Articles of spring security

Cuándo usar el AntMatcher de Spring Security ()?

¿Cuándo usamos antMatcher() contra antMatchers() ? Por ejemplo: http .antMatcher(“/high_level_url_A/**”) .authorizeRequests() .antMatchers(“/high_level_url_A/sub_level_1”).hasRole(‘USER’) .antMatchers(“/high_level_url_A/sub_level_2”).hasRole(‘USER2’) .somethingElse() .anyRequest().authenticated() .and() .antMatcher(“/high_level_url_B/**”) .authorizeRequests() .antMatchers(“/high_level_url_B/sub_level_1”).permitAll() .antMatchers(“/high_level_url_B/sub_level_2”).hasRole(‘USER3’) .somethingElse() .anyRequest().authenticated() .and() … Lo que espero aquí es Cualquier solicitud que coincida con /high_level_url_A/** debe autenticarse + /high_level_url_A/sub_level_1 solo para USER y /high_level_url_A/sub_level_2 solo para USER2 Cualquier solicitud que coincida con /high_level_url_B/** debe autenticarse […]

Registrar la actividad del usuario en la aplicación web

Me gustaría poder registrar las actividades del usuario en una aplicación web. Actualmente estoy usando log4j, que funciona bien para registrar errores, etc., pero no estoy seguro de cuál es el mejor enfoque para registrar el usuario, el método de servlet ejecutado y los parámetros del método. Estoy usando seguridad de spring para la autenticación. […]

Spring Security y JSON Authentication

Tengo una aplicación en Spring / Spring-mvc que usa totalmente las comunicaciones JSON. Ahora necesito autenticar mi aplicación con spring security 3 (que usa LdapAuthenticationProvider) a través de JSON. El formulario de envío predeterminado de los valores de spring requiere un POST como este: POST /myapp/j_spring_security_check HTTP/1.1 Accept-Encoding: gzip,deflate Content-Type: application/x-www-form-urlencoded Content-Length: 32 Host: 127.0.0.1:8080 […]

Cómo habilitar el almacenamiento en caché de respuestas HTTP en Spring Boot

Implementé un servidor REST usando Spring Boot 1.0.2. Tengo problemas para evitar que Spring establezca encabezados HTTP que deshabiliten el almacenamiento en caché de HTTP. Mi controlador es el siguiente: @Controller public class MyRestController { @RequestMapping(value = “/someUrl”, method = RequestMethod.GET) public @ResponseBody ResponseEntity myMethod( HttpServletResponse httpResponse) throws SQLException { return new ResponseEntity(“{}”, HttpStatus.OK); } […]

Captura de tiempo de espera de sesión / sesión con seguridad de spring

Estoy usando spring / spring-security 3.1 y quiero tomar alguna medida cada vez que el usuario cierre la sesión (o si la sesión se agota). Me las arreglé para hacer la acción para cerrar la sesión, pero para el tiempo de espera de la sesión, no puedo hacer que funcione. En web.xml, solo tengo el […]

¿Cómo redirigir a la página de inicio si el usuario accede a la página de inicio de sesión después de iniciar sesión?

Aquí está mi configuración de seguridad de spring: El authenticationSuccessHandler extiende el SavedRequestAwareAuthenticationSuccessHandler asegurando que el usuario sea redirigido a la página que originalmente solicitó. Sin embargo, dado que /auth/login está marcado como security=”none” , no puedo redireccionar al usuario a la página de inicio si accede a la página de inicio de sesión después […]

¿Cómo usar OAuth2RestTemplate?

Estoy tratando de entender cómo usar un objeto OAuth2RestTemplate para consumir mi servicio REST protegido OAuth2 (que se ejecuta bajo un proyecto diferente y asummos también en un servidor diferente, etc.) mi servicio de descanso es: http://localhost:8082/app/helloworld -> Acceder a esta URL genera un error ya que no estoy autenticado Para solicitar un token, iría […]

CharacterEncodingFilter no funciona junto con Spring Security 3.2.0

Soy nuevo en el framework Spring MVC y tengo un problema que no puedo resolver solo. Todo comenzó cuando integé la seguridad de spring con mi aplicación, después de eso todos los valores Unicode del formato HTML no estaban codificados (la seguridad de spring funciona correctamente). Llegué a la conclusión de que esto está sucediendo, […]

Standalone Spring OAuth2 JWT Authorization Server + CORS

Así que tengo el siguiente servidor de autorización condensado de este ejemplo de Dave Syer @SpringBootApplication public class AuthserverApplication { public static void main(String[] args) { SpringApplication.run(AuthserverApplication.class, args); } /* added later @Configuration @Order(Ordered.HIGHEST_PRECEDENCE) protected static class MyWebSecurity extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http //.csrf().disable() .authorizeRequests() .antMatchers(HttpMethod.OPTIONS, “/oauth/token”).permitAll(); } […]

Cómo deshabilitar la seguridad de spring para una URL particular

Estoy usando seguridad de spring sin estado, pero en caso de registro quiero desactivar la seguridad del muelle. Inhabilité el uso antMatchers(“/api/v1/signup”).permitAll(). pero no funciona, recibo el siguiente error: message=An Authentication object was not found in the SecurityContext, type=org.springframework.security.authentication.AuthenticationCredentialsNotFoundException Creo que esto significa que los filtros de seguridad de spring están funcionando El orden de […]