Preguntas etiquetadas con spring-security

Tengo una aplicación web Spring MVC que usa Spring Security. Quiero saber el nombre de usuario del usuario actualmente conectado. Estoy usando el fragmento de código que figura a continuación. ¿Es esta la forma aceptada? No me gusta tener una llamada a un método estático dentro de este...

Problema: Tenemos una API RESTful basada en Spring MVC que contiene información confidencial. La API debe estar protegida, sin embargo, no es deseable enviar las credenciales del usuario (combinación de usuario / paso) con cada solicitud. Según las pautas REST (y los requisitos comerciales...

Hay conceptos e implementaciones en Spring Security, como la GrantedAuthorityinterfaz para obtener una autoridad para autorizar / controlar un acceso. Me gustaría eso para las operaciones permitidas, como createSubUsers o deleteAccounts , que permitiría a un administrador (con función...

Estoy tratando de integrar Spring Security SAML Extension con Spring Boot . Sobre el asunto, desarrollé una aplicación de muestra completa. Su código fuente está disponible en GitHub: Spring-boot-saml -integration en GitHub Al ejecutarlo como la aplicación Spring Boot (que se ejecuta en el...

¿Alguna idea de cuál podría ser la causa de esto? No se puede ubicar Spring NamespaceHandler para el espacio de nombres de esquema XML [ http://www.springframework.org/schema/security] org.springframework.web.context.ContextLoader initWebApplicationContext: Context initialization...

En el contexto de los marcos de seguridad, algunos términos comúnmente aparecen sujeto , usuario y principal , de los cuales no he podido encontrar una definición clara y la diferencia entre ellos. Entonces, ¿qué significan exactamente estos términos y por qué son necesarias estas distinciones de...

En mis controladores, cuando necesito el usuario activo (conectado), estoy haciendo lo siguiente para obtener mi UserDetailsimplementación: User activeUser = (User)SecurityContextHolder.getContext().getAuthentication().getPrincipal(); log.debug(activeUser.getSomeCustomField()); Funciona bien,...

Para mí no está claro cuál es la diferencia en la seguridad de primavera entre: @PreAuthorize("hasRole('ROLE_USER')") public void create(Contact contact) Y @Secured("ROLE_USER") public void create(Contact contact) Entiendo que PreAuthorize puede funcionar con spring el pero, en mi...

Mi compañía ha estado evaluando Spring MVC para determinar si deberíamos usarlo en uno de nuestros próximos proyectos. Hasta ahora me encanta lo que he visto, y ahora estoy echando un vistazo al módulo Spring Security para determinar si es algo que podemos / debemos usar. Nuestros requisitos de...

Me doy cuenta de que la seguridad de Spring se basa en una cadena de filtros, que interceptará la solicitud, detectará (ausencia de) autenticación, redirigirá al punto de entrada de autenticación o pasará la solicitud al servicio de autorización y, finalmente, dejará que la solicitud llegue al...

Cerrada . Esta pregunta está basada en la opinión . Actualmente no está aceptando respuestas. ¿Quieres mejorar esta pregunta? Actualice la pregunta para que pueda ser respondida con hechos y citas editando esta publicación . Cerrado hace 6 años .

Veo esto en mi aplicación Spring MVC web.xml: <filter> <filter-name>springSecurityFilterChain</filter-name> <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class> </filter> Estoy tratando de averiguar por qué está ahí y si realmente...

¿Cómo verificar la autoridad o el permiso del usuario en el código Java? Por ejemplo, quiero mostrar u ocultar el botón para el usuario según el rol. Hay anotaciones como: @PreAuthorize("hasRole('ROLE_USER')") ¿Cómo hacerlo en código Java? Algo como : if(somethingHere.hasRole("ROLE_MANAGER")) {...

Después de que un nuevo usuario envía un formulario de 'Nueva cuenta', quiero iniciar sesión manualmente con ese usuario para que no tenga que iniciar sesión en la página siguiente. La página de inicio de sesión de formulario normal que pasa por el interceptor de seguridad de primavera funciona...

Quiero usar una forma genérica de administrar códigos de error 5xx, digamos específicamente el caso cuando la base de datos está inactiva en toda mi aplicación de primavera. Quiero un bonito json de error en lugar de un seguimiento de pila. Para los controladores, tengo una @ControllerAdviceclase...

En el AuthenticationProvider personalizado de mi proyecto de primavera, estoy intentando leer la lista de autoridades del usuario registrado, pero me enfrento al siguiente error: org.hibernate.LazyInitializationException: failed to lazily initialize a collection of role:

¿Alguien podría explicar cuándo anular configure(HttpSecurity), configure(WebSecurity)y

Estoy creando una aplicación web con Spring Security que vivirá en Amazon EC2 y usaré los Elastic Load Balancers de Amazon. Desafortunadamente, ELB no admite sesiones fijas, por lo que necesito asegurarme de que mi aplicación funcione correctamente sin sesiones. Hasta ahora, he configurado...

Estoy usando Spring MVC @ControllerAdvicey @ExceptionHandlerpara manejar toda la excepción de una API REST. Funciona bien para las excepciones lanzadas por los controladores web mvc, pero no funciona para las excepciones lanzadas por los filtros personalizados de seguridad de primavera porque se...

Estoy configurando Spring Security para manejar el inicio de sesión de los usuarios. He iniciado sesión como usuario y se me lleva a una página de error Acceso denegado después de iniciar sesión correctamente. No sé qué roles se le han asignado realmente a mi usuario, o la regla que hace que se...