问题标签 [security-context-token]

我需要以下解决方案：

有一个带有 SOAP1.2 绑定和此安全策略的 .NET WCF WebService：（
来自 wsdl：SecureConversationToken）

我有一个发出请求调用的 Apache CXF (wsdl2java) 客户端。
如果可能的话，我如何添加/协商请求的安全上下文令牌（cxf 版本 2.5.0）？
我对此很陌生，所以我正在寻找一个 guide4dummies ;)

I have a scenario where I have to force the users to reset password on first login. For this I am using a custom successAuthenticationHandler. All this handler trying to do is see if logged in user requires to reset password. If yes create a new UsernamePasswordAuthenticationToken and set it onto SecurityContext. And then redirect to resetPasswordUrl.

Here is my onAuthenticationSuccess method:

If yes create another UsernamePasswordAuthenticationToken with same credentials as logged in user, but just assign him a single role "RESET_PASSWORD", so that he cannot access anything alse by hitting any other link/url.

Now I do see the new UsernamePasswordAuthenticationToken being created with just a RESET password role. But looks like while doing redirect to the resetPasswordURl the spring filter do some checks and user is getting unauthenticated after I set my new UsernamePasswordAuthenticationToken .

Heres is the root cause that I see in the logs:

Any comments where I am going wrong ?

我正在尝试将当前登录的用户注入监听器。我的目标是每次用户执行任何操作时都将当前的 \DateTime() 写入我的“demo_user”表的“last_active”列（这两种方法都不适用于我）。

应用程序/配置/config.yml

src/Demo/UserBundle/EventListener/ActivityWatcher.php

但是 $token 总是空的......更新：没有提到，发生这种情况时我已经登录并通过了身份验证

有任何想法吗？啊，谢谢，扬

更新：

我也尝试只注入security.context：

但有一个

在我们的项目中，注册过程会在注册后自动登录用户，如下所示：

除非我们也在同一操作中发送电子邮件，否则效果很好。

对于电子邮件，我们使用的是 swiftmailer。

任何人都可以对此有所了解吗？为什么会这样？我该怎么做才能让用户保持登录状态并发送电子邮件？

我有一个本机 win 32 应用程序，在作为 HTTP 服务器进行负载测试期间，它会导致工作集随着时间的推移而增加。没有内存泄漏（通过在 PerfMon 中跟踪 Private Bytes 并在运行时使用 FastMem 监控内存使用情况来确认）。注意：负载是恒定的，大约有 50 个并发连接，所以没有明显的变化。

使用 Process Explorer，我将问题缩小到令牌句柄泄漏。我还使用 madKernel 来报告句柄使用计数，这也证实了令牌句柄不断增加。

准确地说，我在 Process Explorer 中看到以下内容：

Process Explorer 中显示的所有令牌句柄都具有相同的名称：'Doug-M46\Doug:ff739'）：

我可以在代码中看到没有安全性（或其他需要安全凭证的相关 API 调用），但是肯定有一些被调用的东西导致了这个问题，我只是不知道还要寻找什么。

我已经使用 AQTime 尝试跟踪泄漏源，但没有任何运气。在这一点上，我正在考虑挂钩所有可能导致此泄漏的 API 调用，因此我可以追踪它，但我更愿意避免这种极端措施。

我的应用程序在一个单独的线程中使用 ICS HTTP Server 组件来处理我的应用程序的 HTTP 请求（32 位应用程序、Delphi XE-2、ICS V8 Gold、Windows 7 Professional Build 7601：SP1）。

任何对这些句柄泄漏原因的深入了解都将非常感激，因为我已经尝试追捕它们很长一段时间了。

参考：

什么会导致部分句柄泄漏？

我们正在使用 wsdl2java 和 cxf codegen 插件为受 ws-security 保护的服务创建客户端。

通过自动生成的客户端类 (OrganisationsEinheitenCoreService) 调用服务非常简单：

从服务调用方法“getStaaten”时，cxf 会自动请求带有用户名和密码的 SecurityContextToken（操作 = http://docs.oasis-open.org/ws-sx/ws-trust/200512/RST/SCT） ，在调用实际方法“getStaaten”之前。从服务接收到 SCT 后，cxf 存储 sct 并将其用于下一次调用。

出于某种原因，cxf 从不调用http://docs.oasis-open.org/ws-sx/ws-trust/200512/RST/SCT/Cancel来终止 SCT。我们也无法弄清楚如何明确地做到这一点，我们尝试了几种方法，比如对类进行 try-with-resource，或者获取客户端并调用 close 方法。

SCT 通常会在一定时间后自行过期，不幸的是我们需要在调用服务后立即关闭它们。

有任何想法吗？

我需要锁定对 MSSQL 服务器中链接服务器对象的访问。

我正在主机数据库上构建视图，我从中查询以填充仓库服务器上的临时表。我正在使用数据工具/SSIS 来提取视图数据。为了简化 SSIS 包，我使用OPENQUERY语法来查询我的仓库服务器上存在的链接服务器对象，并通过链接服务器对象连接到其他 SQL 服务器、Oracle 服务器等。

为了提供对链接服务器的访问，我在具有读取访问权限的主机 db 上设置了一个本地 SQL 登录，然后我使用“使用此安全上下文：”并传递本地 SQL 登录。这工作得很好。

我现在意识到我有一个问题：任何具有仓库访问权限的用户都可以因为隐藏的安全上下文查询链接的服务器对象！我不想要那个！我确实需要有权查询的人（这样我就可以编写我的 SSIS 包）以及 SQL Server 代理服务帐户才能访问，以便当 SQL Server 代理作业以该用户身份运行时它可以成功查询链接服务器。

我相信锁定对链接服务器对象的查询访问的关键在于“本地服务器登录到远程服务器登录映射”中的某个位置，但我很难弄清楚这一点。当我尝试添加例如NT SERVICE\SQLAgent映射到具有访问权限的本地登录名，然后保存时，我在保存时点击了“NT AUTHORITY\ANONYMOUS LOGON”登录失败。

关于如何允许具有访问权限的安全组和 SQL Server 代理服务帐户查询链接服务器而不是其他具有仓库访问权限的人的任何想法？