Question

Кажется, я не понимаю, что не так с моим кодом.Я пытаюсь войти в систему с помощью безопасности Springboot, все кажется правильным, и я вижу свое имя пользователя и пароль на консоли.Может кто-нибудь сказать мне, что я не так?

Вот мой класс SecSecurityConfig

     package com.scanapp.config;
     import com.scanapp.repositories.RoleRepository;
     import com.scanapp.services.UserDetailsService;
     import org.springframework.beans.factory.annotation.Autowired;
     import org.springframework.beans.factory.annotation.Qualifier;
     import org.springframework.context.annotation.Bean;
     import org.springframework.context.annotation.Configuration;
     import 
     org.springframework.security.authentication.dao.DaoAuthenticationProvider;
     import org.springframework.security.crypto.password.PasswordEncoder;

     @Configuration
     @EnableWebSecurity
     public class SecSecurityConfig extends WebSecurityConfigurerAdapter {


     @Autowired
     private RoleRepository roleRepository;




    @Autowired
    @Qualifier("myuserdet")
    UserDetailsService userDetailsService;
    protected void init(AuthenticationManagerBuilder auth) throws Exception {
        System.out.println("I'm here");
        auth.authenticationProvider(authProvider());
    }

    @Bean
    public DaoAuthenticationProvider authProvider() {
        System.out.println("got here");
        DaoAuthenticationProvider authProvider = new 
       DaoAuthenticationProvider();
        authProvider.setUserDetailsService(userDetailsService);
        authProvider.setPasswordEncoder(passwordEncoder());
        return authProvider;
    }


    @Bean
    public PasswordEncoder passwordEncoder()
      {

        return new CustomPassword();
       }

        @Override
        protected void configure(HttpSecurity http) throws Exception {

            http.authorizeRequests()
                    .antMatchers("/resources**").permitAll()
                    .anyRequest().permitAll()
                    .and().formLogin().loginPage("/login").successForwardUrl("/index").defaultSuccessUrl("/index",true).failureUrl("/login?error").permitAll()
                    .and()
                    .csrf().disable();
        System.out.println("got here too");
        }

    }

UserServiceDetails.java

package com.scanapp.services;

import com.drew.metadata.StringValue;
import com.scanapp.config.MyUserPrincipal;
import com.scanapp.config.SecSecurityConfig;
import com.scanapp.models.User;
import com.scanapp.repositories.UserRepository;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.context.annotation.Bean;
import org.springframework.security.authentication.BadCredentialsException;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Service;
import org.springframework.web.bind.annotation.RequestParam;

import java.util.Objects;


@Qualifier("myuserdet")
@Service
public class UserDetailsService implements org.springframework.security.core.userdetails.UserDetailsService {

    @Autowired
    private UserRepository userRepository;
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {


        User user = userRepository.findByEmail(username);

        if (Objects.nonNull(user)) {
            MyUserPrincipal principal = new MyUserPrincipal(user);
            System.out.println(String.valueOf(principal));
            System.out.println("User Found");
            System.out.println(principal.getPassword());
            System.out.println(principal.getUsername());
            return principal;
        }else {
            throw new BadCredentialsException("User Not found");
        }

    }
}

MyUserPrincipal.java

package com.scanapp.config;

import com.scanapp.models.User;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.userdetails.UserDetails;

import java.util.Collection;

public class MyUserPrincipal implements UserDetails {



        private User user;

        public MyUserPrincipal(User user) {
            this.user = user;
        }


    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {

            return null;
    }

    @Override
    public String getPassword()
    {
        return user.getPassword();
    }

    @Override
    public String getUsername()
    {
        return user.getEmail();
    }

    @Override
    public boolean isAccountNonExpired() {
        return false;
    }

    @Override
    public boolean isAccountNonLocked() {
        return false;
    }

    @Override
    public boolean isCredentialsNonExpired() {
        return false;
    }

    @Override
    public boolean isEnabled() {
        return false;
    }
}

CustomPassword.java

package com.scanapp.config;

import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;

public class CustomPassword extends BCryptPasswordEncoder {

    Logger logger = LoggerFactory.getLogger(this.getClass());

    @Override
    public String encode(CharSequence rawPassword) {
        return super.encode(rawPassword);
    }

    @Override
    public boolean matches(CharSequence rawPassword, String encodedPassword) {
        System.out.println("paasword etered {}" + rawPassword);
        return super.matches(rawPassword, encodedPassword);
    }
}

Adina Fometescu · Answer 1 · 14 октября 2018

В вашем коде много шума.

1. Вы определили CustomPassword, который просто расширяет BCryptPasswordEncoder.Предлагаю вернуть

@Bean
public PasswordEncoder passwordEncoder(){
    return new BCryptPasswordEncoder();
}

2.Вы определили другую модель пользователя, которая ничего не делает и имеет нулевой список предоставленных полномочий.Это странно, потому что он должен потерпеть неудачу, если список полномочий нулевой.Пожалуйста, верните импорт

org.springframework.security.core.userdetails.User;

//..
return new User(userName, encodedPassword, Collections.singletonList(new SimpleGrantedAuthority("USER")

3. Лучше использовать другие имена для ваших бобов, а не весенние.переименуйте UserDetailsService в CustomUserDetailsService и не используйте квалификаторы в своей конфигурации.

4. Убедитесь, что при сохранении паролей в вашей базе данных они хэшируются с помощью BCryptPasswordEncoder.

Selindek · Answer 2 · 14 октября 2018

OK.Другая идея: на основе документации этот метод не должен возвращать нуль:

@Override
public Collection<? extends GrantedAuthority> getAuthorities() {

        return null;
}

return AuthorityUtils.NO_AUTHORITIES;.

Теоретически он может повысить NullpointerException во время аутентификации ПОСЛЕ вашегоUserDetailsService создал принципал.И если где-то есть общий catch (Exception e), то он будет просто встроен в AuthenticationException.

--- Edit

OUCH!

Вам также следуетизмените возвращаемое значение на true в последних четырех методах в классе MyUserPrincipal:

@Override
public boolean isAccountNonExpired() {
    return true;
}

@Override
public boolean isAccountNonLocked() {
    return true;
}

@Override
public boolean isCredentialsNonExpired() {
    return true;
}

@Override
public boolean isEnabled() {
    return true;
}

Ваш princapal всегда был отключен и с истекшим сроком действия и все.Конечно, не было разрешено войти!:)

Selindek · Answer 3 · 14 октября 2018

Попробуйте удалить этот блок из конфигурации.Теоретически Spring создает все эти компоненты за кулисами (автоматически подбирая passwordEncoder и UserDetailsService).

@Autowired
@Qualifier("myuserdet")
UserDetailsService userDetailsService;
protected void init(AuthenticationManagerBuilder auth) throws Exception {
    System.out.println("I'm here");
    auth.authenticationProvider(authProvider());
}

@Bean
public DaoAuthenticationProvider authProvider() {
    System.out.println("got here");
    DaoAuthenticationProvider authProvider = new 
   DaoAuthenticationProvider();
    authProvider.setUserDetailsService(userDetailsService);
    authProvider.setPasswordEncoder(passwordEncoder());
    return authProvider;
}

Если это не сработает, попробуйте переименовать свой UserDetailsService (хотя это длинный путь).

Конфигурация безопасности Springboot не перенаправляет на successUrl

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 3 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Конфигурация безопасности Springboot не перенаправляет на successUrl

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 3 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Нет похожих вопросов