问题标签 [security-context]

我一直在研究使用弹簧安全的应用程序。我对 spring security 很陌生，最终遇到了类似于this和this的问题。但它有点不同。

我以这种方式进行手动身份验证：

当页面加载时，一切似乎都正常。但是，当我在应用程序中导航时，似乎我失去了我的 SecurityContext。（如果用户登录，我有显示用户名的状态栏）

我这样得到我的上下文：

更重要的是，在某些不正确的加载之后，有时它会正确加载上下文并不会完全丢失。似乎我在一个会话中有多个上下文（我有 HttpSessionListener 和 sessionCreated 只触发一次）。我尝试打印出上下文的对象哈希，并注意到有几个不同的哈希重复。只有一个与我的连接用户有关，其他则不是。

所以我假设一个会话中有几个上下文（如果这可能的话）。我希望我清楚地解释了一切。如果有人可以为我提供一些帮助，我将不胜感激。

我有一个没有配置 Spring 的 JMX 服务器，并且正在尝试为授权部分实现 Spring Security。（见这里，https://blogs.oracle.com/lmalventosa/entry/jmx_authentication_authorization 用例 4，没有授权部分）

我现在想使用 Spring Security 实现授权部分。

在我的 JMX 身份验证器中，我这样做：

在 MBean 中，我尝试获取它并查看它是否已正确传递（将来我计划添加 Spring Annotations 以检查角色和方法调用）。

问题是，在标准连接流程中：

我得到一个 JMX 连接器，然后连接到 MBean 服务器并调用一个方法——它可以工作。我通过了验证器，设置了 Spring Context 并在 Mbean 中获取它。

但是，例如，当我使用 Jconsole 进行连接时，我没有在 Mbean 中获得 Spring Context。

我正在使用可继承线程策略。

1. 当使用 JConsole 和其他连接器进行连接时，是否有办法在 MBean 中获取上下文？
2. 如果我使用 Spring 实现 JMX，它会帮助我解决问题吗？
3. 我的主要流程是万无一失的吗（有没有机会我不会在 MBean 中获得上下文）？我问这个，因为这个流程对我来说很重要，所以要做到万无一失。

非常感谢！

我不知道我在哪里遗漏了一些东西，非常感谢您对此的帮助！我尝试登录后收到“不支持身份验证方法：GET”消息。

这是我的security-Context.xml：

还有我的登录控制器：

如果您需要更多信息，请告诉我

我的查询有问题，但我不知道是什么原因造成的，所以我需要你的帮助 =)

我得到以下异常：

PreparedStatementCallback; 错误的 SQL 语法 [选择 USERNAME 作为用户名，密码作为密码，来自 ams.user where USERNAME=?]; 嵌套异常是 com.mysql.jdbc.exceptions.MySQLSyntaxErrorException: You have an error in your SQL syntax; 检查与您的 MySQL 服务器版本相对应的手册，以在第 1 行的“from ams.user where USERNAME='admin'”附近使用正确的语法

这是我的 login.jsp：

这是我的安全上下文代码：

有谁知道可能导致此错误的原因？非常感谢您对此的帮助=）

我正在尝试学习 Selinux。使用沙箱并使用 VSFTPD 进行试验，我有一个在 Centos 中运行的 vsfptd 服务器。我有匿名用户将文件放在 /var/ftp/incoming 中。在远程机器上，我可以让用户成功登录，但无法将文件放在删除 vsftpd 服务器上：

在 VSFTPD 服务器上，aureport -a 报告显示：

我检查了目录，文件上下文看起来不错，所以我不明白为什么 Selinux 不允许 vsftpd 写入传入目录：

1. 我有一个应用程序导出 Web 服务，并配置了 Spring Security SecurityFilterChain（SecurityContextPersistenceFilter除其他外，其余部分都需要）。
2. 我的应用程序还使用 Spring Security 来保护方法调用。

触发方法安全性时出现以下错误：

第二部分需要输入Authentication，SecurityContextHolder如org.springframework.security.access.intercept.AbstractSecurityInterceptor（第 195 行）所示：

但是，SecurityContextPersistenceFilter在触发方法调用之前将其删除，如 org.springframework.security.web.context.SecurityContextPersistenceFilter（第 84 行）所示

SecurityContextHolder当触发方法调用时，我该怎么做才能让这个对象进入？

先感谢您。

我正在使用 Spring Security 3.0.8-RELEASE

我正在使用 Java EE、JAX-RS、Jersey 编写 API。为此，我实现了自己的安全上下文和安全过滤器。

看着像这样的问题（如何在 Jersey 中获取 MIME 类型的上传文件）我已经看到了 @Secure 注释，但它有什么作用？我希望这是一个注释，它以与 @RolesAllowed 检查用户是否有权访问特定方法的方式相同的方式查询安全上下文的 isSecure 方法。如果是这样，是否有这样一种方法可以使用注释来做到这一点，或者我是否坚持使用@Context 来获取安全上下文并从中获取。

我确实从这篇文章中得到了答案，但是令牌属性为空，并且用户已正确登录并且路由位于防火墙后面。另外，我在其他服务中注入了 SecurityContext 并且它工作正常。

服务.xml：

我的扩展：

I'm working on a legacy app (Spring 2.2.5, Spring Security 2.0.8). Authentication is achieved by custom PreAuthenticationProcessingFilter, where SecurityContext is populated with Authentication object. This authentication is available in most places (be it direct SecurityContextHolder call, or AccessDecisionManager/AfterInvocationProvider arguments). However there are places where Authentication object (accessed by SecurityContextHolder) is null. What is really bizzare is that this happens within single Http request. Class A gets Authentication object, Class B, called later in the stack gets null. Naturally, this happens within the same thread which rules out the simpliest answer to this problem. It appears that despite the thread being the same SecurityContextHolder returns different SecurityContext objects (SecurityContext.toString() returns different memory addresses). What is important is that the place where this happens is not your usual Spring bean. This is a rather custom module subsystem with custom class loader involved and I think that this might have to do something with this bizzare effect.

So the question is: What, besides spawning different thread can cause SecurityContextHolder to "lose" SecurityContext object?

如何从 symfony2 中的视图访问用户信息（安全上下文）。使用 PHP，而不是树枝模板。

提前致谢。