问题标签 [spring-security]

我需要将现有应用程序与 Acegi/Spring 安全接口。

为了开始，我正在寻找一条简单的信息：在这种情况下，从我的应用程序调用的 HttpServletRequest.getUserPrincipal() 是否会正确返回通过 Spring 获得的用户名（而不是使用 Spring 特定的对象）？我在谷歌上搜索了这方面的相互矛盾的信息。

我假设如果 Acegi 使用过滤器实现，它能够重载 Servlet API 的 getUserPrincipal()，对吗？

附属问题：如果默认情况下不是这样，有什么办法可以开启吗？

谢谢，

-埃里克

spring Acegi security 是否可以用于社交网络应用程序，用户可以设置他们的安全偏好以仅与他们的朋友共享他们的数据？

Acegi 教程的常见场景是您要授权每个用户角色的操作，但是授权用户查看特定数据（例如，仅他们朋友的数据）呢？

是否可以为此使用Acegi？如何？

我正在尝试让 spring-security 与一个项目一起工作，该项目既需要表单登录组件（用于网站访问），又需要用于 Web 服务的 http-basic 或 http-digest 组件。现在我们从基于命名空间的配置开始，例如一个 spring-security.xml 文件，其中包含以下内容：

但是你必须默认使用基于表单或默认使用http-basic（即这只配置一个过滤器链）。我想要的是某些东西永远不会重定向到表单，而只是使用 http-basic 或等效的。该手册似乎确实涵盖了这一点，只有当您遵循他们的建议时，您最终必须为所有内容定义自己的过滤器链。

所以我想知道，真的没有别的办法了吗？有没有一种方法可以将 http 元素引入的过滤器链重用于那些仍然可以使用旧方案的元素？基于命名空间的配置对我们来说非常方便，因为它易于阅读和理解，而 bean 定义列表则不那么......

我对UserDetailsManager界面很好奇。参考指南中没有提到它，在 JavaDoc 中它被描述为：

UserDetailsS​​ervice的扩展， 它提供了创建新用户和更新现有用户的能力。

在实现UserDetailsManager接口时，您必须实现它自己的五个方法，其中一个方法继承自它扩展的 UserDetailsS​​ervice。

这些方法是：createUser、updateUser、deleteUser、changePassword、userExists 和继承的方法 loadUserByUsername。

在 Spring Security 框架 v2.0.4 中有两个 UserDetailsManager 的具体实现：JdbcUserDetailsManager和LdapUserDetailsManager。

接口和具体实现均由 Luke Taylor 实现。

似乎 Spring Security 框架从不使用具体的实现。

我的结论是，该界面纯粹是作为一个方便的界面，框架的用户可能会或可能不会决定使用它。也许有人认为稍后会存在更具体的实现并为框架用户完成一些工作？

我正在寻找更多信息。为了使信息有价值，它必须直接或间接（我想这很可能）来自对框架开发过程有洞察力的人。其他任何人都可以猜测，就像我在上面所做的那样。

如果它只是一个方便的界面。是否还有更多没有出现在参考指南中的接口和类？我有兴趣知道，因为它可能在开发过程中对我有所帮助。

查看所有接口和类以查看框架中实际使用了哪些接口和类有点繁琐，如果涉及反射，也可能容易出错（因此调用了我的 IDE 无法识别的调用）。

我将我的 grails 1.0.4 + acegi 0.4.1 项目升级到带有 acegi 0.5.1 的 grails 1.1。

我能够无错误地启动我的应用程序，但是当我想登录时，我收到“错误的用户名或密码”消息。Grails-shell 输出为：

2009-04-26 12:38:46,997 [403984690@qtp0-0] 错误 springsecurity.GrailsDaoImpl - 用户
[admin] 没有 GrantedAuthority

也许有人知道我为什么无法登录？用户“admin”是在 Bootstrap 中创建的。

我希望你能帮帮我！感谢来自德国，whitenexx

我的应用程序使用 acegi 作为安全性。

有没有我可以连接 acegi 的 facebook connect/google/myspace 插件？

关于为什么我的 SpringSecurityFilter 子类中的 doFilterHttp 在每个请求中被调用两次的任何想法？我真的不知道从哪里开始寻找。感觉有点难受。

我正在对休假同事的代码进行逆向工程。尽我所能，这是相关的配置：

在 web.xml 中：

在 spring-security.xml 中：

看起来 /**/json/* url 将过滤器链应用了两次，而其他人只应用了一次。我要回去检查以确保我刚才所说的是真的。

当谈到 Spring Security 应用程序中的 GrantedAuthority 对象时，我有一个担忧。我正在寻找一种处理事情的好方法。首先，我试图描述我的担忧，如果有任何事实错误，请毫不犹豫地指出，我将不胜感激。

Spring Security 使用 GrantedAuthority 实例在应用程序的不同部分充当授权令牌。

默认情况下，GrantedAuthority 可以将自身呈现为字符串。当使用@Secured("ROLE_NAME")保护方法，或使用 Spring XML 配置保护 URL或以编程方式检查HttpServletRequest 请求时，如if(request.isUserInRole("ROLE_NAME")) {..}您用于指定要检查的权限的字符串。

我想知道在应用程序的几个地方使用静态字符串的含义。如果更改了角色名称，开发人员必须查找所有旧字符串并更新它们。如果缺少一个字符串，则不会出现编译时错误，只会在运行时出现问题。

在 Spring Security 应用程序中处理 GrantedAuthority 对象时，您认为最好的方法是什么？你的解决方案有什么优点和缺点？

我正在尝试构建一个控制逻辑，它依赖于当前的 gsp 页面来调用一个动作，是否有一个标签或会话方法可以用来识别当前的 gsp 页面

我想限制对除 singup 和登录之外的所有 GSP 的访问，因此如果用户打开任何其他 gsp，他将被重定向到注册页面，并且他也将能够导航到登录页面。

我试图实现的逻辑是这样的，如果 current_Page 是 login.gsp 或 singup.gsp 然后什么也不做重定向到注册 //用户可以导航到登录页面也没有问题

我想在主布局中添加这个逻辑，以便在所有应用程序域中实现它。

我想知道是否有使用 RequestmapController 或 UrlMappings 的替代方法？

任何有 springMVC 经验的人都可以提供帮助，因为 Grails 构建在 SpringMVC 之上，而 SpringMVC 又构建在标准 servlet 框架之上！

注意：我正在使用 Acegi 插件

备注：应用程序如何在实现这种安全机制的情况下对 SEO 友好（即 Google 索引）？

我目前正在使用 Spring、Sutruts2 和 Hibernate 开发我的项目。现在我想将 acegi 安全应用于身份验证和授权目的。

但是，我对 acegi 完全陌生，所以我想使用带有 spring 配置的 acegisecurity 框架。

如果有人有一个简单的带有 spring、struts2 和 hibernate 的 acegi 示例的链接，请提供给我。

提前谢谢......