问题标签 [spring-security]

是否可以使用命名空间配置在 Spring 安全性中同时提及基于表单的身份验证和基本身份验证而不覆盖其他身份验证？这样应用程序就可以同时为基于浏览器的请求和远程客户端提供服务。

目前我有一个维护我的用户的 Ruby on Rails 应用程序，我有一个单独的应用程序 (Pentaho)，它使用 Acegi/Spring Security 对用户进行身份验证。

我已经能够更改 Acegi/Spring Security 对用户进行身份验证的方式，现在它指向我的 Ruby on Rails 应用程序的数据库，并且我可以使用基于表单的登录来让用户很好地进行身份验证。

我想知道是否可以将我的用户从我的 Ruby on Rails 应用程序转发到 Pentaho 的 Acegi/Spring Security 并让他们在无需填写登录表单的情况下进行身份验证？（我不打算使用 CAS/SSO）

我做了一些研究，发现您可以使用：

• URL 参数即http://www.domain.com/auth?userid=[username]&password=[password]
• 基本认证
• 摘要式身份验证

显然，即使在 HTTPS 上使用 URL 参数方法也不安全，因为它会传递明文密码（基本身份验证也是如此），所以我的最后一个解决方案是摘要式身份验证。

我将如何将用户凭据从我的 Ruby on Rails Web 应用程序推送到使用 Spring/Acegi 身份验证的 Pentaho 并让用户进行身份验证而无需填写表格？

我需要对 Spring/Acegi 框架进行哪些更改？我需要在 Ruby on Rails 中创建什么样的链接或方法才能做到这一点？

任何帮助，将不胜感激！

我有一个现有的带有 Swing 接口的 Spring 应用程序。它使用 Spring Security 连接到 LDAP 系统，没有用户表，没有角色表，没有任何安全表。我想使用 Acegi 插件，但是，它要求我有一个 USER 表。如何覆盖插件以表明我不想要这个。事实上，我已经为我的 Swing 应用程序编写了一个安全服务，它构建了一个身份验证管理器。我如何绕过这个 USER 表的东西，而是注入我自己的安全服务？

我在同一个tomcat中有两个应用程序。其中一个应用程序使用 spring security 进行身份验证。我希望方法 getRemoteUser 在登录到第一个应用程序时在第二个应用程序中返回有效用户名。

有没有简单的方法来实现这一点？你能指出我最简单的解决方案吗？

感谢您的回复

我正在尝试将 Spring Security 集成到我的 Web 应用程序中。只要你整合了认证和授权的整个过程，这似乎很容易做到。

但是，身份验证和授权似乎如此耦合，以至于我要了解如何拆分这些过程并独立于授权进行身份验证非常耗时。

身份验证过程在我们的系统外部（基于单点登录）并且无法修改。然而，一旦用户成功完成了这个过程，它就会被加载到会话中，包括角色。

我们试图实现的是利用这些信息来进行 Spring Security 的授权过程，也就是说，强制它从用户 session 中获取角色，而不是通过 authentication-provider 来获取它。

有什么办法可以做到这一点？

我刚刚安装了带有 NetBeans 6.5.1 和 JDK 6u16 的 Windows 7。我已经使用 SVN 检查了 Web 应用程序项目，该项目正在使用 Spring 安全性。库是导入的，没有参考问题，与 XP 相同的配置。

这是异常的开始：

完整版在这里。

如果您有任何建议，请写在下面！提前致谢！

我想在 jsp 中为 spring 安全身份验证异常显示自定义错误消息。

对于错误的用户名或密码，

对于用户被禁用，

我是否需要为此重写 AuthenticationProcessingFilter ？否则我可以在 jsp 本身中做一些事情来查找身份验证异常密钥并显示不同的消息

我一直在玩 Spring Security 并注意到以下奇怪之处。

当我<http>在我的安全上下文 XML 中指定这样的块时。

当我用浏览器点击各种 URL 时，所有 URL 似乎都会触发 HTTP 基本身份验证。

这很好，符合我的预期，但是当我将方法参数添加到 1 个拦截 URL 时，如下所示：

/url2除了我明确将方法设置为 ( )的 URL 之外，所有 URL 的基本身份验证均已关闭。

这是它应该如何工作的，因为它对我来说似乎有点愚蠢。这是一个错误吗？

所以我正在使用 Spring Security 开发这个 Spring MVC 应用程序。在我的控制器响应时间过长的某些情况下，我遇到了性能问题。这是由于一种处理方法可以根据一些用户输入来处理大量数据。

现在，我一直在与我的团队一起在该处理方法内部和周围稍微调整代码，我认为如果不对其进行切片并异步执行每个切片，我们就无法从中获得更好的性能。

问题是当我尝试使用 java.util.concurrent 中的线程池对其进行切片并将工作分配给子线程时，我在执行时收到有关安全上下文的错误消息。

这是堆栈跟踪的摘录：

我知道从请求中生成线程不是一个好习惯……但是我们现在已经没有想法了，根据我们的测量，每个工作线程不应该花费超过几秒钟的时间。此外，预计此功能将仅由 1 或 2 个专用用户每周使用一次。

有没有办法将 securityContext 传递给子线程或允许这些线程执行的任何类似方法？

谢谢

在我的第一个 Spring Web 应用程序中解决了所有与身份验证相关的问题后，我现在陷入了授权问题。

使用@Secured注释的配置非常简单，所以我认为我在这里没有犯错。此外，我正在使用使用 LDAP 身份验证提供程序的 Active Directory，并按 AD 组分配角色，所以也不是问题。

所以这里是我的问题的简要总结：

• 不安全的操作有效
• 使用@Secured("IS_AUTHENTICATED_FULLY") 工作的行动
• 使用类似的@Secured("GROUP_*") 操作不起作用

调用安全操作时org.springframework.security.AccessDeniedException会抛出 a。以下是日志的摘录：

如您所见，该操作需要GROUP_IT角色，而我的用户对象具有此权限。我真的不知道是什么导致了这个问题。