安全框架-SpringSecurity
文章平均质量分 86
OkidoGreen
这个作者很懒,什么都没留下…
展开
-
SpringBoot/Security使用Redis存储Session,超时时间设置
所以可以在注解上配置过期时间来完成我们的需求:@EnableRedissonHttpSession(maxInactiveIntervalInSeconds = 3600)一开始我认为只修改yml文件中的server.servlet.session.timeout=60m就行了,但是发现redis中的过期时间还是1800s。现状:spring boot项目,使用redisson将spring session存入redis中,过期时间为默认的30分钟。需求:延长session过期时间。原创 2024-07-16 14:18:28 · 452 阅读 · 0 评论 -
SpringSecurity中的Authentication信息与登录流程
每个请求到达服务端的时候,首先从session中找出SecurityContext ,为了本次请求之后都能够使用,设置到SecurityContextHolder 中。当请求离开的时候,SecurityContextHolder 会被清空,且SecurityContext 会被放回session中,方便下一个请求来获取。转载 2024-01-19 15:07:22 · 1042 阅读 · 0 评论 -
Spring-Security@PreAuthorize(“hasAuthority(‘‘)“)源码分析
Spring-Security@PreAuthorize(“hasAuthority(’’)”)源码分析@PreAuthorize(“hasAuthority(‘xxx’)”)用来鉴别当前登录用户所拥有的角色是否有xxx权限访问该接口。SpringBoot Security Oauth2角色及权限鉴权注解方法hasRole及hasAuthority的使用区别_控制器中定义的权限字符,如:@preauthorize(`@ss.hasrole('admin')`-CSDN博客。原创 2023-12-28 16:33:15 · 1385 阅读 · 0 评论 -
SpringBoot2 配置自定义 AuthenticationEntryPoint 时 BadCredentialsException 失效的问题
需求背景比较简单,就是需要区分以下两种状态:Basic Auth 认证的场景 返回状态码没有用户名密码 401用户名密码错误 403实现也比较粗暴,通过 Spring Security 的WebSecurityConfigurerAdapter,配置自定义的 AuthenticationEntryPoint,然后判断异常的类型设置不同的状态,密码错误时的异常为BadCredentialsException,没有用户密码时的异常为InsufficientAuthenticatio...转载 2021-03-04 11:25:44 · 1362 阅读 · 1 评论 -
SpringSecurity 用户名和密码的校验过程及自定义密码验证
1、源码执行过程1.执行 AuthenticationManager 认证方法 authenticate(UsernamePasswordAuthenticationToken)2.ProviderManager 实现了 authenticate(UsernamePasswordAuthenticationToken)3.ProviderManager 是通过自身管理的n个AuthenticationProvider认证提供者去进行认证4.AuthenticationProvider认证提供转载 2021-02-06 11:47:40 · 16962 阅读 · 6 评论 -
Spring Security PasswordEncoder 密码校验和密码加密流程
Spring Security PasswordEncoder 密码校验和密码加密流程本文使用的源码是 Spring Security 5.1.2http://central.maven.org/maven2/org/springframework/security/spring-security-core/5.1.2.RELEASE/spring-security-core-5.1.2.RELEASE-sources.jarPasswordEncoder 使用首先我们先来看看一个创建密码编码器工转载 2021-02-06 11:07:07 · 3312 阅读 · 0 评论 -
SpringBoot + SpringSecurity+jwt 实现验证 & 过程中直接添加Authentication对象
1、如何骗过Spring Security——直接添加Authentication对象1.需求在最近的项目中,出现了这样的需求。我需要在后台使用spring security,但是android端显然不能使用像web端登录那样的处理方式,所以如何"骗过"spring security直接在它的认证流程中插入我自己的对象,这成为了我急切的问题。2.Spring Security的核心组件SecurityContextHolderSecurityContextHolder用于获取转载 2021-02-06 11:05:36 · 2721 阅读 · 0 评论 -
SpringSecurity中 @EnableGlobalMethodSecurity作用及@PreAuthorize@PostAuthorize@PreFilter和@PostFilter四者的区别
spring security中可以通过表达式控制方法权限: Spring Security中定义了四个支持使用表达式的注解,分别是@PreAuthorize、@PostAuthorize、@PreFilter和@PostFilter。其中前两者可以用来在方法调用前或者调用后进行权限检查,后两者可以用来对集合类型的参数或者返回值进行过滤。要使它们的定义能够对我们的方法的调用产生影响我们需要设置global-method-security元素的pre-post-annotations=”enabled”.转载 2021-01-31 20:25:30 · 2057 阅读 · 0 评论 -
CSRF 详解:攻击,防御,Spring Security应用等
CSRF 简介CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,它在 2007 年曾被列为互联网 20 大安全隐患之一。其他安全隐患,比如 SQL 脚本注入,跨站域脚本攻击等在近年来已经逐渐为众人熟知,很多网站也都针对他们进行了防御。然而,对于大多数人来说,CSRF 却依然是一个陌生的概念。即便是大名鼎鼎的 Gmail, 在 2007 年底也存在着 CSRF 漏洞,从而被黑客攻击而使 Gmail 的用户造成巨大的损失。CSRF 如何攻击先看图转载 2021-01-25 11:02:41 · 2355 阅读 · 0 评论 -
Spring Security 2 配置精讲
论坛上看了不少Spring Security的相关文章。这些文章基本上都还是基于Acegi-1.X的配置方式,而主要的配置示例也来自于SpringSide的贡献。 众所周知,Spring Security针对Acegi的一个重大的改进就在于其配置方式大大简化了。所以如果配置还是基于Acegi-1.X这样比较繁琐的配置方式的话,那么我们还不如直接使用Acegi而不要去升级了。所以在这里,我将转载 2015-01-30 15:22:59 · 2166 阅读 · 1 评论 -
Spring 3之MVC & Security简单整合开发(三)
原文链接:http://sarin.iteye.com/blog/832963 Security对数据库验证用户有两种方式,上文提到的是它默认支持的数据库表结构,但基本上用于实际是不现实的,因为我们的数据库都有自己的业务逻辑,所以现在来看看怎么在我们自己的数据库上进行Security框架的用户验证整合,这里给出一个比较通用的数据库权限设计结构: 假设我们的数据表名称转载 2014-08-13 20:50:00 · 2553 阅读 · 0 评论 -
Spring 3之MVC & Security简单整合开发(一)
原文链接:http://sarin.iteye.com/blog/829738 Spring的MVC模块是一种简洁的Web应用框架,实现了MVC模式来处理HTTP请求和响应。相比于Struts系列,SpringMVC的MVC更加明显,将控制器和视图的定义完全分离,它们不需要在一个命名空间下了。它有Spring的全部优点,bean的配置更加舒服。而Spring 3的注解配置使得代码编写转载 2014-08-13 20:47:57 · 3395 阅读 · 0 评论 -
Spring 3之MVC & Security简单整合开发(二)
原文链接:http://sarin.iteye.com/blog/829738 现在来说Security部分。Spring Security框架是Acegi Security的升级,这个框架就是利用了多重过滤的机制对请求进行处理,将符合要求的请求放行,不符合要求的请求阻止下来,这是最大的原理。下面先来看看简单的url过滤吧。 先写一个用于验证身份的登录页面:转载 2014-08-13 20:47:10 · 2551 阅读 · 0 评论 -
spring security 示例
web.xml:applicationContext-security.xml:userservice:authSuccess原创 2014-08-13 14:48:16 · 3420 阅读 · 0 评论 -
Spring Security3源码分析-FilterChainProxy初始化
很久没有更新博客了,最近对Spring Security做了比较深入的研究。 spring security的教程网上很多: http://lengyun3566.iteye.com/category/153689 http://wenku.baidu.com/view/b0c0dc0b79563c1ec5da7179.html 以上教程足够应付在实际项目中使用spring s转载 2014-04-08 11:59:02 · 2267 阅读 · 0 评论