Robił ktoś uwierzytelnianie OAuth2 do zewnętrznych usług w #springboot z użyciem #springsecurity i komuś to działało? Standardowy URL /oauth2/authorization/nazwauslugi nie działa, a ręczne wywołanie authorize() rzuca wyjątek "Authorization required for Client Registration Id: nazwauslugi" - wygląda na to, że odpowiednie filtry nie są wywoływane (np. OAuth2AuthorizationRequestRedirectFilter). A tak w ogóle to szukam jakiejś lekkiej biblioteki bez integracji ze Spring Security. Chodzi o to, żeby użytkownik mógł się połączyć z zewnętrznymi usługami tak
Wszystko
Wszystkie
Archiwum
- 0
Mireczki,
Uczę się podstaw Spring Security w projekcie odpalonym na Spring Boocie i mam jedno pytanko.
Czy możliwe jest utworzenie dodatkowego filtra, który sprawdzałby przy autentykacji, czy dany USER ma konto 'ACTIVE'?
Coś jak 'hasRole' lub 'hasAnyRole' i tutaj dla roli mam ADMIN, USER, SUPPORT itd.
I teraz dla konta mam 3 enumy określające status konta: 'CREATED', 'ACTIVE', 'DELETED'.
Przykładowo, jeśli użytkownik stworzy konto, to np. może sobie na forum przejrzeć posty,
Uczę się podstaw Spring Security w projekcie odpalonym na Spring Boocie i mam jedno pytanko.
Czy możliwe jest utworzenie dodatkowego filtra, który sprawdzałby przy autentykacji, czy dany USER ma konto 'ACTIVE'?
Coś jak 'hasRole' lub 'hasAnyRole' i tutaj dla roli mam ADMIN, USER, SUPPORT itd.
I teraz dla konta mam 3 enumy określające status konta: 'CREATED', 'ACTIVE', 'DELETED'.
Przykładowo, jeśli użytkownik stworzy konto, to np. może sobie na forum przejrzeć posty,
- 0
#java #springboot #oauth2 #deeplink #springsecurity
Cześć Mirki,
Mam pewien problem w aplikacji Spring Boot.
Dodałem do Spring Security OAUTH2 i ustawiłem wszystkie rzeczy związane z Google i Facebook.
Przy próbie logowania przez Facebook i po poprawnym logowaniu przeglądarka cały czas pobiera mi plik zamiast przekierować do /api/auth/success tak jak w przypadku google.
Na screenie przesyłam ustawienia Facebook i Spring Security. Dodatkowo jak zrobić z REST API deep link do aplikacji react native
Cześć Mirki,
Mam pewien problem w aplikacji Spring Boot.
Dodałem do Spring Security OAUTH2 i ustawiłem wszystkie rzeczy związane z Google i Facebook.
Przy próbie logowania przez Facebook i po poprawnym logowaniu przeglądarka cały czas pobiera mi plik zamiast przekierować do /api/auth/success tak jak w przypadku google.
Na screenie przesyłam ustawienia Facebook i Spring Security. Dodatkowo jak zrobić z REST API deep link do aplikacji react native
#programowanie #java #spring #springsecurity #programista15k
Mirki jak wymusić w springu żeby przy autoryzacji zwracał mi ciasteczko z atrybutem Secure? Próbowałem kilka rozwiązań ze stacka i albo coś przeoczyłęm albo czegoś nie rozumiem. Na obecną chwilę ciastko wygląda tak 'JSESSIONID = ;Path=/';HttpOnly'.
Mirki jak wymusić w springu żeby przy autoryzacji zwracał mi ciasteczko z atrybutem Secure? Próbowałem kilka rozwiązań ze stacka i albo coś przeoczyłęm albo czegoś nie rozumiem. Na obecną chwilę ciastko wygląda tak 'JSESSIONID = ;Path=/';HttpOnly'.
- 0
- 0
@Andrzejuniedenerwuj: musisz tez miec poprawnie ustawiony ssl który będzie widoczny dla backendu jeśli idzie przez load balancer (x-forwarded-proto)
- 0
#java #naukaprogramowania #spring #springboot #springsecurity #angular #typescript spring security serwis angular Hej mam w swojej apce, zrobuione logowanie za pomocą loginForm() jak w postmanie wysyłam POST na /login?username=user&password=user to poprawnie mnie loguje, ale jak próbuje wysłać posta za pomocą serwisu w Angularze to wysyła się tylko OPTIONS i zwraca 403, domyślam się że chodzi o CORS ale w security configuration mam go wyłączonego, ktoś wie jak rozwiązać ten problem ?
@infamia: nie zdążyłem edytować:
angular pewnie bije z innego adresu niż stoi twój serwer i Twoje security blokuje options na tym styku.
1. W security dodaj .cors().disable() [czy jakos tak]
2. Reverse proxy
3. Spermituj wszystkie options
4. Poprawnie zkonfiguruj cors
angular pewnie bije z innego adresu niż stoi twój serwer i Twoje security blokuje options na tym styku.
1. W security dodaj .cors().disable() [czy jakos tak]
2. Reverse proxy
3. Spermituj wszystkie options
4. Poprawnie zkonfiguruj cors
- 0
@infamia: poczytaj jak zakodzić Spring Security Policy, jak masz klasę z adnotacją
Więcej info tutaj:
https://github.com/spring-projects/spring-data-examples/tree/master/rest/security#writing-a-security-policy
@EnableWebSecurity
to robisz na niej coś takiego:.authorizeRequests()
.antMatchers("/api/login").permitAll()
Więcej info tutaj:
https://github.com/spring-projects/spring-data-examples/tree/master/rest/security#writing-a-security-policy
Mireczki, mógłby ktoś rozwiązać moje wątpliwości w kwestii ldap + spring security?
Nigdy się nie integrowałem z ldapem w kwestii logowania, a w planach jest przejście z jwt na ldapa. Z tego co rozumiem, to ldap dostarcza gotową bazę użytkowników, co za tym idzie odpada proces rejestracji. Jak to się ma do encji systemowych typu User, skoro nie ma procesu rejestracji czyli tworzenia tego usera, a w logice biznesowej potrzebuje tego usera
Nigdy się nie integrowałem z ldapem w kwestii logowania, a w planach jest przejście z jwt na ldapa. Z tego co rozumiem, to ldap dostarcza gotową bazę użytkowników, co za tym idzie odpada proces rejestracji. Jak to się ma do encji systemowych typu User, skoro nie ma procesu rejestracji czyli tworzenia tego usera, a w logice biznesowej potrzebuje tego usera
- 1
@Algeroth: generalnie tak, w aplikacji masz encje User ktora jest migawka danych z ldapa (z security same role), ale to ldap odpowiada za auth.
Tylko pamietaj, ze masz case:
1. nie masz jeszcze => utworz
2. juz masz => mozliwa aktualizacja
btw. my szlismy w rozwiazanie tego za pomoca jobow (a nie synchronizacji przy logowaniu, bo moglismy sobie pozwolic ze jakis pracownik ma przestarzale dane przez jakis czas) ktore pobieraja wszystkich
Tylko pamietaj, ze masz case:
1. nie masz jeszcze => utworz
2. juz masz => mozliwa aktualizacja
btw. my szlismy w rozwiazanie tego za pomoca jobow (a nie synchronizacji przy logowaniu, bo moglismy sobie pozwolic ze jakis pracownik ma przestarzale dane przez jakis czas) ktore pobieraja wszystkich
- 0
@Smevios i o taki wykop walczyłem! Dziękuję pięknie! ;)
- 2
Mireczki potrzebuje porady. Chce zrobić aplikacje w springu z REST API, ale nie wiem jak się zabrać za zabezpieczenia w owej. Myślałem nad tokenami, że wraz z prośbą o jakieś informacje klient by wysyłał token tylko czy to ma sens? Może inaczej się to robi?
Ogółem użytkownik będzie zalogowany i miałby trzymać owy dopóki on nie wygaśnie/wyloguje się.
#java #spring #springsecurity
Ogółem użytkownik będzie zalogowany i miałby trzymać owy dopóki on nie wygaśnie/wyloguje się.
#java #spring #springsecurity
- 1
Mam parę pytań odnośnie #spring i #springsecurity. Może ktoś będzie w stanie mi pomóc. Mam apkę w androidzie, do której chcę dorobić autoryzację używając #oauth z #googleapi. Następnie na podstawie access token'u, wysyłanego do springowego controller'a #rest chcę zrobić walidację tego tokenu. Myślałem o użyciu #springsecurity jednak nie do końca wiem jak miała by wyglądać autoryzacja w tym momencie. Stąd pytania: czy mogę w każdym requeście do spring dodać header
Udało mi się nieco okiełznać klienta OAuth2:
1. Tworząc filtr, który na podstawie nagłówka X-USER-ID utworzy obiekt Authentication - otóż SS nie akceptuje anonimowych klas Authentication ani jak przekażemy #!$%@? w formie ciągu znaków przy ręcznym utworzeniu OAuth2AuthorizeRequest.
2. Dostosowując aplikację
@whoru: Integruję się z zewnętrzną usługą