随笔分类 - springSecurity / springSecurity第4部分(web应用安全)
springSecurity第4部分(web应用安全)
摘要:大多数Spring Security用户将在使用HTTP和Servlet API的应用程序中使用该框架。在这一部分中,我们将了解Spring Security如何为应用程序的web层提供身份验证和访问控制功能。我们将从名称空间的外表后面看,看看哪些类和接口实际上是为了提供web层安全性而组装的。在某
阅读全文
摘要:22.1 Overview(概要) 采用“默认拒绝”通常被认为是良好的安全实践,在这种情况下,您明确指定什么是允许的,什么是不允许的。定义未经身份验证的用户可以访问的内容也是类似的情况,尤其是对于web应用程序。许多网站要求用户必须通过除了几个网址之外的任何东西的认证(例如主页和登录页面)。在这种情
阅读全文
摘要:Spring框架为CORS提供了一流的支持。CORS必须在spring安全之前处理,因为预请求的申请将不包含任何cookies。如果请求不包含任何cookies,并且Spring Security是第一个,请求将确定用户未通过身份验证(因为请求中没有cookies ),并拒绝它。 确保首先处理COR
阅读全文
摘要:spring Security 4增加了对保护spring的网络套接字支持的支持。本节描述如何使用Spring Security的网络套接字支持。 您可以在samples/javaconfig/chat中找到一个完整的WebSocket安全性工作示例。 直接JSR-356支持 Spring Secu
阅读全文
摘要:与HTTP会话相关的功能由SessionManagementFilter(会话管理过滤器) 和SessionAuthenticationStrategy(会话身份验证策略)接口的组合来处理,过滤器将这些接口委托给它们。典型的用法包括会话固定保护、防止攻击、检测会话超时以及限制经过身份验证的用户可以同
阅读全文
摘要:本节讨论Spring Security对响应中添加各种安全头的支持。 20.1 Default Security Headers(默认安全表头) Spring Security允许用户轻松地注入默认安全头,以帮助保护他们的应用程序。Spring Security的默认设置是包含以下标题: 只有在HT
阅读全文
摘要:本节讨论Spring Security的跨站点请求伪造(CSRF)支持。 18.1 CSRF Attacks(CSRF攻击) 在我们讨论Spring Security如何保护应用程序免受CSRF攻击之前,我们将解释什么是CSRF攻击。让我们看一个具体的例子来更好地理解。假设您的银行网站提供了一个表单
阅读全文
摘要:17.1 Overview 记住我或持久登录身份验证是指网站能够记住会话之间主体的身份。这通常是通过向浏览器发送一个cookie来实现的,在以后的会话中会检测到该cookie,并导致自动登录。Spring Security为这些操作的发生提供了必要的挂钩,并且有两个具体的记忆实现。一种使用哈希来保持
阅读全文
摘要:基本认证和摘要认证是网络应用中流行的替代认证机制。基本身份验证通常与无状态客户端一起使用,无状态客户端会在每次请求时传递其凭据。将它与基于表单的身份验证结合使用是很常见的,在这种情况下,应用程序既可以通过基于浏览器的用户界面使用,也可以作为web服务使用。但是,基本身份验证会以纯文本形式传输密码,因
阅读全文
摘要:本节描述了Spring安全性是如何与Servlet API集成的。 servletapi-xml示例应用程序演示了这些方法的用法。 15.1 Servlet 2.5+ Integration(Servlet 2.5+集成) 15.1.1 HttpServletRequest.getRemoteUse
阅读全文
摘要:在使用Spring Security的web应用程序中,总会用到一些关键的过滤器,所以我们首先来看看这些过滤器及其支持类和接口。我们不会涵盖所有特性,所以如果你想了解完整的情况,一定要看看Javadoc。 14.1 FilterSecurityInterceptor(过滤器安全性拦截器) 在讨论一般
阅读全文
摘要:Spring Security的网络基础设施完全基于标准的servlet过滤器。它在内部不使用servlet或任何其他基于servlet的框架(如Spring MVC),因此它与任何特定的web技术都没有强有力的链接。它处理HttpServletRequest和HttpServletResponse
阅读全文
