项目是不推荐的)。
是否可以在SPA (如react )中使用Security身份验证(Jsessionid)?
如何登录,它的端点是什么?这仅仅是对用户名和密码的有效负载的/login端点的POST请求吗?对于另一个端点,当对/login启动进行REST调用时,React只需要包含Jsessionid的cookie就可以是了吗
浏览 4提问于2021-05-21得票数 2
回答已采纳
我是Spring Security的新手。我正在尝试将Spring Security集成到我的web应用程序中。 我们有自己的身份验证流程,不能修改。但是,一旦用户成功完成此过程,就会将其加载到会话中,包括角色。 我们试图实现的是将这些信息用于Spring Security的授权过程,也就是说,强制它从用户会话中获取角色,而不是通过身份验证提供者获取角色。 在Spring Security5中有什么方法可以做到这一点吗?
浏览 30提问于2020-07-13得票数 0
我在我的应用程序中使用Spring安全来进行身份验证和授权。我使用Neo4j数据库作为后端,并实现了userDetailsService身份验证。
但是,每当我的应用程序重新启动时,用户都会被强制再次登录。为了克服这个问题,我正在考虑将会话信息存储在redis数据库中,并在应用程序启动时将数据加载到Spring安全上下文中。
如果有任何文章和指针来实现这一点,请转给我。
我正在考虑以下实现: 1)对于每个成功的身份验证,将用户详细信息和会话详细信息存储在redis中。这必须在UserDetailsService实现的loadUserByUsername()方法中实现2)从redis中删除数据,
浏览 1提问于2012-11-04得票数 5
我正在编写一个移动应用程序的web服务。
应用程序必须对其进行身份验证--实际上,我的第一种方法是使用params在j_spring_security_check上进行post请求:
j_username=myusername
j_password=mypassword
ajax=true
并通过在登录控制器中执行这些更改来返回sessionId。
def ajaxSuccess = {
....
result.token = springSecurityService.authentication.details.sessionId
render( res
浏览 3提问于2013-04-24得票数 1
使用多个身份验证提供程序配置spring安全性:
<security:authentication-manager>
<security:authentication-provider>
<security:user-service>
<security:user name="testUser" password="TestPwd"
authorities="ROLE_USER" />
</securi
浏览 1提问于2018-06-18得票数 1
回答已采纳
我有一个使用spring和SpringSecurity3.2开发的web应用程序。我希望我的应用程序使用restful服务的http基本身份验证,并为其他部分使用表单登录身份验证。下面是我的安全配置:
<http pattern="/services/**" create-session="stateless" use-expressions="true">
<intercept-url pattern="/**" access="hasRole('ROLE_REMOTE,ROLE_USE
浏览 3提问于2013-06-04得票数 3
我已经配置了Spring Security预认证示例并使用JBoss。下一步是以某种方式将用户信息放入flex客户端GUI中。
有哪些方法可以让我将spring-security在http访问中创建的身份验证或UserDetails对象放入flex客户端?由于我是从外部登录的,所以不能使用channelset.login(),对吗?到目前为止,我看到的所有示例都假定用户通过flex客户端手动登录,但要求是基于容器的身份验证。
使用flex3,spring 3.0.4,spring-security-3.0.3
浏览 0提问于2010-09-21得票数 2
回答已采纳
我需要找到那些在我们的应用程序中登录的用户。
我们使用的是Spring Security,一定有办法找出用户的IP地址。
我认为这些信息存储在它们的会话中。在Spring Security中,当前会话存储在中。从这个类中,我可以获得经过身份验证的用户列表和一些会话信息。(使用getAllPrincipals、getAllSessions和getSessionInformation)
问题是,如何访问当前用户的IP?考虑到我们只需要为已知的区域提供服务。
没有多大帮助,因为它包含的信息不多。
浏览 0提问于2012-08-12得票数 13
回答已采纳
我正在设计一个登录页面(Thymeleaf和Spring安全),并希望提供用户选项,以选择他的角色在登录。用户可以具有管理员和/或用户角色。我正在使用spring security进行身份验证。我被困在这里,找不到出路。
浏览 1提问于2018-06-24得票数 0
1回答
根据Spring Security,如果身份验证是由外部身份验证提供程序完成的,则使用身份验证提供程序。在Authentication之后,Spring Security将获得封装用户信息的Authentication对象。
如果Spring Security framework通过了身份验证,那么用户信息就会被封装在用户界面的一个实例中(例如,默认实现的UserDetails类)。
我的问题是-为什么Spring Security框架不能使用一致的方法?为什么他们不能在所有情况下都使用UserDetails而不是身份验证对象?这有什么原因吗?
浏览 0提问于2020-07-15得票数 1
我是一个初学者,我读了一些Spring安全的部分。
从医生那里,
Spring Security为您提供了非常灵活的身份验证和授权需求框架,
但我并没有真正实现Spring安全的目标。为什么我需要spring安全性,因为我可以通过简单的java过滤器手动实现相同的事情。
什么样的Spring安全性值得使用呢?
如果有人能用简单的话来解释,并为此提到一些用例,那就很感激了。
请参阅
浏览 2提问于2014-03-26得票数 1
回答已采纳
我的要求是:
基于用户标识密码的身份验证。
基于开放id的认证
基于Url的身份验证(这是一个自定义的sso文件)
在同一个项目中。
我尝试将Spring安全性插入到现有的项目中(为了简单起见,简化了代码):
<?xml version="1.0" encoding="UTF-8"?>
<beans:beans xmlns="http://www.springframework.org/schema/security"
xmlns:beans="http://www.springframewo
浏览 5提问于2009-11-05得票数 6
回答已采纳
3回答
在我的web应用程序中,有时经过身份验证的管理员可能想要模拟系统的另一个有效用户,而不必知道该用户的密码。
如何使用Spring Security使管理员用户能够模拟系统的普通(非管理员)用户?
Spring Security文档对此保持沉默,我在任何地方都找不到任何东西。肯定有人已经解决了这个问题。
谢谢!
浏览 6提问于2011-06-14得票数 10
有没有办法在LoginController的authfail操作中认证失败时,在spring安全核心grails插件中找回用户输入的密码?
def authfail = {
def msg = ''
// I can get the username as below
def username = session[UsernamePasswordAuthenticationFilter.SPRING_SECURITY_LAST_USERNAME_KEY]
// There is UsernamePasswordAuthenticationFilter.SPRING_SEC
浏览 6提问于2013-11-09得票数 0
我的要求是,如果用户试图在会话中使用错误的凭据登录3次以上,我希望锁定用户。我想将计数存储在(预认证的)会话中。
我正在使用表单身份验证
spring-security.xml
<security:form-login login-page="/login" default-target-url="/home" authentication-failure-url="/loginFailed" />
<security:logout logout-success-url="/" />
登录控制器:
浏览 4提问于2013-08-14得票数 0
回答已采纳
2回答
我正在开发一个使用Spring和Spring的应用程序,它被分成两个服务器,后端是Spring接口,前端是一个普通的SPRING应用程序。不过,我有一些安全要求,特别是MVC服务器前端的安全要求。
每个用户只有一个活动会话
指定时间后的会话超时
能够从应用程序上的窗体创建新角色,并将这些角色应用于运行时动态访问的URL,而不是硬编码到配置中。
我的问题是
是否有一种实现自定义登录模块的方法,该模块将对用户进行身份验证,但仍然使用Security管理登录后的访问控制和注销。
我看到的所有示例都使用Spring配置文件中配置的预定义角色,但是我们的要求是,我们不知道系统
浏览 1提问于2013-06-14得票数 1
回答已采纳
我在spring安全配置文件()中声明了以下内容:
<form-login login-page="/login.html" />
如果用户没有正确的身份验证凭据,Spring Security所做的就是将用户重定向到该页面。如何获取用户试图访问的页面的url?
浏览 1提问于2011-01-14得票数 7
回答已采纳
我需要使用Spring Security的并发会话控制特性。我需要使登录用户(单用户登录)的前一个会话无效。我不需要身份验证和授权功能,因为它已经由使用Servlet(Filter)的应用程序实现了,Servlet调用serice层,而serice层又调用da层(Hibernate)。
请指导我如何实现无认证、无授权的并发会话控制。
谢谢,巴兰达
浏览 0提问于2012-04-20得票数 0
2回答
最近,我在REST服务中使用Security身份验证。
下面是安全xml配置:
<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xmlns:security="http://www.springframework.org/sc
浏览 3提问于2014-09-23得票数 3
回答已采纳
1回答
我正在尝试使用spring-security为我的flex web应用程序创建一个自定义登录。我有一个工作版本,我们使用带有blazeds的channelset.login。
我遇到的问题是,我希望将身份验证和授权分开。
我想请用户在身份验证后做出一些选择,以确定其角色。
因为用户被授权的角色是由这个选择决定的。
这意味着必须对用户进行身份验证,然后客户端需要对服务进行服务调用,然后需要进行授权过程。
有没有人知道这是不是可能的,并对如何做到这一点有一些建议?
提前谢谢你,
Arjen
浏览 0提问于2011-03-17得票数 0
我对Spring Security还是个新手。通常,我们使用用户名和密码两个参数对用户进行身份验证。我必须将身份验证过程配置为使用3个参数,即帐户id、用户名和密码。我应该如何实现它?
浏览 3提问于2011-06-08得票数 1
1回答
使用SpringSecurity3.2.5和Spring4.0.6。Spring Security被配置为使用http头进行预身份验证。
Security正确地抓取标头,查找用户,并从数据库获得身份验证角色。
问题是,当用户注销并以新用户身份登录时,spring安全性不会检测到已更改的标头,仍然返回先前登录的用户。
1-通过外部应用程序以user#1身份登录(siteminder)
2- spring安全正确报告user#1登录
3-在应用程序之外,注销siteminder
4-通过siteminder作为user#2登录
5-在web应用程序spring安全性中,当siteminder为us
浏览 3提问于2014-09-10得票数 1
回答已采纳
2回答
我试图使用Security来使用现有的(阅读:非常“遗留”)的单点登录解决方案来保护新的Spring应用程序时,我遇到了一些问题。
免责声明:我对作为一个整体比较熟悉,但对Security一点也不熟悉;请原谅我的无知。
SSO服务的工作方式如下:
用户导航到他们选择的网络应用程序:
用户没有经过身份验证,因此它们被重定向到并提示登录。
对用户进行身份验证,并将其定向回应用程序,并将令牌附加到查询字符串:。
在每个页面加载(当前的JSP页面)上,用户的令牌从查询字符串中提取,然后通过SOAP调用启动SSO服务,以检查令牌的有效性。SSO服务为令牌提供拇指向上或拇指向下(如果令牌有
浏览 0提问于2012-05-29得票数 3
我正在尝试将Spring Security集成到我的web应用程序中。只要集成身份验证和授权的整个过程,就很容易做到这一点。
然而,身份验证和授权似乎是如此耦合,以至于对我来说,理解如何拆分这些过程并获得独立于授权的身份验证是非常耗时的。
身份验证过程在我们的系统外部(基于单点登录),不能修改。但是,一旦用户成功完成此过程,就会将其加载到会话中,包括角色。
我们试图实现的是将这些信息用于Spring Security的授权过程,也就是说,强制它从用户会话中获取角色,而不是通过身份验证提供者获取角色。
有什么方法可以做到这一点吗?
浏览 0提问于2009-08-24得票数 22
回答已采纳
我正在使用spring-security和HTTP Basic Auth来保护一个java webapp。在我的webapp中,我需要获取当前用户的用户名和密码,以便在其他服务上进一步验证他们。我可以拿到用户名,但拿不到密码。
我尝试使用SecurityContextHolder.getContext().getAuthentication()访问这些信息,就像这里建议的一样,但是密码以null的形式返回。
我怎样才能拿到密码?
谢谢。
这是我的applicationContext-security.xml
<beans xmlns="http://www.springframe
浏览 0提问于2012-02-29得票数 10
1回答
我使用SpringBoot1.2.1.RELEASE创建了一个web服务,它有POST和GET方法,我在控制器中定义了这些方法。我还使用来自应用程序数据库的自己的用户凭据配置了身份验证,并实现了OAuth。
这是我的Application.class,它有所有必要的配置。
@Configuration
@ComponentScan
@EnableAutoConfiguration
public class Application extends SpringBootServletInitializer {
public static void main(String[] args) {
浏览 4提问于2015-03-17得票数 1
我有一个Spring MVC应用程序,它使用Spring Security和基于表单的登录来进行授权/身份验证。
现在我想添加一个特殊的URL,其中包含一个令牌,该令牌应该可以在没有额外信息的情况下访问,因为该令牌对于用户是唯一的:
如何配置Spring Security才能使用该令牌进行用户身份验证?
浏览 0提问于2013-03-08得票数 3
回答已采纳
1回答
我使用的是Spring Security3.1,我想在用户登录之前获取来自URL的参数。因此,我期望访问我登录页面的用户向我发送一个redir参数(包含他通过身份验证后想要转到的URL )。当我请求页面时,而不是当我尝试提交表单进行登录时。
例如: localhost/myApp?redir=my.app.com/custom
如何从URL获取redir参数?
我尝试了几种方法,包括重写SimpleUrlAuthenticationSuccessHandler和调用request.getParameter("redir"),但它返回null。我还尝试实现自己的过滤器Userna
浏览 1提问于2012-08-08得票数 2
回答已采纳
我正在使用spring安全和自定义身份验证提供程序,使用基本身份验证。
当我尝试通过postman访问后端API GET调用时,只有在更改用户名时才能正常工作
这就是问题所在--只要我修改了用户名,那么只有自定义的身份验证器提供程序可以工作。一旦我添加了正确的用户名和密码,它就可以工作了,但在那之后,当我更改密码(给出错误的密码)时,总是显示200成功响应。如果我对用户名进行了更改(给出了错误的用户名),那么只会调用自定义身份验证器提供程序,并得到401响应。
Java Spring代码
@Configuration
@EnableWebSecurity
@ComponentScan("
浏览 4提问于2021-07-02得票数 1
1回答
当前的Spring应用程序需要添加来自POJO库的附加身份验证检查。POJO库包括几个可供选择的自定义身份验证模块。有些可以非常简单,比如从数据库或文件中检查URL中的用户名和加密密码,另一些则可以是LDAP身份验证或Web Service身份验证。
棘手的部分是当前应用程序在security.xml中有自己的身份验证方法,我们不想损害这两种方法。
我的目标是使这项工作基于最小的变化。
我认为可能有几个解决方案,但试图得到一个良好的实践:
自定义Spring authentication provider以处理身份验证管理器的pojo身份验证
为pojo定制一个Spring (或类似的
浏览 2提问于2014-01-13得票数 1
回答已采纳
我有一个自定义用户类,它扩展了User(Spring Security的)类和自定义UserDetailsService类。此服务使用Hibernate服务方法查询数据库以获取用户详细信息。如果在数据库中找不到该userId的记录,则不抛出UsernamNotFoundException,而是创建一个虚拟的Custom user对象,并使用只读属性通过身份验证。但是我不能让它工作,因为我不确定如何检索用户在登录页面上输入的密码值。我需要将它传递给自定义用户构造函数,以便正确地对其进行身份验证。
那么,总而言之,有没有办法在loadUserByUserName()方法中检索用户在登录页面上输入的
浏览 8提问于2011-10-13得票数 2
我有一个需要通过ABAC授权保护应用程序端点的用例。执行ABAC授权的代码已经存在。我找到了几个关于如何在Spring Security中创建自定义身份验证过滤器的示例。其中之一就是here。在Spring Security中是否有类似的标准化方法来实现自定义AuthorizationFilter? 是否有一个类似于Authentication的对象需要在Spring的Security context中设置?
浏览 22提问于2021-09-02得票数 1
1回答
我想在我的Spring应用程序中将包含用户详细信息的User对象设置为session。
当我想在不同的JSP页面上检索登录用户的详细信息时,我想使用这个会话对象。
我使用的是Spring 3和Spring Security 3
我想从我的自定义身份验证类(不是控制器)设置会话中的User对象
我如何才能做到这一点?
浏览 3提问于2011-11-19得票数 2
回答已采纳
我正在开发一个Spring-MVC应用程序,它使用Spring-Security进行身份验证和相关的安全目的。目前,我在查询sessionRegistry以获取当前在线用户列表时遇到问题,因为getAllPrincipals()方法总是包含NULL。我尝试了文档中提到的解决方案和其他SO线程中提到的许多建议。我真的很感谢一些帮助,因为我正在尝试各种组合,这将获得所有在线用户的列表。
下面是我的security-application-context.xml:
<import resource="servlet-context.xml" />
&l
浏览 2提问于2015-05-11得票数 1
我有一个混合应用程序,它使用Spring Security进行角色验证,但不使用登录。PreAuthorize失败,并显示“在SecurityContext中找不到身份验证对象”
我试图将其添加到我的登录控制器,但它似乎不起作用:
SecurityContextHolder.getContext().setAuthentication(makeAuthentication(op));
配置如下:
@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class We
浏览 0提问于2020-07-10得票数 0
我是spring security的新手,我不知道如何搜索这种功能。我的问题是。我使用spring security对用户进行身份验证。比方说基于表单的身份验证。这样用户就登录了。他可以在应用程序中导航。假设我们有一个webapp,它将事务存储在db中,并通过id检索它们。如果我们想查看事务的详细信息,我们需要发送一个带有事务id的请求。因此,例如/transaciontapp/gettransaction?id=134。在上一页中,应用程序只加载属于该特定用户的事务。但是现在我可以编辑指向任何id的链接,并且使用get方法,作为一个登录的用户,我可以看到不应该看到的事务。那么,在spring
浏览 1提问于2016-05-21得票数 0
2回答
我的公司有一个特定的身份验证提供者,它是一个内部REST web服务。实际上,您向web服务提供了一个登录/密码,它将返回一个令牌(有效期为几个小时),必须在报头中为web服务的每个下一个业务请求提供该令牌。
我需要创建一个web应用程序,并将其插入到此身份验证提供程序中。将其与Spring Security集成的最佳方式是什么?
如何在不要求用户重新登录的情况下管理webapp中的令牌过期?
浏览 6提问于2011-07-26得票数 1
回答已采纳
我已经用基本身份验证来保护我的spring引导应用程序。下面是我的春季安全配置。
package com.exxonmobil.asr.backoffice.configuration;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.cor
浏览 1提问于2018-09-20得票数 0
回答已采纳
我有一个简单的web应用程序示例。一些不安全的页面和一些安全的页面。
登录是通过Spring安全和CAS。应用程序主要工作正常-用户在请求安全资源时被定向到CAS登录页面,登录工作,用户被重定向回他们请求的安全页面。用户将拥有各种身份验证属性--可以使用Security: -例如:
Authentication class :
class org.springframework.security.web.
authentication.preauth.PreAuthenticatedAuthenticationToken
Authentication authoriti
浏览 0提问于2011-11-25得票数 1
我正在使用SpringSecurity3.1.x并试图实现以下场景:
使用isFullyAuthenticated()保护页面
当前用户只使用“记住我”进行身份验证,因此没有完全验证。
用户导航到这个完全通过身份验证的页面--这应该是不允许的(而且它不是)
但是,用户不应该获得403页,相反,应该提示用户通过login表单登录。
登录后,应该允许用户继续到他以前请求的页面,因为他现在是一个经过完全身份验证的用户
我的Spring安全配置是:
<http use-expressions="true">
<intercept-u
浏览 6提问于2013-03-23得票数 0
例如,当我们使用"io.jsonwebtoken“进行JWT身份验证时,我们将"sessionCreationPolicy(SessionCreationPolicy.STATELESS)”会话创建策略设置为无状态,但是当我们使用内置的spring security JWT身份验证时,情况会怎样呢?在那里,我们不会将会话设置为无状态。那么,在spring安全的内置机制上使用任何其他JWT依赖有什么确切的区别呢?
浏览 26提问于2021-05-07得票数 1
2回答
如何在注销时使用户会话失效?
、、、、
我花了很多时间来解决这个问题,但仍然不能让它工作。
我使用的是Spring Security。应用程序将在多个服务器上运行。我在登录时使用“记住我”选项将持久登录保存在我的数据库中。
如果用户连接到服务器1,则他在cookies浏览器中有一个会话id。我打开另一台服务器,该用户进行身份验证,cookies浏览器具有此会话id和服务器1连接的会话id。
当该用户登出一台服务器或另一台服务器时,他应该被重定向到所有服务器中的登录页面。
我尝试从浏览器中删除cookies,但没有成功。我怎么才能让它工作呢?有什么帮助吗?
示例场景:在gmail中,如果您的帐户中有两个选项卡打开,并且如果您从其中一个
浏览 0提问于2011-12-21得票数 2
回答已采纳
spring的问题记住我
在我spring安全应用程序中,我有自定义的身份验证提供程序,可以对自定义的身份验证对象进行身份验证和返回,身份验证工作得很好,但是我对spring的记住我的服务有问题,它不能正常工作
但是,当我通过普通的spring安全性进行身份验证时,通过使用UserDetailService然后记住我可以完美地工作,我的代码如下所示
package com.websopti.wotms.auth;
import java.io.IOException;
import java.util.ArrayList;
import java.util.Collection;
impo
浏览 1提问于2015-08-31得票数 4
除了使用J2EE preauthentication之外,我将身份验证管理放在一个自定义的pojo类中:
public boolean grantAuthentication(UserRole role) {
List<SimpleGrantedAuthority> authorities = new ArrayList<SimpleGrantedAuthority>();
if(role.equals(UserRole.ROLE_ADMIN)){
authorities.add(new SimpleGrantedAuthority(Us
浏览 1提问于2014-01-22得票数 0
我在Spring Security上使用表单身份验证。因此,我进入我的登录表单,输入我的用户名和密码,然后我可以访问我的网站上受保护的资源。与基本身份验证不同,使用form authentication时,用户名和密码只在第一个请求时发送。
我不明白的是,Spring Security Servlet如何跟踪后续请求中的最终用户?
我了解到,使用basic-authentication,Servlet只需在头中查找编码的用户名和密码。但是如何与form authentication一起工作呢?
我假设设置了某种会话变量?如果是,那又是什么呢?
Spring Security是否有某种将会话id
浏览 3提问于2015-10-07得票数 2
回答已采纳
2回答
我正在开发一个使用Spring 2和Gradle的web应用程序。我目前实现了一个自定义的me机制(没有Security),我还添加了一个系列cookie,如所描述的。
现在,我想使所有用户的会话无效,以防令牌不匹配。我将获得用户的所有会话(我保存在"userSession“属性中的Bean )。我该怎么做?
PS:我不使用Spring安全。
浏览 0提问于2018-03-28得票数 3
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
实时音视频
即时通信 IM
对象存储活动推荐
腾讯云开发者
