"spring security application" 的basic 认证 与 nginx的basic 认证 冲突

最新推荐文章于 2024-03-17 06:08:57 发布
最新推荐文章于 2024-03-17 06:08:57 发布
阅读量365 收藏
点赞数
分类专栏: linux 文章标签: Security Spring nginx Google Apache

今天本来是给nginx的访问加个认证需求的,用的是auth_basic  ,结果认证的时候不但弹出了我自己的认证框,在我输入完自己的认证信息后,又弹出了一个提示未“spring security application”的认证框,输入什么都不对

 

后来google下,发现时因为配置spring security的时候使用了 auto-config="true"

auto-config="true"实际上是

<http>
<intercept-url pattern="/**" access="ROLE_USER" />
<form-login />
<anonymous />
<http-basic />
<logout />
<remember-me />
</http> 的缩写 ,里面配置了http-basic认证,所以相对于nginx做认证的时候,激活了spring security的basic认证,但实际上我的应用中没配, 所以这里只要把auto-config设成false,并补上其余的

<form-login />
<anonymous />
<logout />
<remember-me />

就OK了

 

google的时候看到别人说在用apache用basic认证的时候也会出现这个问题

Nginx安全措施:添加Http Basic认证及IP地址访问限制
甘蓝的专栏
01-27 892
1 背景 项目中的Nginx需要对外暴露一个接口,该接口必须具有一定的安全措施: 调用接口必须是认证用户才能调用 需要限制调用方的IP地址 2 解决 利用Nginx本身提供的module来实现安全需求:默认情况下,这两个模块都已经编译进去了 ngx_http_auth_basic_module:Http Basic认证 ngx_http_access_module:IP地址限制 具体操作步骤如下: # 1.生成账号和密码(非明文密码,密码应该包括字母大小写、数字和特殊字符) #
spring security原理和机制 | Spring Boot 35
热门推荐
学Java,找哪吒
06-25 5万+
一、SpringSecurity 框架简介 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring
nginx basic认证以及重复提示账号密码问题处理
xiaomojun的专栏
08-01 2997
nginx basic认证
axios授权(Authorization)中basic auth的问题
weixin_43779558的博客
09-26 5134
axios授权(Authorization)中basic auth的问题 今天遇到了一个授权相关的问题。 所要使用的接口的Authorization type是basic auth。 我最开始使用的方法是: axios.post('/aaa/bbb/ccc/ddd', { auth: { username: 'abc', password: '123' } }).then((res
Nginx+Springboot+Security+CAS 整合方案-XML 实现SSO客户端
shanchahua123456的博客
01-02 1412
javaconfig版本: https://www.cnblogs.com/question-sky/p/7068511.html 以下使用的是SpringBoot 2.1.1进行测试 0 Maven引用 &lt;dependency&gt; &lt;groupId&gt;org.springframework.boot&lt;/groupId&gt...
Nginx配置Basic_Auth登录认证
春日野穹
08-29 1万+
前言~ 闲来无事查看日志,发现新搬家的web服务器频繁遭到僵尸网络的扫描,虽然web服务加固的还不错,但是框架组件出现了新的nday,而自己又没及时留意到漏洞的存在去修补,那么服务器成为肉鸡的风险就增大了;一般来说,僵尸网络的扫描行为都是全互联网大范围进行的,并且所探测的漏洞大多都是一些新爆发的cms漏洞(ThinkPHP)、或者是一些常见的框架组件漏洞(如Struts2),针对该特性,我们可以配置Basic Auth登录认证(ngx_http_auth_basic_module),来减少僵尸网络对我们we
SpringSecurity底层原理和认证授权流程总结
希望和大家多多交流技术!
01-03 2829
安全框架(springsecurity、shiro等)主要分为两个部分: 认证:系统认为用户是否能登录 授权:系统判断用户是否有权限去做某些事情 项目主要使用了:基于token的用户权限认证授权 模块一:登录时springsecurity获取用户的信息,比如用户名、密码、和查数据库得到其权限列表 如果系统的模块众多,每个模块都需要进行授权认证,所以我们选择基于 token 的形式 进行授权认证,用户根据用户名密码认证成功,然后获取当前用户角色的一系列权限 值,并以用户名为 key.
Spring-Boot + Spring-Security + Vue 跨域问题
Ravenq的专栏
05-19 5381
原文: http://www.aqcoder.com/post/content?id=40 最近的一个小项目使用了 Spring-Boot + Vue 的前后端分离小项目,项目虽小,也五脏俱全,有自己的用户系统,因此就有了权鉴问题。 Java 领域里有两个权鉴框架比较出名 Shiro 和 Spring Security。这里我们使用了 Spring Security。 必须要了解的概念 CSR...
微服务[学成在线] day16:基于Spring Security Oauth2开发认证服务
通往体面生活的路上
07-24 659
???? 知识点概览 为了方便后续回顾该项目时能够清晰的知道本章节讲了哪些内容,并且能够从该章节的笔记中得到一些帮助,所以在完成本章节的学习后在此对本章节所涉及到的知识点进行总结概述。 本章节为【学成在线】项目的 day16 的内容 学习 Spring Security + Oauth2 基本概念以及实现过程。 学习 Oauth2 的基本应用场景,这里主要是通过 Oauth2 的密码模式来实战。 初识 JWT 令牌。 本章节的最后通过 Spring Security Oauth2 完成了认证
Spring Security Oauth2
Feng_ZiYou的博客
11-05 1922
1用户认证需求分析 1.1 用户认证授权 什么是用户身份认证? 用户身份认证即用户去访问系统资源时系统要求验证用户的身份信息,身份合法方可继续访问。常见的用户身份认证表现形式有:用户名密码登录,指纹打卡等方式。 什么是用户授权? 用户认证通过后去访问系统的资源,系统会判断用户是否拥有访问资源的权限,只允许访问有权限的系统资源,没有权限的资源将无法访问,这个过程叫用户授权。 1.2 单点登录需求 一个项目可以包括多个子项目,如:学习系统,教学管理中心、系统管理中心等,为了提高用户体验性需要实现用户只认证一次
ELK基础篇2:nginx限制kibana访问
u013089490的博客
12-28 1077
这里主要说明我们如何使用nginx显示kibana访问,上一篇的内容中我们已经讲述了kibana的安装知识。 1、nginx安装 【解压缩】 [root@wzy_woyun soft]# tar -zxvf nginx-1.14.2.tar.gz -C /usr/local/ [root@wzy_woyun soft]# cd /usr/local/nginx-1.14.2/ 【ng...
NGINX自带auth_basic在http/https请求中区别、配置 Rewrite 规则实现二级域名 及 www域名跳转等常用功能配置详解
本博客记录了从2014年以来在工作学习中遇到的技术问题、解决方法以及部分个人人生经历、经验等内容。
03-17 327
查看nginx官网的文档,nginx有一个快速给请求添加账号密码验证的方法,使用ngx_http_auth_basic_module 模块。可以放在http, server, location, limit_except 上下文中,配置也很简单。在使用中发现,请求的页面分别是http和https 的话,nginx的处理是有区别的。对于https请求,如果账号密码输入不正确,则会一直让用户输入,直至输入正确或者是用户点击两次取消放弃请求。
网关项目的Knife4j配置+网关的冲突问题及解决
weixin_43792176的博客
03-21 898
网关项目
nginx下配置了SSL,tomcat no SSL,项目使用https协议
chuganwei8580的博客
07-30 353
https://feitianbenyue.iteye.com/blog/2056357 配置 Nginx 的转发选项: Xml代码 proxy_set_headerHost$host; proxy_set_headerX-Re...
sentinel整合knife4j出现冲突问题解决
JackMa的博客
01-13 645
然后再导入sentinel的maven坐标,启动项目就可以了。其中有一个报错是因为和knife4j出现的冲突。做法就是在导入knif4j坐标时候排除。当整合sentinel时候出现报错。
nginx 配置 auth_basic,开启身份验证
weixin_43406151的博客
09-08 1826
nginx 配置 auth_basic,开启身份验证
springboot整合knife4j,从此告别手写接口文档
*** 棋了个怪_Rachel ***
06-28 9053
Knife4j的前身是swagger-bootstrap-ui,前身swagger-bootstrap-ui是一个纯swagger-ui的ui皮肤项目一开始项目初衷是为了写一个增强版本的swagger的前端ui,但是随着项目的发展,面对越来越多的个性化需求,不得不编写后端Java代码以满足新的需求,在swagger-bootstrap-ui的1.8.5~1.9.6版本之间,采用的是后端Java代码和Ui都混合在一个Jar包里面的方式提供给开发者使用.这种方式虽说对于集成swagger来说很方便,只需要引入j
Nginx配置Basic Auth登录认证的实现方法
会哭的雨@的博客
02-22 3203
有时候我们通过nginx搭建了一台文件服务器, 一般来讲是公开的, 但我们又希望该服务器不让他人看到, 有人可能会搭建一个登录系统, 但是太麻烦, 也没太大必要, 比较简单的做法是配置Basic Auth登录认证 1. 确定你安装了httpd-tools 1 yum install httpd-tools -y 2. 创建授权用户和密码 1 ...
security 不启用
最新发布
03-15
<think>嗯,用户想要在系统或应用中禁用安全功能或模块。首先,我需要考虑不同的场景,比如操作系统、应用框架或者特定软件的安全功能。不同的平台禁用方法可能不一样,得分开说明。 首先想到的是Android系统禁用adb push/pull,之前有看到引用2和4提到过,可以通过修改系统属性或者源码来实现。可能需要设置persist.sys.adb.enable为0,或者在file_sync_service.cpp中添加判断。这部分需要管理员权限,可能用户如果是开发者的话,可以尝试这些方法。 然后是Spring Security框架,引用1和3提到过用注解开启安全功能。禁用的话可能需要移除@EnableWebSecurity和@EnableMethodSecurity这些注解,或者排除Security的自动配置。比如在Spring Boot中排除SecurityAutoConfiguration,这样就不会自动启用安全模块了。另外,用户可能还需要移除依赖,但有时候排除配置可能更简单。 再考虑操作系统层面的安全模块,比如SELinux或者AppArmor。禁用这些通常需要修改系统配置,比如将SELinux设置为permissive或disabled模式,但要注意这会影响整体系统安全,用户需要了解风险。 还有应用软件内部的安全功能,比如数据库或Web服务器的安全设置。可能需要修改配置文件,关闭身份验证或访问控制。比如MySQL的skip-grant-tables选项,或者Nginx的auth模块注释掉。 用户可能需要具体说明是哪个环境下的安全功能,但问题中没有明确,所以得给出几个常见场景的解决方案。同时要提醒用户禁用安全功能的风险,可能导致系统暴露在攻击之下,需谨慎操作。 需要检查引用中的资料是否准确,比如Android部分引用2和4确实提到了禁用adb传输的方法,而Spring Security部分引用1和3提到了启用方法,禁用的话则是相反操作。确保步骤正确,比如排除依赖、修改属性等。 最后,整理回答时要分点,结构清晰,每个场景单独说明步骤,并加入注意事项。可能用户是开发者或系统管理员,需要技术细节,但也要简明易懂。同时生成相关问题,帮助用户深入思考其他可能性。</think>### 如何禁用系统或应用中的安全功能 禁用安全功能需根据具体场景采取不同方法,以下分系统级和框架级两类场景说明: --- #### 一、系统级安全功能禁用(以 Android 为例) 1. **禁用 ADB 文件传输** 在 Android 系统开发中,通过修改系统源码禁用 `adb push/pull` 功能: - 在 `file_sync_service.cpp` 的 `do_send` 和 `do_recv` 函数中添加系统属性判断逻辑: ```cpp if (property_get_bool("persist.sys.adb.enable", 0) == 0) { return; // 直接终止传输 } ``` - 通过设置 `persist.sys.adb.enable=0` 禁用功能[^2][^4]。 2. **关闭 SELinux/AppArmor** - 临时禁用:`setenforce 0`(SELinux)或 `apparmor_parser -R /path/to/profile`(AppArmor)。 - 永久禁用:修改 `/etc/selinux/config` 或卸载相关安全模块。 --- #### 二、应用框架级安全功能禁用(以 Spring Security 为例) 1. **移除 Spring Security 自动配置** 在 Spring Boot 的启动类或配置文件中排除安全模块: ```java @SpringBootApplication(exclude = {SecurityAutoConfiguration.class}) ``` - 同时需移除 `@EnableWebSecurity` 和 `@EnableMethodSecurity` 注解[^1][^3]。 2. **删除依赖项** 在 Maven/Gradle 配置中移除 `spring-boot-starter-security` 依赖: ```xml <!-- 注释或删除以下依赖 --> <!-- <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> --> ``` --- #### 三、其他场景 - **数据库安全功能**:如 MySQL 可通过 `skip-grant-tables` 启动参数跳过权限验证。 - **Web 服务器安全模块**:如 Nginx 中注释 `auth_basic` 相关配置以关闭基础认证。 --- ⚠️ **注意事项** 禁用安全功能可能导致系统暴露于未授权访问、数据泄露等风险。操作前需评估必要性,并在测试环境中验证。 --- §§ 1. 如何在 Linux 系统中临时禁用防火墙? 2. Spring Security 如何仅关闭身份验证但保留授权功能? 3. 禁用 Android 系统 ADB 后如何恢复文件传输? 4. 企业级应用中如何平衡安全性功能便利性?
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值