本教程將介紹如何使用 Spring Security OAuth2 實現,並學習如何使用 JwtClaimsSetVerifier 驗證 JWT 聲明——該功能在 Spring Security OAuth 2.2.0.RELEASE 版本中引入。首先,需要添加最新版本。
知識庫 / Spring / Spring Security RSS 訂閱
僅允許從受信任位置進行身份驗證(Spring Security)
本教程將重點介紹一項有趣的安全性功能:基於用户位置保護賬户。 簡單來説,我們將阻止來自異常或非標準位置的登錄,並允許用户啓用新的位置。
Spring Security 登錄後重定向到不同頁面
一個常見的Web應用程序需求是,在用户登錄後將不同類型的用户重定向到不同的頁面。例如,將普通用户重定向到/homepage.html頁面,而管理員用户則重定向到/console.html頁面。
使用 Spring MVC 測試 OAuth 安全 API(使用 Spring Security OAuth 遺留棧)
本文將展示如何使用 Spring MVC 測試支持測試使用 OAuth 保護的 API。本文使用 Spring OAuth 遺留項目。 包含授權和資源服務器設置教程。
基於 Spring Security 角色過濾 Jackson JSON 輸出
本教程將演示如何根據 Spring Security 中定義的用户角色過濾 JSON 序列化輸出。 假設我們有一個Web應用程序,為不同角色用户提供服務,這是一個簡單但常見的用例。
模擬 OAuth2 單點登錄在 Spring 中的實現
我們經常需要在應用程序中實現 OAuth2 單點登錄。通過它,用户一旦登錄,就可以在不重複登錄的情況下訪問其他應用程序。通常,它包含一個授權服務器,用於管理身份驗證部分。
手動使用 Spring Security 驗證用户身份指南
本文將重點介紹如何在 Spring Security 和 Spring MVC 中通過編程方式設置認證用户。Spring Security 將認證用户的關鍵信息存儲在 ThreadLocal 中,該 ThreadLocal 實例表示為 Aut…
使用Spring Security在Jersey應用中實現社交登錄
安全性是 Spring 生態系統中首要考慮因素。因此,OAuth2 與 Spring Web MVC 的集成幾乎無需配置也十分常見。然而,原生 Spring 解決方案並非呈現層實現唯一的途徑。
使用Redis實現Spring Authorization Server的核心服務
Spring Authorization Server 的默認實現將所有數據存儲在內存中。例如,已註冊客户端、令牌存儲、授權狀態等,都會在 JVM 啓動/停止時創建和刪除。這種方式在某些情況下有益於...
Spring Security 授權管理器
Spring Security 是 Spring 框架的擴展,旨在簡化在應用程序中集成常見安全實踐的過程。這包括用户身份驗證和授權、API 保護等。本教程中…
OAuth2 – @EnableResourceServer 與 @EnableOAuth2Sso
本教程將介紹 Spring Security 中的 @EnableResourceServer 和 @EnableOAuth2Sso 註解。首先,我們將解釋 OAuth2 客户端和 OAuth2 資源服務器之間的區別,並進行進一步討論。
使用API密鑰和密鑰安全Spring Boot API
REST API開發中,安全性至關重要。不安全的REST API可能直接暴露後端系統中的敏感數據。因此,組織需要重視API安全,Spring Security提供多種安全機制。
Spring Security 中支持秘密客户端的 PKCE 支持
本教程將演示如何在 Spring Boot 秘密客户端應用程序中使用 PKCE。 Proof Key for Code Exchange (PKCE) 是 OAuth 協議的擴展,最初針對公共客户端,通常是 SPA 網頁應用程序或移動應用程序。
Spring Security 中內容安全策略
跨站腳本攻擊(XSS)攻擊持續位列最常見的網絡攻擊前十名。XSS攻擊發生在Web服務器在未驗證或編碼用户惡意輸入的情況下,將其渲染在頁面上。
Spring Integration 安全性
本文將探討如何結合使用 Spring Integration 和 Spring Security 構建集成流程。我們將搭建一個簡單的安全消息流程,以演示 Spring Security 在 Spring Integration 中的應用。
Spring Security 默認密碼編碼器
在 Spring Security 4 中,可以使用內存身份驗證方式存儲密碼文本形式。版本 5 中對密碼管理流程的大規模改進引入了更安全的默認機制,用於對密碼進行編碼和解碼。
Spring Security 中授權與角色
在本文中,我們將解釋 Spring Security 中 Role 和 GrantedAuthority 之間的微妙但重要的區別。有關 Role 和 GrantedAuthority 的更詳細信息,請參閲此處。Spring Security 中,我們可以將 Role 視為…
Spring Security OAuth2 – 簡單令牌撤銷(使用 Spring Security OAuth 遺留棧)
本教程將演示如何撤銷OAuth授權服務器(Spring Security實現)授予的令牌。當用户註銷時,令牌不會立即從令牌存儲中刪除,而是保持有效。
OAuth2.0 與動態客户端註冊(使用 Spring Security OAuth 遺留棧)
本教程將指導您準備一個動態的 OAuth2.0 客户端註冊。OAuth2.0 是一種授權框架,它允許您獲取對用户賬户的有限訪問權限,在 HTTP 服務上使用。OAuth2.0 客户端是應用程序。
Spring Security:WebSecurityConfigurerAdapter 升級指南
Spring Security 允許通過擴展 WebSecurityConfigurerAdapter 類來定製 HTTP 安全功能,例如端點授權或身份驗證管理器配置。但最近的版本中,Spring 已棄用該方法。
Spring Security Taglibs 簡介
本教程將介紹 Spring Security Taglibs,它提供對訪問安全信息和在 JSPs 中應用安全約束的基本支持。首先,請在 pom.xml 中添加 spring-security-taglibs 依賴。
Spring Cloud Security 入門指南
Spring Cloud Security模塊提供與Spring Boot應用程序基於令牌的安全性相關的功能。 尤其,它簡化了基於OAuth2的單點登錄(SSO),支持在資源服務器之間傳遞令牌,以及配置下行流。
使用 JWT 與 Spring Security OAuth
本教程將介紹如何使 Spring Security OAuth2 實現利用 JSON Web Token。同時,我們還將繼續完善 Spring REST API + OAuth2 + Angular 系列文章。此前,Spring Security 已經…
Spring Security 權限控制簡介
訪問控制列表 (ACL) 是一份附加在對象上的權限列表。ACL 規定了在給定對象上授予哪些身份以及執行哪些操作。Spring Security 訪問控制列表是 Spring 組件,用於支持領域對象安全。