问题标签 [principal]

我在 JBoss WildFly 10.0.0.CR2 上使用 Spring 3.2.11.RELEASE 和 Spring Security 3.1.4.RELEASE。我在我的应用程序上下文中设置了以下内容……

我注意到当我输入错误的用户名/密码组合时，会调用失败处理程序，当我输入正确的用户名/密码组合时，会调用成功处理程序，它最终会调用以下方法……</p>

这是在我的 web.xml 中配置的。请注意，Spring 安全过滤器会捕获有问题的成功 URL……</p>

但是，当调用上述方法时，“principal”对象为空，所以我无法确定谁登录了。Spring 中的什么机制在成功登录时设置 Principal 对象？我怎样才能弄清楚为什么我似乎能够正确登录，但尚未设置身份验证对象？

现在我继承了遗留应用程序来支持，我发现了一个非常奇怪的事情。该应用程序是基于 Vaadin 的应用程序，它托管在 JBoss EAP 5.1 上。在 JBoss 上配置了 login-config 模块 - org.jboss.security.auth.spi.LdapExtLoginModule。该模块工作正常并完成其工作。我想做的是如何访问由此登录模块创建的 JBossGenericProncipal？当我调试应用程序并检查会话（StandardSessionFacade）时，我可以看到它有一个字段主体，但它是私有的，并且无法访问此主体。

你知道如何找回这个校长吗？:)

提前致谢！

卡米尔

我正在使用 ASP.Net Web API 2 / .Net 4.5.2。

在排队后台工作项时，我试图保留调用主体。为此，我试图：

但是当我这样做时，我得到一个 ObjectDisposedException：

System.ObjectDisposedException：安全句柄已关闭

如何将当前主体保留在后台工作项中？
我可以以某种方式复制校长吗？

我有一个 WCF 服务，我使用自定义 UserNamePasswordValidator 来验证用户。

完成此操作后，将触发 IAuthorizationPolicy.Evaluate，这是我将主体设置为自定义用户上下文的地方，如下所示：

问题是我需要两件事来获得正确的用户上下文，这是用户名和标题中的值。

我知道我可以使用 messageinspector 来获取这样的标头数据：

但我需要在 Evaluate 方法中获取此信息，以便进行正确的登录（设置主体）。是否可以？如果是这样，怎么办？什么是替代方案？

PS。这将通过调用完成，因此无法使用特定的登录方法。

解决了：

我最终得到了这个：

我有一个设置，我需要结合两个安全框架 CXF Fediz 和 Shiro。我已经以这样一种方式设置了我的系统，即FederationFilter通过 SSO 服务进行登录。这意味着我已经拥有 HTTP 会话中的主体。

我正在使用一个依赖 Shiro 进行身份验证的库。据我了解 Shiro，它还希望针对某些外部权限（LDAP、AD 等）对当前用户进行身份验证。我不需要那个，因为 Fediz 已经为我做了这个。

如何将 Shiro 配置为仅使用 Fediz 创建的现有 HTTP 主体？

纯 lambda 表达式是否需要重命名？在 ML 中，输入程序表达式必须具有每个绑定变量都是不同的属性。我想知道纯 lambda 表达式（let-free 表达式）是否相同？

我如何取一个校长，看看它是否是一个团体？或者它有成员？

根据这个https://spring.io/blog/2014/07/15/spel-support-in-spring-data-jpa-query-definitions我应该能够构造一个条件查询：

我想要实现的是更改查询的大部分。这是一个完全合成的例子，但它展示了这个想法：

上面的查询给出了 org.hibernate.hql.internal.ast.QuerySyntaxException: unexpected AST node: ? 1号线附近

我尝试了有和没有 ?、'、:、# 的不同组合，但仍然没有运气。我怀疑由于@Query 的限制而不可能，或者我误解了语法。任何帮助表示赞赏。

经过广泛搜索，我没有找到解决此问题的方法。我正在尝试将 EJB 层移动到远程应用服务器。

Web 层：部署在 .ear 中的 JSF webapp。身份验证是通过 JDBC 领域进行容器管理的。

业务层：一个 .ear 文件，其中包含一个 EJB 模块，该模块利用角色声明性安全性。

当两者驻留在同一个应用服务器上时，即同一个 JVM，主体和角色是透明传递的。

但是，当我将业务层 .ear 部署到不同 JVM 上的远程应用程序服务器时，调用显然停止工作，因为用户没有足够的权限。

主要问题是，是否可以只传递主体和角色，而无需再次向应用服务器重新验证用户身份？

我已经阅读了Propagating a Security Identity，这给我带来了更多的困惑，尤其是在“容器之间的信任”这一段中：

当企业 bean 被设计为使用原始调用者身份或指定身份来调用目标 bean 时，目标 bean 将仅接收传播的身份。目标 bean 将不会收到任何身份验证数据。

I've been trying to write an integration test for our Spring MVC application. We're using oAuth2 for authentication.

Spring in this case gives us a Principal instance which we use to determine which entities we have to send back to the client. In our controller we have an endpoint:

Now in our test I want to make sure that we only send bookings for the authenticated user. Below the code for the test can be found:

How would I insert a OAuth2Authentication at the ????