secure-coding_草庐IT

java - 选择性使用 Spring Security 的 CSRF 过滤器

免责声明:我的问题有点类似于thisquestion和thisquestion，但我已经尝试了这些线程中建议的所有答案，并且已经花了几天时间来解决这个问题。我在我现有的应用程序(仅限JSP、Servlet)中引入了SpringSecurity3.2.6，并且我正在使用Java配置。我的应用程序将同时被浏览器和非浏览器客户端使用。我希望所有对URL的浏览器请求(即/webpages/webVersion/和/webpages/webVersion2/)都启用CSRF，而所有其他请求都禁用CSRF。非浏览器客户端永远不会访问以上两个URL，而浏览器应用程序也可能访问禁用CSRF的URL。我

java - 如何在两个域上使用 spring security 进行单点登录？

我有Web应用程序和两个域-example.com和example.ruexample.com-国际example.ru-本地国家我的网络应用程序使用springsecurity授权用户，但如果用户通过example.com在example.ru上登录，他不会登录。如果用户通过example.com或example.ru登录，他将同时登录到两个域，如何做到这一点？PS:顺便说一句，我的网络应用程序通过OpenID和OAuth使用授权最佳答案如前所述，您需要单点登录解决方案，Cloudseal提供了一个包含spring命名空间的s

何在 security cloudseal 34 java spring authentication spring-security

java - ojdbc7.jar 的驱动程序更新为 oracle/security/pki/OraclePKIProvider 提供了错误

之前一直在用ojdbc14.jar，现在想升级成ojdbc7.jar支持oracle12c。但是在连接服务器时出现“oracle/security/pki/OraclePKIProvider”错误。如果我将oraclepki.jar添加到类路径，服务器将正常启动而不会出现任何错误。我试图弄清楚在ojdbc7.jar中添加了什么特殊内容，它要求我添加oraclepki.jar，与ojdbc14.jar一样，它从未要求我将oraclepki添加到我的类路径中。有谁知道导致此错误的ojdbc7发生了什么变化，以及如何避免在类路径上添加oraclepki？最佳答案

OraclePKIProvider security section ojdbc oraclepki java oracle12c

java - Spring Security @WithMockUser 不适用于 cucumber 测试

我正在使用Cucumber测试来测试启用了SpringSecurity的SpringBoot应用程序。一切正常，除非我使用Cucumber测试运行我的测试套件，一些使用SpringSecurity的测试，例如。@WithMockUser(username="BROWSER",roles={"BROWSER","ADMIN"})失败。如果我将它们作为简单的junit测试单独运行，这些测试确实有效，但在使用Cucumber测试步骤运行时失败。当我对Cucumber测试运行相同的行为时，问题看起来像是spring安全测试模拟行为没有得到应用。我的cucumber测试运行类如下@RunWith

WithMockUser Security code 34 pre java spring spring-security

java - 重写 spring-security 重定向 URL

我正在尝试让TuckeyUrlRewriteFilter整理我的网络应用程序的URL。我遇到的一个问题是，当spring-security注意到匿名用户正在尝试访问protected资源时，它会重定向到一个包含servlet路径的URL。我想要的是，例如:>GEThttp://localhost:8080/my-context/protected-resource我目前得到的是:>GEThttp://localhost:8080/my-context/protected-resource目前我找到的相关文件:DefaultRedirectStrategy，执行相关的实际重定向:http

spring-security security gt lt filter java spring-mvc url-rewriting tuckey-urlrewrite-filter

java - 使用 LDAP 对使用 spring security 的 ADAM 进行身份验证

我正在尝试使用spring-security获取一个Java应用程序来与我设置的本地ADAM实例对话。我已经成功安装了ADAM并设置如下....在本地主机上运行的实例:389根是O=Company一个child叫做OU=CompanyUsers(orgnizationalUnit)一个叫CN=MikeQ的孙子(用户)uid=mike和password=welcome然后我设置了spring-security(版本3.0.3、spring-framework3.0.4和spring-ldap1.3.0)。Spring锉和测试身份验证publicclassTestAuthenticatio

security spring 34 code ldap java authentication spring-security adam

java - 使用带有 hdbc 的 spring security 3.0 逐步登录示例

我是Spring和SpringSecurity的新手。我只需要一个指向正确方向的指针:我有一个简单的SpringMVC/SpringSecuritywebapp。我想将登录功能添加到网络应用程序中。我创建了以下两个表。CREATETABLE"users"("USER_ID"NUMBER(10)NOTNULL,"USERNAME"VARCHAR(45)NOTNULL,"PASSWORD"VARCHAR(45)NOTNULL,"ENABLED"NUMBER(1)NOTNULL,PRIMARYKEY("USER_ID"))CREATETABLE"user_roles"("USER_ROLE_

security 逐步 34 section Spring java authentication spring-mvc spring-security

java - 单例对象工厂 : is this code thread-safe?

我有一个用于许多单例实现的通用接口(interface)。接口(interface)定义了可以抛出检查异常的初始化方法。我需要一个工厂来按需返回缓存的单例实现，想知道以下方法是否线程安全？UPDATE1:请不要建议任何第三部分库，因为由于可能的许可问题，这将需要获得法律许可:-)更新2:此代码可能会在EJB环境中使用，因此最好不要产生额外的线程或使用类似的东西。interfaceSingleton{voidinit()throwsSingletonException;}publicclassSingletonFactory{privatestaticConcurrentMap>CACH

thread-safe thread AtomicReference instance strong java thread-safety singleton factory atomic

java - Spring Security getPrincipal() 方法返回 anonymousUser

在我的springweb应用程序中，我想在我的Controller中获得一个经过身份验证的用户:Objectprincipal=SecurityContextHolder.getContext().getAuthentication().getPrincipal();但是主体的值是“anonymousUser”，尽管我已经登录了。如何获得经过身份验证的用户？我在spring-security.xml中的配置: 最佳答案不确定我是否理解，但试试这个关于java-SpringSecuri

anonymousUser getPrincipal 34 section code java spring spring-mvc spring-security

Java 失败并显示 "Could not reserve enough space for code cache"

我有以下问题:$java-jarprogram.jarErroroccurredduringinitializationofVMCouldnotreserveenoughspaceforcodecache系统看到的内存量似乎足够:$free-mtotalusedfreesharedbufferscachedMem:5959640531800390-/+buffers/cache:2495710Swap:409904099我尝试将堆设置降低到16mb，但没有帮助:$java-Xmx16m-Xms16m-jarprogram.jarErroroccurredduringinitializa

amp reserve section code java memory crash