Spring安全参考
4.2.3.RELEASE
版权所有©2004-2015
目录
-
一,前言
-
-
1.入门
2.介绍
- 3. Spring Security 4.2的新特性
- 4.样品和指南(从这里开始) 5. Java配置
- 6.安全命名空间配置
- 7.示例应用程序
- 8.春季安全社区
II。架构与实现
- III。测试
- IV。Web应用程序安全
- V.授权
- VI。其他主题
- 七。Spring数据集成
- 八。附录
-
-
40.安全数据库模式
- 41.安全命名空间
-
-
41.1。Web应用程序安全
-
-
41.1.1。<调试>
41.1.2。<HTTP>
- 41.1.3。<禁止访问的处理程序>
- 41.1.4。<CORS>
- 41.1.5。<头>
- 41.1.6。<缓存控制>
- 41.1.7。<HSTS>
- 41.1.8。<hpkp>
- 41.1.9。<销>
- 41.1.10。<销>
- 41.1.11。<内容的安全性的策略>
- 41.1.12。<引荐政策>
- 41.1.13。<帧选项>
- 41.1.14。<XSS-保护>
- 41.1.15。<内容类型选项>
- 41.1.16。<头>
- 41.1.17。<匿名>
- 41.1.18。<CSRF>
- 41.1.19。<定制滤波器>
- 41.1.20。<表达式处理程序>
- 41.1.21。<表单登录>
- 41.1.22。<HTTP的基本>
- 41.1.23。<http-firewall>元素
- 41.1.24。<截距-URL>
- 41.1.25。<JEE>
- 41.1.26。<注销>
- 41.1.27。<OpenID的登录>
- 41.1.28。<属性交换>
- 41.1.29。<OpenID的属性>
- 41.1.30。<端口映射>
- 41.1.31。<端口映射>
- 41.1.32。<记得,我>
- 41.1.33。<request-cache>元素
- 41.1.34。<会话管理>
- 41.1.35。<并发控制>
- 41.1.36。<X509>
- 41.1.37。<滤波器链地图>
- 41.1.38。<滤波器链>
- 41.1.39。<滤波器安全元数据源>
41.2。WebSocket安全
- 41.3。认证服务
- 41.4。方法安全
- 41.5。LDAP命名空间选项
42.春季安全依赖
-
- 43.代理服务器配置 44. Spring Security FAQ
-
-
44.1。一般的问题
- 44.2。常见问题
-
-
44.2.1。当我尝试登录时,出现错误消息“Bad Credentials”。怎么了?
44.2.2。当我尝试登录时,我的应用程序进入“无限循环”,发生了什么事?
44.2.3。我得到一个异常,消息“访问被拒绝(用户是匿名);”。怎么了?
44.2.4。即使在我退出应用程序后,为什么还能看到受保护的页面?
44.2.5。我收到一条异常消息“在SecurityContext中找不到认证对象”。怎么了?
44.2.6。我无法使LDAP认证工作。我的配置有什么问题?
44.2.7。会话管理
44.2.8。我使用Spring Security的并发会话控制来防止用户一次登录多次。登录后打开另一个浏览器窗口时,不会阻止我再次登录。为什么我可以多次登录?
44.2.9。为什么在通过Spring Security进行身份验证时,会话Id会发生变化?
44.2.10。我正在使用Tomcat(或其他servlet容器),并为我的登录页面启用了HTTPS,之后切换回HTTP。它不起作用 - 我只是在认证之后回到登录页面。
44.2.11。我不会在HTTP和HTTPS之间切换,但是我的会话仍然会丢失
44.2.12。我试图使用并发会话控制支持,但它不会让我重新登录,即使我确定我已经注销,并没有超过允许的会话。
44.2.13。Spring Security正在创建一个会话,即使我已经配置了它,通过将create-session属性设置为永远不会。
44.2.14。执行POST时,我得到了一个403 Forbidden
44.2.15。我使用RequestDispatcher将请求转发到另一个URL,但是我的安全约束没有被应用。
44.2.16。我已经将Spring Security的<global-method-security>元素添加到我的应用程序上下文中,但是如果将安全注释添加到我的Spring MVC控制器bean(Struts操作等)中,那么它们似乎没有效果。
44.2.17。我有一个肯定已经过身份验证的用户,但是当我尝试在某些请求期间访问SecurityContextHolder时,身份验证为空。为什么我看不到用户信息?
44.2.18。在使用URL属性时,授权JSP标记不尊重我的方法安全注释。
44.3。Spring安全体系结构问题
- 44.4。常见的“Howto”请求
-
-
44.4.1。我需要登录更多的信息,而不仅仅是用户名。如何添加对额外登录字段(例如公司名称)的支持?
44.4.2。如果只有请求的URL的片段值不同(例如/ foo#bar和/ foo#blah?),我该如何应用不同的拦截url链接?
44.4.3。如何在UserDetailsService中访问用户的IP地址(或其他Web请求数据)?
44.4.4。我如何从UserDetailsService访问HttpSession?
44.4.5。如何访问UserDetailsService中的用户密码?
44.4.6。如何动态定义应用程序中的安全URL?
44.4.7。我如何对LDAP进行身份验证,但从数据库加载用户角色?
44.4.8。我想修改由名称空间创建的bean的属性,但是模式中没有任何内容支持它。我可以做什么放弃命名空间的使用?
45.从3.x迁移到4.x
Spring Security是一个强大且高度可定制的身份验证和访问控制框架。这是保护基于Spring的应用程序的事实标准。