Tag: security

AccessController.doPrivileged: 我试图找出一些遗留代码正在做什么。这条线到底在做什么，为什么我会这样需要呢？ String lineSeparator = (String) java.security.AccessController.doPrivileged( new sun.security.action.GetPropertyAction(“line.separator”)); 我在Weblogic 8上运行的web / ejb应用程序的logger实现中找到了它。据我所知，没有启用特殊的安全策略。（我不喜欢从sun。*包中导入，所以我想摆脱这条线;-)

java.security.AccessControlException：拒绝访问（java.io.FilePermission: final File parentDir = new File(“S:\\PDSPopulatingProgram”); parentDir.mkdir(); final String hash = “popupateData”; final String fileName = hash + “.txt”; final File file = new File(parentDir, fileName); file.createNewFile(); // Creates file PDSPopulatingProgram/popupateData.txt 我正在尝试在文件夹中创建一个文件，但我得到例外 java.security.AccessControlException: Access denied 我在Windows环境中工作。我可以从Windows资源管理器创建一个文件夹，但不能从Java代码创建。我该如何解决这个问题？

SSLContext初始化: 我正在查看JSSE参考指南，我需要获取SSLContext的实例才能创建SSLEngine ，因此我可以将它与Netty一起使用以启用安全性。要获取SSLContext的实例，我使用SSLContext.getInstance() 。我看到该方法被多次覆盖，因此我可以选择使用协议和安全提供程序。在这里，我可以看到可以使用的算法列表。我应该使用哪种算法来实现安全通信？此外，由于可以指定要使用的安全提供程序，我应该使用哪个提供程序？谢谢

何时从Container托管安全迁移到Apache Shiro，Spring Security等替代方案？: 我正在尝试保护使用JSF2.0构建的应用程序。我很困惑人们什么时候选择使用像Shiro，Spring Security或者owasp的esapi这样的安全替代品来留下容器管理的安全性。看过Stack Overflow上的一些相关问题后，我意识到JSF开发人员过去更喜欢基于容器的安全性。但我也强烈建议使用Apache Shiro。我是安全问题的新手，不知道可能是什么相关问题以及如何处理它们。因此，我正在寻找通过其默认设置/自己处理大多数安全问题的东西。就我的应用程序需求而言，我有一个社交应用程序，具有不同角色的用户可以访问不同的页面集，并可以根据他们的角色在这些页面上使用不同级别的function。在那种情况下，你觉得什么对我来说是个不错的选择？我个人已经确信选择Shiro因为它易于使用并且为新手照顾大部分事情。

如何强制java服务器只接受tls 1.2并拒绝tls 1.0和tls 1.1连接: 我有一个在java 7上运行的https Web服务。我需要进行更改，以便此服务只接受tls1.2连接并拒绝ssl3，tls1.0和tls1.1。我添加了以下java参数，以便tls1.2具有最高优先级。 -Dhttps.protocols=TLSv1.2 但它也接受来自java客户端的tls1.0连接。如果客户端也使用上面的java参数运行，则连接为tls1.2但如果客户端在没有此参数的情况下运行，则连接为tls1.0。我在jdk / jre / lib / security文件夹中的java.security文件中做了一些游戏。我目前有以下禁用的算法： jdk.certpath.disabledAlgorithms= MD2, MD4, MD5, SHA224, DSA, EC keySize < 256, RSA keySize < 2048, SHA1 keysize < 224 jdk.tls.disabledAlgorithms=DSA, DHE, EC keySize < 256, RSA keySize < 2048, SHA1 keysize < 224 我正在使用java 7，更新79.我不倾向于拦截每个连接并检查tls版本。我的服务器证书是使用带有RSA算法的MD5生成的2048位。如果禁用的算法列表使用RSA代替RSA keySize <2048，则会收到SSLHandShakeError，并显示错误消息：没有共同的密码套件。我的测试程序从以下URL运行http服务器： http […]

Spring Security：多个HTTP配置不起作用: 我正在尝试使用Spring Security，我有一个用例，我想要保护不同的登录页面和不同的URL集。这是我的配置： @Configuration @Order(1) public static class ProviderSecurity extends WebSecurityConfigurerAdapter{ @Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .antMatchers(“/”, “/home”).permitAll() .antMatchers(“/admin/login”).permitAll() .antMatchers(“/admin/**”).access(“hasRole(‘BASE_USER’)”) .and() .formLogin() .loginPage(“/admin/login”).permitAll() .defaultSuccessUrl(“/admin/home”) .failureUrl(“/admin/login?error=true”).permitAll() .usernameParameter(“username”) .passwordParameter(“password”) .and() .csrf() .and() .exceptionHandling().accessDeniedPage(“/Access_Denied”); } } @Configuration @Order(2) public static class ConsumerSecurity extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { […]