java - 如何在 Spring Security 中强制重新验证凭据？-6ren

java - 如何在 Spring Security 中强制重新验证凭据？

转载作者：搜寻专家更新时间：2023-11-01 02:25:35

25

4

我想在允许在我的网络应用程序中执行特别敏感的操作之前强制重新验证凭据，例如向一组数据添加签名。

场景是用户已经登录，单击以在数据上添加他们的签名，并获得用于输入其凭据的字段，然后传递给服务器进行身份验证。失败不会影响登录状态，只是拒绝该操作。

我正在使用 Grails spring-security 插件并针对 LDAP (spring-security-ldap) 进行身份验证，但我假设解决方案将独立于这些确切的细节。

我在服务器端( Controller /servlet)有用户名和密码值，我如何验证这些新凭据？

最佳答案

您可以在 Controller 中重用您的用户凭据和 Spring Security 基础结构，而无需操作当前身份验证。基本上，您的应用程序通过一个简单的表单用户名和密码进行请求，并使用 authenticationManager 对其进行验证。根据结果，您可以继续您的应用程序逻辑或执行其他操作。

此示例展示了 authenticationManager 在 Spring MVC Controller 中的用法。不幸的是，我不是 Grails 用户。给你一个有效的例子，这个例子是使用 Java 和 Spring MVC。为简洁起见，省略了 JSP。

可以找到一个完整的例子here (在批准页面下)。

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.Authentication;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.*;
import org.springframework.web.servlet.ModelAndView;

import java.util.Map;

@Controller
@RequestMapping("approval")
public class ApprovalController {

    @Autowired
    private AuthenticationManager authenticationManager;

    @RequestMapping(value="confirm.do", method = RequestMethod.GET)
    public String get() {
        return "approval/confirm";
    }

    @RequestMapping(value="confirm.do", method = RequestMethod.POST)
    public String post(@ModelAttribute ApprovalRequestForm form, Map<String, Object> model, Authentication authentication) {
        UsernamePasswordAuthenticationToken token = new UsernamePasswordAuthenticationToken(form.getUsername(), form.getPassword());
        Authentication authenticate = authenticationManager.authenticate(token);

        if(authenticate.isAuthenticated() && isCurrentUser(authentication, authenticate)) {
            //do your business
            return "approval/success";
        }

        model.put("reason", "credentials doesn't belong to current user");
        return "approval/denied";
    }

    private boolean isCurrentUser(Authentication left, Authentication right) {
        return left.getPrincipal().equals(right.getPrincipal());
    }

    @ExceptionHandler(Exception.class)
    public ModelAndView handleException(Exception exception) {
        ModelAndView model = new ModelAndView("approval/denied");
        model.addObject("reason", exception.getMessage());
        return model;
    }

    public static class ApprovalRequestForm {
        private String username;
        private String password;

        public String getUsername() { return username; }
        public void setUsername(String username) { this.username = username; }
        public String getPassword() { return password; }
        public void setPassword(String password) { this.password = password; }
    }
}

关于java - 如何在 Spring Security 中强制重新验证凭据？，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/24253599/

25

4

0

文章推荐： java - 获取 "<"和 ">"的 KeyStroke

文章推荐： javascript - React-Router onChange Hook

文章推荐： ios - 嵌套 TableView 给出 UITableViewCellAccessibilityElement 错误

c# - SVN 凭据
我有一个问题，我不断收到错误没有为“svn.ssl.server”凭据注册的提供者我正在使用在另一台 SVN 服务器上工作的相同代码，但我设置的新服务器似乎无法连接，即使我可以通过 Web 浏览器
hudson svn 凭据
如何通过 shell 在 Hudson 中输入 subversion 凭据？我尝试在 HUDSON_HOME 中生成文件 hudson.scm.SubversionSCM.xml 并重新加载配置，但
powershell - OpenRemoteBaseKey() 凭据
我正在尝试使用 powershell 访问远程注册表，如下所示: $reg = [Microsoft.Win32.RegistryKey]::OpenRemoteBaseKey("LocalMachi
服务器拒绝 powershell 凭据
我需要将凭据存储在 powershell 中以便多次使用。 StackOverflow 上有很多例子，所以我拿了一个 $tmpCred = Get-Credential $tmpCred.Passwo
Java Youtube 凭据？
我遇到了 youtube java 凭据的问题，通常它运行良好并且我能够上传到 youtube，但今天我收到此异常无效的凭据。 YouTubeService service = new YouTube
使用密码文件的 Hadoop 凭据
我正在阅读中提供的 Hadoop 凭证文档 https://hadoop.apache.org/docs/current/hadoop-project-dist/hadoop-common/Crede
MySQL 凭据/主机变量最佳实践
我想知道在为 MySQL 凭据/主机创建变量时最佳做法或建议做什么。 define('HOST', 'localhost'); // etc.. mysql_connect(HO
jenkins - 如何在脚本控制台中列出我的所有 Jenkins 凭据？
我试图让 Jenkins 从 BitBucket 克隆我的 mercurial 项目。它不会，因为它说凭据有问题 - 好吧，bitbucket 拒绝 Jenkins 提供的任何内容。我几乎 100%
git - 有没有办法缓存在机器重启时不会过期的 git 凭据？
这里有一百万篇关于如何使用 git 缓存凭据的帖子。但是，如果机器重新启动，它们似乎都不成立。有没有办法缓存在机器重新启动时持续的凭据？最佳答案是的，在 Debian 和 Ubuntu 上，您可以
IIS 共享配置 gMSA 凭据
我正在尝试在我的环境中为 IIS 节点使用共享配置，我想使用组托管服务帐户凭据来实现这一目标。当我将应用程序池的凭据应用为 MyDomain\GmsaAccount$ 时，它运行良好，但是当我尝试在
security - 安全存储需要用作纯文本的 API 凭据
我创建了一个应用程序，它充当 2 个不同 API(WebEx 和 Exchange Web 服务)和电子邮件之间的桥梁。用户向一个特殊的电子邮件地址发送日历邀请，该应用程序解析 ICS 并创建一个 W
java - 如何在文件夹级别读取 Jenkins 凭据
我正在尝试将凭据从 Jenkins 迁移到另一个凭据存储。我想从 Jenkins 商店读取凭据，并找到了这个脚本 ( https://github.com/tkrzeminski/jenkins-g
jenkins - 通过脚本更新 Jenkins 凭据
我有一个在 Windows 上运行的 Jenkins 服务器。它将用户名:密码存储在凭据插件中。这是一个定期更新密码的服务用户。我正在寻找一种运行脚本的方法，最好是 Powershell，它将更新
jenkins - 使用 jenkins 凭据
我想知道如何创建 Jenkins 和 Jenkins 中运行的作业可以使用的凭据以连接到 3rd 方服务。最佳答案您应该指定您将使用的第 3 方服务。以下是带有的凭据示例bitbucket 我
kerberos - 如何防止浏览器发送 NTLM 凭据？
我正在一个网站上工作，我们希望使用 Spring Security Kerberos 使用 Kerberos 身份验证。所以，我们不支持 NTLM。当用户发出未经身份验证的请求时，服务器将回复带有 h
git - 如何覆盖一个存储库的全局 Git 凭据？
如果我设置 git config --global credential.username my_username 选项，然后使用 --local 选项覆盖一个存储库，这并没有什么区别 - 它在尝试提
elasticsearch - 如何生成 gce 凭据
我正在尝试使用需要 gce_client_id 和 gce_client_secret key 的第 3 方应用程序。为了生成它们，我浏览了凭据图标并尝试创建一个 OAuth 2.0 客户端 ID。但
powershell - 用于构建服务器的 Azure 凭据
我在使用 Azure 时遇到身份验证问题。我有一个运行 powershell 脚本的连续构建服务器，我收到如下消息: Your Azure credentials have not been set
security - 我应该如何存储 docker 凭据？
首先，我想说我在安全和身份验证方面的知识非常有限。我有一个应用程序可以从 docker store 中提取和运行容器。这是一个私有(private)仓库，所以我需要传递用户名和密码，以便用户可以拉取
java - 保存 oAuth 凭据
我使用 Google 文档中的代码(如下所示)来管理 Google 日历。 public class CalendarQuickstart { private static final Str

首页

博学

6Ren·AI

商城

java - 如何在 Spring Security 中强制重新验证凭据？