タグ付けされた質問 「spring-security」

Spring Securityは、Spring Frameworkのアプリケーションセキュリティソリューションです。Springセキュリティを使用して、URLとメソッド呼び出しを保護できます。スタンドアロンのWebアプリケーション、ポートレット、およびますますRESTアプリケーションを保護するために広く使用されています。

4
OAuth2RestTemplateのSpring Security 5の置き換え
spring-security-oauth2:2.4.0.RELEASEようなクラスOAuth2RestTemplate、OAuth2ProtectedResourceDetailsおよびClientCredentialsAccessTokenProvider非推奨のように、すべてのマークされています。 これらのクラスのjavadocから、人々が中心的なSpring-Security 5プロジェクトに移行する必要があることをほのめかすSpring Security移行ガイドが示されています。ただし、このプロジェクトでユースケースを実装する方法を見つけるのに苦労しています。 すべてのドキュメントと例では、アプリケーションへの受信リクエストを認証し、サードパーティのOAuthプロバイダーを使用してIDを確認する場合の、サードパーティのOAuthプロバイダーとの統合について説明しています。 私のユースケースRestTemplateでは、OAuthで保護されている外部サービスにをリクエストするだけです。現在、私はOAuth2ProtectedResourceDetailsに渡すクライアントIDとシークレットを使用してを作成していますOAuth2RestTemplate。また、使用しているOAuthプロバイダーが必要とする追加のヘッダーをトークンリクエストにClientCredentialsAccessTokenProvider追加するカスタムをに追加しましたOAuth2ResTemplate。 Spring-Security 5のドキュメントで、トークンリクエストのカスタマイズに言及しているセクションを見つけましたが、これも、サードパーティのOAuthプロバイダーによる着信リクエストの認証に関連しているようです。これをのようなものとどのように組み合わせて使用ClientHttpRequestInterceptorして、外部サービスへの各送信リクエストが最初にトークンを取得し、次にそれをリクエストに追加することを保証するかは明確ではありません。 また、上記の移行ガイドにはOAuth2AuthorizedClientService、インターセプターでの使用に役立つと記載されているへの参照がありますが、これは、を使用しClientRegistrationRepositoryたい場合、サードパーティプロバイダーの登録を維持しているように見えるに依存しているようです着信リクエストが認証されることを保証するために提供します。 アプリケーションからの発信要求に追加するトークンを取得するためにOAuthプロバイダーを登録するために、spring-security 5の新機能を利用できる方法はありますか?

1
Spring Securityで廃止されたAuthorizationServerに代わるものは何ですか?
Spring Security 5.2.2にはSpring Security OAuthプロジェクトが組み込まれていますが、AuthorizationServerやResourceServerは組み込まれていません。Spring Security 5.2.2のAuthorizationServerに代わるものは何ですか? OAuth-2.0-Migration-Guide このドキュメントには、OAuth 2.0クライアントとリソースサーバーをSpring Security OAuth 2.xからSpring Security 5.2.xに移行するためのガイダンスが含まれています。Spring Securityは承認サーバーのサポートを提供しないため、Spring Security OAuth承認サーバーの移行はこのドキュメントの範囲外です。

1
Spring Boot 2およびSpring Security 5を使用した多要素認証
Spring Boot Security Starterのデフォルトにできるだけ近づけながら、Angular&SpringアプリケーションにTOTPソフトトークンを使用した多要素認証を追加したいと思います。 トークンの検証はローカルで行われ(aerogear-otp-javaライブラリを使用)、サードパーティのAPIプロバイダーは使用されません。 ユーザーのトークンの設定は機能しますが、Spring Security Authentication Manager / Providersを利用してトークンを検証することはできません。 TL; DR 追加のAuthenticationProviderをSpring Boot Security Starter構成済みシステムに統合する公式の方法は何ですか? リプレイ攻撃を防ぐために推奨される方法は何ですか? ロングバージョン APIにはエンドポイント/auth/tokenがあり、そこからフロントエンドはユーザー名とパスワードを提供することでJWTトークンを取得できます。応答には認証ステータスも含まれ、AUTHENTICATEDまたはPRE_AUTHENTICATED_MFA_REQUIREDのいずれかになります。 ユーザーがMFAを必要とする場合、トークンは、許可された単一の権限PRE_AUTHENTICATED_MFA_REQUIREDと5分の有効期限で発行されます。これにより、ユーザーはエンドポイントにアクセスして/auth/mfa-token、AuthenticatorアプリからTOTPコードを提供し、完全に認証されたトークンを取得してサイトにアクセスできます。 プロバイダーとトークン 私はMfaAuthenticationProvider実装する私のカスタムを作成しましたAuthenticationProvider: @Override public Authentication authenticate(Authentication authentication) throws AuthenticationException { // validate the OTP code } @Override public boolean supports(Class<?> authentication) { return OneTimePasswordAuthenticationToken.class.isAssignableFrom(authentication); } そして、(署名されたJWTから取得した)ユーザー名とOTPコードを保持するようOneTimePasswordAuthenticationTokenに拡張AbstractAuthenticationTokenされたです。 構成 私は私のカスタム持ってWebSecurityConfigurerAdapter、私は私のカスタムを追加し、AuthenticationProvider経由しますhttp.authenticationProvider()。JavaDocによると、これは正しい場所のようです: 使用する追加のAuthenticationProviderを追加できます …

2
AuthorizationServerConfigurerAdapterは廃止されました
Oauth2ログイン用のSpring Rest APIで認証を使用したいのですが。しかしAuthorizationServerConfigurerAdapter is deprecated、「Spring Security 5のOAuth 2.0移行ガイド」のような警告が表示されました。 私はそこでチェックしましたが、多くの移行ガイドは見つかりませんでした。誰でもこれの完全な例を共有できますか? 前もって感謝します...
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.