草庐IT

programmer$security

全部标签

java - Spring Security SAML + HTTPS 到另一个页面

我使用SpringSecuritySAML创建了一个项目。我需要编写一个代码(同一个项目),它通过带有SOAP的HTTPSPOST连接到另一台服务器:PostMethodpost=newPostMethod("https://www.somepage.com");post.setRequestHeader("SOAPAction","action");post.setRequestEntity(newStringRequestEntity(soapXML,"text/xml","UTF-8"));HttpClienthttpclient=newHttpClient();httpclie
SecuritySpringreturnpublicnewjavaspring-securitysamlspring-saml

java - 如何使用 Spring Security 获取 session 超时消息

我想在session过期时获取session超时消息。下面是我的spring-security.xml据我所知,当session过期时使用上面的代码,它应该重定向到/?timeout=trueOR/Timeout?timeout=true。在注销时,它应该转到/。但在我注销的情况下,它还会重定向到invalid-session-url,所以对于正常注销和session超时,我总是会超时。请帮我区分一下。更新/logout请求包含session=request.getSession();session.invalidate();session=null; 最佳
Securitysessioncode34javaspringspring-mvcspring-security

java - 提供配置 spring security 的方法?

是否可以通过从外部文件读取配置详细信息并进行相应配置的方式来配置Spring安全性?(我不是在谈论在运行时更改配置,我是在谈论在启动时从文件中读取)。我现有的Spring安全配置示例:@EnableWebSecurity@ConfigurationpublicclassSecurityConfig{@BeanpublicUserDetailsServiceuserDetailsService()throwsException{InMemoryUserDetailsManagermanager=newInMemoryUserDetailsManager();manager.createU
securityspring34strongcodejavaspring-security

java - Spring Security 和自定义外部身份验证

我有这样的任务-将我的Web应用程序与外部单点登录服务集成。它是SSO的自定义非标准实现,它基于设置特定的cookie并重定向回应用程序。SSO和应用程序在同一个域中。目前我正在使用SpringSecurity过滤器来检查特定URL上的这个cookie。这适用于场景:Web应用程序->SSO[提供回调url]->重定向回我的应用程序。但是当用户访问提供身份验证服务的应用程序然后“跳转”到我的应用程序的任何url时,它显然会失败(并且不会检查cookie,因为没有触发“特殊”url)。推荐使用SpringSecurity解决此类问题的方法是什么?谢谢! 最佳答
自定Securitysectionspringsecurity-singlespring-securityjavaspringsingle-sign-on

java - 与基本链接的 Spring Security Kerberos

我有一个关于SpringSecurity的快速问题。我正在寻找一种将安全性集成到我们的应用程序中的解决方案,该应用程序提供SSO,但也提供基本的HTTP。我们系统的一个自动化部分只能支持基本身份验证,我们被它锁定了。目前,我们的目标是将Kerberos用于我们的SSO解决方案,然后还支持基本(非常受限的使用)。所有这些都将保护通过resteasy运行的RESTfulWeb服务。有没有人看到在springsecurity中将Kerberos和BASIC链接在一起的解决方案存在任何固有的不可能性?我们在WildFly和undertow方面遇到了问题,无法支持多种不同的身份验证方法,这些方法
SecurityKerberosstrongjavaspringjbossspring-securitywildfly

JAVA 签名对象 - 没有安装的提供程序支持此 key : sun. security.rsa.RSAPrivateCrtKeyImpl

我想使用key工具和以下命令创建的一对RSAkey对创建的文件进行签名:keytool-genkeypair-aliaskey-keyalgRSA-keysize2048-sigalgSHA256withRSA-validity365-keystorekeystore.jks我想初始化我的Signature对象,所以我尝试了这个:PrivateKeyprivateKey=(PrivateKey)keyStore.getKey(PRIVATE_KEY_ALIAS,privateKeyPassword);Signaturesignature=Signature.getInstance(SI
RSAPrivateCrtKeyImplsecuritysectioncodekeyjavaencryptiondigital-signature

USENIX Security 安全顶会文献阅读:《ALASTOR : Reconstructing the Provenance of Serverless Intrusions》

USENIXSecurity22年中稿论文-CCFA-安全顶会热容器重用策略(WarmContainerReusePolicies)是无服务器计算中的一种性能优化手段,目的是通过缓存最近调用的函数实例在内存中以提高性能。这种优化允许攻击者在发现漏洞时建立准持久性,违反了单个函数调用的隔离性。热容器重用的问题由于安全策略和配置不佳而被放大,使得攻击者能够通过函数工作流横向移动,从而在无服务器应用中就像在传统服务器中一样容易地利用漏洞。因果路径(CausalPaths):因果路径是指在复杂系统中,特定事件或状态之间的因果关系链。在无服务器计算和安全分析的背景下,因果路径指的是一系列事件的连接,这些
ReconstructingProvenancexffxff0cxff0serverless云原生云安全溯源

java - Spring Security 空指针异常

我试图将我数据库中的用户映射到SpringSecurity用户,但运气不佳。我的UserServiceImpl如下(当我通过servlet调用它时,Autowiring通常工作正常,但在SpringSecurity中使用时抛出一个空指针...@Service("userService")@TransactionalpublicclassUserServiceImplimplementsUserService,UserDetailsService{protectedstaticLoggerlogger=Logger.getLogger("service");@Autowiredpriva
SecuritySpringspringframework34javaspring-security

java - 我可以使用 Spring Security 管理多个浏览器选项卡吗?

我想知道,如果使用SpringSecurity,我是否可以验证用户session,只允许打开一个浏览器选项卡。可能吗?我还想知道我是否可以做到这一点,当用户关闭选项卡并在他的session结束前再次打开它时,从直接应用程序SessionFilter中再次打开它,而无需转到登录屏幕。我正在使用JSF1.2、RichFaces3.3.3、Hibernate和其他...详情:我知道springsecurity,我正在研究它。现在感谢并原谅我糟糕的英语。再见! 最佳答案 没有。SpringSecurity无法判断请求是来自原始选项卡还是来自
SecuritySpringsessionsectionjavajsfspring-security

java - Java 8 中的新 java.security.AccessControlException

以前工作的网络代码抛出java.security.AccessControlException在完全沙盒化的Javaapplet中。Can'tgetsocket2255:java.security.AccessControlException:accessdenied("java.net.SocketPermission""50.31.1.13:2255""connect,resolve")甲骨文改变了什么——必须跳到什么新的安全圈保持套接字正常工作?这适用于Java1.7.0_55和所有以前的java版本。 最佳答案 这确实改变了
AccessControlExceptionjavacodesectionsecuritysockets
20212223242526