草庐IT

Security​

全部标签

spring-security - 解决 Kotlin 中的意外覆盖错误

我最近开始使用Kotlin并开始使用Kotlin的SpringBoot宠物项目。我正在尝试将自定义用户域对象集成到SpringSecurity,因此想要实现UserDetails界面。鉴于我的域用户对象如下:importorg.springframework.data.annotation.IdasDocumentIdimportorg.springframework.data.mongodb.core.mapping.Documentimportorg.springframework.security.core.GrantedAuthorityimportorg.springfram
spring-securitysecurityStringKotlinspringframework

security - MongoDB "userAdminAnyDatabase"用户无法管理 "any database"中的用户。为什么?

这是一个userAdmin与userAdminAnyDatabase的问题。在system.users我有以下用户(密码1234两个):>db.system.users.find(){"_id":ObjectId("52a976cb7851682aa44d6d4d"),"user":"admin_one","pwd":"884f516cf308a4c6a75bbc5a0a00807b","roles":["userAdmin","dbAdmin"]}{"_id":ObjectId("52a97c697851682aa44d6d4f"),"user":"admin_two","pwd":
ampuserAdminAnyDatabase34codesectionsecuritymongodbprivilegesaccess-control

security - GORM 的这个实现目前不支持基于字符串的查询,如 [executeQuery]

我正在尝试使用grailsmongo插件在mongodb中持久化spring-security-acl域对象。在执行以下代码行时aclUtilService.addPermissionPhone.class,phoneInstance.id,newPrincipalSid(username),BasePermission.ADMINISTRATION我收到以下错误:String-basedquerieslike[executeQuery]arecurrentlynotsupportedinthisimplementationofGORM.Usecriteriainstead..Stac
不支executeQuerysectioncodesecuritymongodbgrailsspring-securitygrails-orm

security - 在 URL 中使用 ID(来自 mongo 的 ObjectId)是否安全?

最近有人告诉我,在URL中使用mongodb_id字段是不安全的。我想知道这是不是真的。我的网站仅限于注册用户,每个用户都有他们的URL端点,其中包含来自mongo的id。这是典型的mongodb_id字段-一个SHA1。AFAIK,id是不可猜测的,即使有人点击了别人的id,我的应用程序中基于session的身份验证也不允许访问。除了应用程序本身之外,没有人可以直接访问数据库。我很想知道我是否缺少任何东西。编辑:澄清的问题。(mongodbObjectID不是SHA1) 最佳答案 MongoDB中的_id字段(默认情况下)为Obj
securityObjectIdsectioncodemongodburl

security - MongoDB id 可以猜测吗?

如果您将api调用绑定(bind)到对象的id,是否可以简单地强制此api获取所有对象?如果您想到MySQL,那么使用增量整数ID完全可以实现这一点。但是MongoDB呢?id可以猜吗?例如,如果你知道一个id,是否容易猜到其他(下一个、上一个)id?谢谢! 最佳答案 2019年1月更新:如评论中所述,以下信息在version3.2之前都是正确的。.版本3.4+changedthespec以便机器ID和进程ID合并为一个随机的5字节值。这可能会使找出文档的来源变得更加困难,但它也简化了生成过程并降低了冲突的可能性。原答案:对于塞尔吉
猜测securitysectionstronglimongodb

java - 使用 Spring Security + Spring 数据 + MongoDB 进行身份验证

我想将Spring安全性与MongoDB一起使用(使用Spring数据)并从我自己的数据库中检索用户以实现Spring安全性。但是,我不能这样做,因为我的用户服务类型似乎不受支持。这是我的UserService类:publicclassUserService{privateApplicationContextapplicationContext;privateMongoOperationsmongoOperations;publicUserService(){applicationContext=newAnnotationConfigApplicationContext(MongoCo
Springampcodepublicsectionjavamongodbspring-securitymongodb-java

java - 使用 Spring Security + Spring 数据 + MongoDB 进行身份验证

我想将Spring安全性与MongoDB一起使用(使用Spring数据)并从我自己的数据库中检索用户以实现Spring安全性。但是,我不能这样做,因为我的用户服务类型似乎不受支持。这是我的UserService类:publicclassUserService{privateApplicationContextapplicationContext;privateMongoOperationsmongoOperations;publicUserService(){applicationContext=newAnnotationConfigApplicationContext(MongoCo
Springampcodepublicsectionjavamongodbspring-securitymongodb-java

security - JSONP 可以安全使用吗?

在使用JSONP时有哪些安全问题需要考虑? 最佳答案 更新:JSONP是一种常见的跨域请求方法。现代浏览器现在有跨域资源共享,IE8+有类似的XDomainRequest。见http://enable-cors.org/了解更多信息。JSONP只是一个脚本包含,允许您使用回调。但是,您应该注意Cross-siterequestforgery(CSRF).只要您控制脚本和服务器,JSONP就不再比脚本包含不安全。除非您有一个JSONP服务将敏感数据返回给登录用户。恶意站点可以向服务发送请求(希望用户登录到您的站点),然后检索数据。该服
securityJSONPsectionstrongjson

java - 具有角色和权限的 Spring Security

我正在尝试使用权限设置基于角色的安全性。我正在尝试与Spring-Security一起执行此操作。我不想设置ACL,因为这对我的要求来说似乎有点过头了。我只想拥有本article中所述的简单权限和角色.不幸的是,这篇文章没有描述如何实现给定的解决方案。有人已经尝试过这个并且可以为我指出正确的方向吗?也许还有另一个描述实现的博客条目?非常感谢。 最佳答案 我是相关文章的作者。毫无疑问,有多种方法可以做到这一点,但我通常这样做的方法是实现一个了解角色和权限的自定义UserDetails。Role和Permission只是您编写的自定义类
SecuritySpringcodesection自定javaspring-security

java - 使用 Spring Security 进行单元测试

我的公司一直在评估SpringMVC,以确定我们是否应该在下一个项目中使用它。到目前为止,我喜欢我所看到的,现在我正在查看SpringSecurity模块以确定它是否是我们可以/应该使用的东西。我们的安全要求非常基本;用户只需能够提供用户名和密码即可访问网站的某些部分(例如获取有关其帐户的信息);并且网站上有一些页面(常见问题解答、支持等)应该允许匿名用户访问。在我创建的原型(prototype)中,我在Session中为经过身份验证的用户存储了一个“LoginCredentials”对象(仅包含用户名和密码);例如,一些Controller检查该对象是否处于session中以获取对登
SecuritySpringSecurityContextHoldercodesectionjavaunit-testingspring-security
131132133134135136137