SECURITY

java - 使用 Java Config 的 Spring Security 无法使用 eraseCredentials 方法

使用SpringSecurity3.2.2和SpringFramework3.2.8的以下JavaConfig配置，即使我使用“.eraseCredentials(false)”，用户密码也会被删除，并且它无法使用authentication.getCredentials()。@Configuration@EnableWebSecurity@Order(1)publicclassSecurityConfigextendsWebSecurityConfigurerAdapter{@Bean(name="authenticationEntryPoint")publicLoginUrlAut

eraseCredentials Security 34 beans authentication java spring spring-security

java - 仅在使用 Java 的 Tomcat 8+ 上启用记录 SSL 握手失败(审计目的日志)

如果REST客户端尝试连接到我的应用程序时SSL握手失败，我需要记录。该应用程序是使用SpringBoot和Java8构建的，并部署在Tomcat8上。在SSL握手失败的情况下，由于TLS连接断开，日志记录要求可能必须在Tomcat层或Java中完成，因为在我的案例中Tomcat使用底层JVM进行SSL证书验证。我知道启用调试级别日志记录。-Djavax.net.debug=ssl但这会记录大量信息并会减慢进程。并记录成功的SSLvaldiations。有没有办法在Java或Tomcat级别使用最少的日志单独启用故障案例。我不是从调试的角度来看这个，因为SSL调试日志对此非常有用。此要

握手 Tomcat 34 li java security ssl

java - 您如何配置 spring security 以使用基本身份验证对数据库进行身份验证？

我已经用Java编写代码13周了，目前正在开发RESTfulWeb服务。后端已经完成，现在我正在创建一个UI。要求之一是用户使用httpbasic登录。我将此配置为当用户导航到该页面时弹出对话框出现，您可以输入一个硬编码用户我已经登录并登录。但我真正需要它做的是验证用户一个数据库。我进行了广泛搜索，试图找到一种方法来配置它以针对数据库进行验证，但无济于事。这是我的虚拟用户的spring-security.xml文件。-->这里是(我相信)唯一与我的web.xml文件中的设置相关的信息。springSecurityFilterChainorg.springframework.web.fi

security spring 34 gt lt java spring-security basic-authentication

java - 具有路径变量和 Ant 匹配器的 Spring Security 自定义方法

我正在使用带有java配置的springboot、webMVC和springsecurity。我的URL是“RESTful”的，想要添加自定义授权方法。例如:.antMatchers("/path/*/**").access("@myBean.authorise()")我想实现这样的目标:.antMatchers("/path/{token}/**").access("@myBean.authorise(token)")我知道我可以传入HttpServletRequest并手动去除路径，但我想避免这种情况!也不太热衷于方法级安全性，宁愿将配置保存在一个地方，因为我有很多Controll

自定义方 section code spring java spring-mvc spring-security

java - 功能标记与授权

我刚刚偶然发现了功能标记的概念，以及一个流行的开源Java库，名为Togglz，其中引用了MartinFowler的博客文章:Thebasicideaistohaveaconfigurationfilethatdefinesabunchoftogglesforvariousfeaturesyouhavepending.Therunningapplicationthenusesthesetogglesinordertodecidewhetherornottoshowthenewfeature.但对我来说，这听起来确实像授权:用户是否被授权查看此内容？例如，用户是否应该能够看到FizzBu

java 功能 section strong blockquote security authorization featuretoggle togglz

java - Java/Clojure 中的 SSL 无法访问证书路径

我在Clojure中使用http-kit，当访问https://页面时，我得到无法找到请求目标的有效认证路径::causeunabletofindvalidcertificationpathtorequestedtarget:via[{:typejavax.net.ssl.SSLHandshakeException:messageGeneralSSLEngineproblem:at[sun.security.ssl.HandshakercheckThrownHandshaker.java1375]}{:typejavax.net.ssl.SSLHandshakeException:me

Clojure java section security code validation ssl

java - Spring Security hasPermission 不起作用

我正在尝试将SpringSecurity集成到我的SpringWeb应用程序中。基本上我需要根据用户权限隐藏一些菜单。这是我所做的。我在类路径下添加了JARS。spring-security-acl-4.0.2.RELEASE.jarspring-security-config-4.0.2.RELEASE.jarspring-security-core-4.0.2.RELEASE.jarspring-security-taglibs-4.0.1.RELEASE.jarspring-security-web-4.0.2.RELEASE.jar下面是web.xml中的条目log4jConf

hasPermission Security code gt lt java spring spring-mvc spring-security

java - 如何设置 Java 以使用 Eclipse 的用户特定证书？

我不敢相信我是唯一遇到这个问题的人。我已经在谷歌上搜索了几个小时，但没有任何运气。Java安全文档似乎没有彻底解决PKCS12证书问题。我正在尝试为用户特定的PKCS12证书设置Java。除其他外，这将用于在Eclipse中，我可以访问通过证书进行身份验证的Trac服务器。我正在为eclipse使用TracMylyn集成插件。这是设置:用户主目录在/home多用户安装在/central每个用户都有一个个人证书:~/user.p12个人证书的密码是:pass1234用户密码存储在~/password.txt的0400文件中ca的只读信任库位于:/central/ca.jks信任库没有密码

Eclipse java li 34 user security trac pkcs#12

java - 为什么 Java 7 为已签名的应用程序请求网络权限？

自Java7Update5以来，我的JavaWebStart应用程序正在请求建立连接的权限。该应用程序已使用有效证书签名。弹出窗口显示以下文本:Theapplicationhasrequestedpermissiontoestablishconnectionstowww.example.com.Doyouwanttoallowthisaction?[OK][Cancel]在拒绝请求时，我在控制台上得到了这个跟踪:Uncaughterrorfetchingimage:java.lang.SecurityExceptionatjava.lang.SecurityManager.checkP

java Unknown Source sun security java-web-start

java - 如何使用 OWASP HTML Sanitizer 允许特定字符？

我正在使用OWASPHtmlSanitizer来防止对我的网络应用程序进行XSS攻击。对于许多应该是纯文本的字段，Sanitizer的表现超出了我的预期。例如:HtmlPolicyBuilderhtmlPolicyBuilder=newHtmlPolicyBuilder();stripAllTagsPolicy=htmlPolicyBuilder.toFactory();stripAllTagsPolicy.sanitize('a+b');//returna+bstripAllTagsPolicy.sanitize('foo@example.com');//returnfoo&

Sanitizer OWASP section code stripAllTagsPolicy java security xss sanitization

137 138 139140141 142 143