Spring Security测试返回401 (未经授权)
Spring Security是一个开源的安全框架,用于在Java应用程序中提供身份验证和授权功能。它基于Spring框架,可以轻松地集成到Spring应用程序中。
当进行Spring Security测试时,返回401表示未经授权。这意味着用户没有提供有效的身份验证凭据或者提供的凭据不被系统所接受。这通常是因为用户未登录或者登录凭据无效导致的。
为了解决这个问题,可以采取以下步骤:
- 确保在测试中提供有效的身份验证凭据。可以使用Spring Security提供的测试工具类来模拟用户登录并提供凭据。
- 检查Spring Security配置文件,确保正确配置了身份验证和授权规则。可以使用注解或XML配置来定义访问控制规则。
- 检查用户角色和权限配置,确保用户具有足够的权限来访问被测试的资源。
- 检查测试环境的网络连接和通信是否正常。确保测试环境可以与身份验证和授权服务器进行通信。
- 如果使用了其他相关技术或框架,例如OAuth2或JWT,确保这些技术的配置和使用正确无误。
对于Spring Security的更多信息和详细配置,请参考腾讯云的Spring Security产品介绍页面:Spring Security产品介绍
总结:Spring Security是一个用于身份验证和授权的安全框架,返回401表示未经授权。在测试中,需要提供有效的身份验证凭据,并确保正确配置了身份验证和授权规则。腾讯云提供了Spring Security产品,可以参考其产品介绍页面获取更多信息。
相关·内容
2回答
为什么我要使用JAAS来对抗手工编写的安全性?
java、security、jakarta-ee、jaas
我得到了手写的安全性,简单的servlet过滤器,可以将未经授权的用户重定向到他们的登录页面。登录控制器在身份验证成功后将它们重定向到请求的URL或它们的主页。这种方法工作得很好,唯一的缺点是,我必须通过堆栈跟踪将存储在HttpSession中的用户对象传递给EJB。
现在,我重写了一些代码,并使用Spring-security作为基于http的身份验证。它自动与Glassfish JAAS集成。
我不再需要通过堆栈跟踪传递用户,调用sessionContext.getCallerPrincipal()就足够了。但是主体对象只返回userName,而不是userId,所以我必须执行加法选择,例
浏览 0提问于2011-04-21得票数 13
回答已采纳
3回答
HTTP 401未经授权或403禁止“禁用”用户?
http、rest、restful-authentication
身份验证服务允许禁用用户帐户(一种软删除)。
如果服务器随后接收到对禁用用户的身份验证请求,否则该请求将是有效的,那么服务器应该返回401还是403?无论使用哪种状态代码,我都会返回一条指示帐户已被禁用的消息。
作为快速参考,相关的引文来自 (强调我):
401未经授权的
请求需要用户身份验证。响应必须包括一个WWW-身份验证头字段(第14.47节),该字段包含适用于所请求资源的问题。客户机可以使用适当的授权头字段重复请求(第14.8节)。如果请求已包含授权凭据,则401响应指示拒绝对这些凭据进行授权。如果401响应包含与先前响应相同的挑战,并且用户代理已经至少尝试过一次身份验证,那么应该向
浏览 3提问于2012-02-09得票数 28
回答已采纳
2回答
ASP.Net中不同的认证方式
c#、asp.net、security
我正在为我的公司工作的网站,这是可以在我们的内部网络和互联网。我被问到一些在我看来是不可能的事情,但我想先问这个问题,然后才真正说出来!
我们公司有两种类型的用户,一种是在Active Directory中注册的(等等),另一种是Windows登录帐户。
在我们的内部网络上,我们使用HTTPContext.Current.User.Identity.Name给出的身份验证,如果用户确实存在,我可以在Active Directory中签入,并授权他访问该网站。这是为了通过我们的内部网络进行访问。这很好,因为通过内部网络访问网站的每个人都需要有一个AD帐户。
现在,主要的问题是互联网的接入!目前,
浏览 4提问于2013-09-11得票数 2
回答已采纳
3回答
对于使用错误凭据执行的登录请求,REST应该返回什么状态代码?
rest、authentication、httpresponse
对于HTTP状态代码的含义,我已经找到了许多答案和解释。我的问题是关于登录端点的POST请求,例如询问用户名和密码,以及提供不正确的用户名和密码的场景。
一些想法:
400坏响应我认为这段代码不合适,因为它说请求在语法上是不正确的,服务器也不理解,这里的情况并非如此。登录数据在语义上是不正确的。
401未经授权的在这里是棘手的部分对我。如果401只能发生在需要认证头的请求上,那么这是不正确的。但是,如果401可以发生在所有请求上,这些请求都需要身份验证(无论是作为标头还是在正文中),那么401就是候选的。
403禁止访问通常,如果用户已经通过身份验证并已为系统所知,但请求的资源是不允许访问的,
浏览 7提问于2017-07-27得票数 24
回答已采纳
1回答
Security 5 OAuth2客户端密码授予类型
spring、spring-boot、spring-security、oauth-2.0、spring-security-oauth2
我有两份申请:
1是客户端和资源服务器。
Spring 2是授权服务器。
用户将能够登录应用程序1并访问其资源。我想实现以下流程:
用户以登录形式输入他的凭据,->应用程序1将使用用户凭据从应用程序2获得令牌,并使用密码授予类型的clientId从应用程序1获得令牌访问资源。
问题是Security 5是否支持客户端的密码授予类型?我在Security 5实现中找到了所有rest授权类型,但没有找到密码。
浏览 1提问于2018-11-01得票数 5
回答已采纳
7回答
为什么由于身份验证和授权失败,AuthorizeAttribute要重定向到登录页面?
asp.net-mvc、authentication、authorization
在ASP.NET MVC中,可以使用AuthorizeAttribute标记控制器方法,如下所示:
[Authorize(Roles = "CanDeleteTags")]
public void Delete(string tagName)
{
// ...
}
这意味着,如果当前登录用户不在"CanDeleteTags“角色中,则将永远不会调用控制器方法。
不幸的是,对于失败,AuthorizeAttribute返回HttpUnauthorizedResult,后者总是返回HTTP代码401。这将导致重定向到登录页。
如果用户没有登录,这是完全合理的。但是,
浏览 15提问于2008-10-26得票数 273
回答已采纳
2回答
Apache:如何设置自定义401错误页并保存原始行为
apache-2.2、httpd、kerberos、custom-errors、http-error-401.2
我使用Apache/2.2.3 (Linux/SUSE)进行基于Kerberos的身份验证。当用户试图打开一些url时,浏览器会问他有关域登录和密码的问题,比如。如果用户取消这样的请求3次,Apache将返回401 Authorization Required错误页面。我当前的虚拟主机配置是
<Directory /home/user/www/current/public/>
Options -MultiViews +FollowSymLinks
AllowOverride None
Order all
浏览 0提问于2012-07-03得票数 4
回答已采纳
1回答
Spring安全oauth2登录/ spring云网关使用XHR发送302
java、spring-security-oauth2、spring-cloud-gateway
我正在开发一个带有BFF的SPA应用程序,它使用spring云网关配置为具有spring安全性的oauth2客户端和作为授权服务器的keycloak服务器。我做了一个经典的spring安全配置:
@Configuration
@EnableWebFluxSecurity
public class SecurityConfiguration {
@Bean
public SecurityWebFilterChain springSecurityFilterChain(ServerHttpSecurity http) {
http.authorizeExchange
浏览 15提问于2022-11-11得票数 0
2回答
两个资源MicroServices之间的调度通信
java、security、spring-boot、authorization、microservices
场景是我有两个资源微服务(用Spring Security保护),让我们假设A和B。A想要以预定的方式从B收集数据,A将每小时调用B的端点来收集一些数据。问题是,如果两个资源服务具有有效的访问令牌,则它们可以相互通信,或者我们可以说是用户登录。但是,计划的作业必须独立于登录用户而持续运行。那么从A调用B的正确方式应该是什么呢?
a.为超级默认用户配置以运行计划的作业,隐式进行身份验证?
注意:排定的作业与用户干预无关。
浏览 0提问于2017-03-20得票数 1
4回答
Spring安全性拒绝所有用户
java、spring、spring-security
我正在尝试使用基本的spring安全性,但无法与我设置的两个用户中的任何一个登录。它总是带着“错误401--未经授权”回来。
为安全起见,我安装了以下三个库:
spring-security-config-3.2.0.RELEASE.jar
spring-security-core-3.2.0.RELEASE.jar
spring-security-web-3.2.0.RELEASE.jar
SPRING-SECURITY.XML文件包含以下内容。
<?xml version="1.0" encoding="UTF-8"?>
<beans:be
浏览 3提问于2014-05-28得票数 1
回答已采纳
1回答
内部网和匿名用户的IIS站点
asp.net、authentication、iis
我正在开发一个应用程序,该应用程序应该可供在自己帐户下运行的intranet用户使用(Windows身份验证)。这是很容易配置和工作。
现在,如果用户没有登录到域(因为他们不在网站上或者在没有登录的设备上),他们仍然应该能够使用该应用程序,没有一些个性化的功能。
总之,这就是我想要发生的事情:
用户打开应用程序。如果windows凭据可用,浏览器会将它们发送给IIS。
如果收到用户凭据,应用程序将在这些凭据下运行(我已经介绍了这一点)。
如果用户凭据未被接收,应用程序将在IIS匿名帐户下运行,并且个性化功能将被关闭(我也介绍了这一点)。
我无法工作的是可选地发送凭证。如果我
浏览 3提问于2013-11-27得票数 1
18回答
403禁止与401未经授权的HTTP响应
http-headers、http-status-code-403、http-status-codes、http-status-code-401、http-response-codes
对于存在但用户没有足够权限(他们未登录或不属于正确的用户组)的网页,应提供什么正确的HTTP响应?
401 Unauthorized
403 Forbidden
还有别的吗?
到目前为止,我所读到的关于这两者之间的区别并不是很清楚。哪些用例适用于每个响应?
浏览 9提问于2010-07-21得票数 3226
回答已采纳
2回答
用Reporting实现Windows身份验证
sql-server、windows、authentication、iis、reporting-services
这是post 的扩展,因为我无法在该线程上提交一篇冗长的文章(对不起,管理)。
基本上,我将本地安装的报告服务配置为使用Windows身份验证(最终目标是在网络上实现此身份验证)。
我目前的设置:
IIS (5.1):我创建了一个名为"ReportServer“的应用程序,它使用ASP.NET v2.0.50727。此应用程序的安全性设置为“集成Windows身份验证”。我没有选中“匿名访问”复选框。我是否正确地假定这将阻止对IIS的匿名访问(即对IIS中的ReportServer应用程序的访问)?只有这样。因此,会提示用户输入登录详细信息,然后根据windows/AD进行验证?
报告
浏览 4提问于2012-11-22得票数 3
1回答
登录到返回403:禁忌的服务器/页面是否有好处?
http-status-code-403
IE 11和Microsoft都建议在收到HTTP 403:禁用后登录。
包hc表示这是关于错误403的:
代码说明:请求被禁止-授权无助于
维基百科还说:
身份代码401 (未经授权)和403 (禁止)有不同的含义。401响应表示对资源的访问受到限制,并且请求没有提供任何HTTP身份验证。如果提供身份验证,对同一资源的新请求可能会成功。响应必须包括HTTP身份验证头,以提示用户代理提供凭据。如果没有通过HTTP授权提供凭据,则不应使用401。403响应通常表示两个条件之一:提供了身份验证,但不允许经过身份验证的用户执行请求的操作。该操作禁止所有用户使用。例如,当目录列表被禁用时,对目录列表的
浏览 0提问于2016-02-19得票数 0
1回答
ASP.NET Core返回禁止/403是向后的?
asp.net-mvc、asp.net-core、authorization、http-status-code-403、http-status-code-401
重新打开这个
有人将此标记为的副本
但这不能回答我的问题。我知道这两个密码应该是什么。我要问的是,为什么ASP.NET核心似乎将它倒退了。
问题
使用ASP.NET Core3.1
我正在编写控制器级授权(不使用中间软件和策略)。如果在请求中找不到用户,我将返回401。如果找到了它们,但没有访问资源的权限,我将返回403。这是我对基于我的应该做的事情的理解。
但是当我用代码实现这一点时,ASP.NET核心文档似乎意味着相反。禁用方法请求身份验证方案,就好像它将要求客户端登录一样。未经授权的方法没有(它有一些名为object类型值的其他参数,我不知道它是用来做什么的,但这与我认为的要点相去甚远)
浏览 8提问于2022-03-01得票数 0
1回答
如何自动创建多租户模式?
java、spring、postgresql、hibernate、oauth
我正在使用Java、Spring和PostgreSQL进行一个项目,该项目将有多个商店,每个商店将彼此分离,每个商店都有各自的产品。我是一个新的多租户数据库。每个商店都有自己的独立用户,其特定角色将低于管理所有商店的用户。用户将使用他们自己的凭据登录,生成一个身份验证令牌,我可以使用该令牌来标识他们,并为注册为商人的用户创建一个新的商店。我该走哪条路?或者我应该使用什么框架来帮助我把商店和其他商店分开呢?
浏览 0提问于2019-08-04得票数 0
回答已采纳
2回答
REST最佳实践云
rest、authorization、ibm-appid
我在IBM云上有一组REST服务。入口集成了Appid进行身份验证。Ingress将令牌id和访问id添加到authorization头部。现在在API端(springboot),我是否需要在每次请求时再次验证用户?这会是多余的吗?如果没有,可以使用哪个appid接口对用户进行授权。对类似示例的任何引用
已经在IBM云站点上完成了示例。一个是关于入口和appid的集成,但没有讨论REST服务层如何处理那里的授权令牌。另一个只是spring和Appid (不谈入口)
浏览 5提问于2019-07-07得票数 2
2回答
如何用keycloak保护spring云数据流服务器?
spring-security、spring-security-oauth2、keycloak、spring-cloud-dataflow
我希望使用keycloak作为身份验证和授权服务器,以保护spring云数据流服务器并管理对其端点的访问。
我按照spring文档中的描述设置了scdf服务器的yml:
因此,使用在keycloak中注册的用户进行身份验证是可行的。但是在keycloak中定义的授权规则不适用。原因似乎是spring文档中描述的:
我对这里提到的“定制行为”有困难。究竟必须做些什么?如何提供所需的不同bean?有没有其他的解决方案来使用keycloak作为spring云数据流的授权服务器?最近的春季安全5.1版本对这个问题有影响吗?
我已经在这个问题上挣扎了一段时间,如果有任何帮助或反馈,我将非常感激。提前谢谢
浏览 1提问于2018-10-24得票数 0
1回答
使用Auth0的springboot引导API
spring-boot、auth0
我们正在尝试使用auth0进行spring引导应用程序身份验证。在auth0.com中创建常规Web应用程序和机器到机器应用程序,并在用户管理下添加用户。目的是让登录API对用户进行身份验证,并在成功的身份验证之后获得访问令牌。使用访问令牌(作为承载令牌)访问spring-boot应用程序的其他API。
在auth0.com中,我们在Machine应用程序配置下提供了正确的登录和回调urls。
在生成承载令牌时,除了client_id、client_secret之外,我们还提供了grant_type (as client_credentials)、code和scope (openid prof
浏览 3提问于2022-06-10得票数 0
1回答
弹性云、文件和密钥/令牌身份验证
elasticsearch、token、filebeat、elastic-cloud
是否可以使用令牌身份验证配置文件传输以与弹性云实例通信?
根据,如果我使用的是云实例,我应该在filebeat.yml中配置cloud.id和cloud.auth
cloud.id: "..."
cloud.auth: "filebeat_setup:YOUR_PASSWORD"
这些文档说,cloud.auth应该是我的Elastic实例中的用户名和密码。我想用api_key代替。但是,当我配置时
output.elasticsearch:
# Authentication credentials - either API key or username
浏览 1提问于2020-11-15得票数 1
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
活动推荐
腾讯云开发者
