- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
我正在使用 Spring Security 来支持我的应用程序中的身份验证和授权。我自定义了安全上下文的几个方面,但我认为这不会影响我的问题。
我目前正在使用 Spring 3.1.2.RELEASE 和 Spring Security 3.1.3.RELEASE,但我即将更新到最新版本。
我认为我刚刚发现的 AbstractUserDetailsAuthenticationProvider$DefaultPreAuthenticationChecks()
内部类存在错误,如下所述:
如果我尝试使用一个用户和一个错误的(不正确的)密码登录,但是在我的用户存储库中找到了这个用户,并且他们被锁定、禁用或帐户已过期,那么 Spring Security 会响应 LockedException
、DisabledException
或 AccountExpiredException
。
然而,从这个响应中,我刚刚确定该用户存在于存储库中,即使我只是猜到了密码,但还不知道它是对还是错!相反,Spring Security 应该主要使用 BadCredentialsException
进行响应,并且仅当凭据经过身份验证时才使用锁定、禁用或帐户过期的异常进行响应。
有没有其他人看到/报告过这种行为?我已经搜索过了,但在任何地方都看不到这个!
谢谢罗布
我刚刚升级到 Spring 3.2.1.RELEASE 和 Spring Security 3.2.0.M1 并且这种行为仍然保持不变。
最佳答案
只有在异常消息进入 HTTP 响应时才会出现问题。检查代码表明,如果您使用默认命名空间配置 (<security:form-login>
),则情况并非如此,因为攻击者获得的所有响应都是指向登录页面的 HTTP 重定向,而不管是哪种类型的 AuthenticationException
。被扔到服务器端。
然而,阅读代码表明可以配置 AuthenticationFailureHandler
以导致此信息暴露的方式。
来自 SimpleUrlAuthenticationFailureHandler.onAuthenticationFailure()
的片段:
if (defaultFailureUrl == null) {
logger.debug("No failure URL set, sending 401 Unauthorized error");
response.sendError(HttpServletResponse.SC_UNAUTHORIZED,
"Authentication Failed: " + exception.getMessage());
}
如果您的意思是这个问题,那么我认为您是对的,因为发送回异常消息肯定比客户端应该看到的要多。尽管开发人员必须做出一些努力来实现这种不安全的行为,即设置 defaultFailureUrl
为空。如果我没记错的话,这甚至不可能通过纯粹使用命名空间配置来实现(如果没有明确设置,则有一个默认值)。
关于spring-security - BadCredentialsException 预期,但得到 AccountExpiredException,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/14934319/
在 C# 及其同类语言中,我们总是使用 public string SomeString { get; set;} 但是你也可以使用(我最近才发现这个,而且是在和编译器闲逛的时候发现的) public
我已经为 Controller 中的函数编写了 Swagger 注释,但在生成 swagger-ui 代码时出现错误。以下是我的注释代码 /*** End of Annotation For dele
我正在 PHP 中开发一项服务,该服务使用 exec 函数调用 jar 文件,如下所示: $text = "string with accents á, ó, ú or العربية"; exec(
我正在尝试了解有关在程序中利用/防止缓冲区溢出的方法的更多信息。我知道如果大小是恒定的,下面的代码很容易受到攻击,但是如果大小每次都是随机的怎么办?是否还有办法从堆栈中获取它并以某种方式动态改变溢出字
对于一项学校作业,我应该制作一个可以以小时、分钟和秒为单位存储时间的时间类。一切正常,但仅声明 get 时属性总是返回 0;并设置; private int seconds, minutes, hou
我正在遍历一些测验对象并将结果存储到json变量中。出现"ReferenceError is not defined"错误,不确定原因。 JS代码 // This function will send
使用 Nifi 的 PutDatabaseRecord 处理器在 MySQL 中插入阿拉伯字符(非拉丁语)时,字符被“??????”替换 插入后,阿拉伯字符串被替换为??????。我已经使用 utf8
谁能告诉我为什么 gets(abc) 使用 char[] 而不是使用 int? int abc; char name[] = "lolrofl"; printf("Hello %s.\n",na
为什么在使用 as.POSIXct 转换下面的时间戳时得到所有 NA? > head(tmp$timestamp_utc) [1] Fri Jul 03 00:15:00 EDT 2015 Fri J
def get_submultiples(n): # Get all submultiples of n if n == 1: return [1] i = 2
有没有办法访问基本模型的实际 child ,意思是:继续使用 django Docs 中的示例,让我们假设我正在建模不同的外卖餐厅,它们只是有共同点 姓名 都有deliver方法 至此: class
我正在寻找一个范围的总和,但我总是得到“未定义”。我相信有些东西出现在错误的位置,但我不确定它是什么。 第 1 部分:“编写一个范围函数,它接受两个参数(start 和 end),并返回一个包含从 s
我已将 spring 版本从 4.2.3 更新到 5.0.2,并将安全性从 5.0.1 更新到 5.0.10 并使用 spring -flex版本1.6.0.RC1。 像这样使用 BlazeDS 依赖
我可以输入但在输出中,我得到的结果为零。我使用两门类(class),一门是主要的,是日志,另一门是成绩计算。在成绩计算器中,我编写了方法和构造函数,在日志中,类通过构造函数调用这些方法。 import
我在使用 go 时遇到了构建问题。我想知道这是编译器中的错误还是代码的问题。 // removed the error handling for sake of clarity file, _ :=
我的角色在与盒子互动时出现问题。我有一个 GameObject Player 附加了一个脚本来与游戏中的盒子交互,脚本是: using UnityEngine; using System.Collec
有谁知道为什么我不能在下面生成百分比 codeIshere (第 97-117 行)? var format=d3.format(".1%"); var percent = format(functi
我正在尝试编写图像识别代码,以针对不同动物图像训练系统,这就是代码。我使用 anaconda 作为解释器,使用pycharm作为环境。 import tensorflow as tf import o
我正在尝试在 Java 中初始化 Matcher,但无论字符串是否已初始化且不为 null,都会继续获取 NPE。 这是代码: pattern.compile("\\s"); System.out.p
所以我有这段代码: ; (function (g) { var d = document, i, am = d.createElement('script'), h = d.head || d.g
我是一名优秀的程序员,十分优秀!