Question

ОБРАЗЕЦ КОДА ДЛЯ ПОМОЩИ ИСПРАВИТЬ ПРОБЛЕМУ : https://github.com/Suwappertjes/SpringSample

Задача

При попытке реализовать jwt-security в приложении Spring Boot я сталкиваюсь со следующей проблемой:

Когда я пытаюсь войти с помощью x-www-form-urlencoded через Почтальона, я получаю «Неверные учетные данные клиента» , хотя я знаю, что учетные данные верны.

Когда я просматриваю свой журнал, я вижу, что BCrypt выдал предупреждение "Пустой кодированный пароль" . Это странно, учитывая, что я вижу правильно зашифрованные пароли в базе данных при просмотре через интерпретатор MySQL.

Информация

Я использую Hibernate для создания базы данных MySQL.

compile 'org.springframework.security.oauth: spring-security-oauth2: 2.3.6.RELEASE'

compile 'org.springframework.security:spring-security-jwt:1.0.10.RELEASE'

compile 'org.springframework.boot: spring-boot-starter-data-jpa'

Java 1.8.0_212

Что я пробовал

Перед тем как приступить к реализации безопасности, все контроллеры, репозитории и база данных MySQL работали правильно.

Когда я ищу эту проблему в Интернете, некоторые люди полагают, что это связано с функцией " loadUserByUsername ". Но когда я отлаживаю эту функцию, я замечаю, что вообще не вызывается .

Я также пытался разрешить каждый путь в моей программе И отключить crsf на случай, если это как-то связано с правами доступа, но оба ничего не изменили. (http.requestMatchers.andMatcher("/**").permitAll().and().csrf().disable();)

Обновление: при добавлении НЕТ пользователей в базу данных, я все еще получаю ту же ошибку.

Некоторые коды:

Метод loadUserByUsername:

@Override
public UserDetails loadUserByUsername(String userName) {
    return userRepository.findByUsername(userName)
            .map(user -> new User(
                        user.getUsername(),
                        user.getPassword(),
                        UserRoleAuthority.getAuthorities(user.getRoles())
                ))
            .orElseThrow(() -> new UsernameNotFoundException("Unknown user: " + userName));

}

Поставщик аутентификации и кодировщик пароля:

@Bean
public DaoAuthenticationProvider getAuthenticationProvider() {
    DaoAuthenticationProvider authenticationProvider = new DaoAuthenticationProvider();
    authenticationProvider.setUserDetailsService(userDetailsService);
    authenticationProvider.setPasswordEncoder(passwordEncoder());
    return authenticationProvider;
}

@Bean
PasswordEncoder passwordEncoder() {
    return new BCryptPasswordEncoder();
}

Ключ подписи:

@Bean
public JwtAccessTokenConverter jwtTokenEnhancer() {
    JwtAccessTokenConverter result = new JwtAccessTokenConverter();
    result.setSigningKey(signingKey);
    return result;
}

Добавление нового пользователя:

            userRepository.save(new User()
                            .withUsername("test")
                            .withPassword(passwordEncoder.encode("password"))
                            .withFirst("Admin")
                            .withLast("Nator")
                            .withEmail("test@notadmin.com")
                            .withRole(new HashSet<>(Arrays.asList(Role.Admin, Role.NotAdmin)))
            );

И конфигурация Http:

@Override
public void configure(HttpSecurity http) throws Exception {

    http.requestMatchers()
            .antMatchers("/iungo/*/**")
            .and()
            .authorizeRequests()
            .antMatchers("/iungo/system/**")
            .permitAll()
            .antMatchers("/iungo/**");
}

@Override
public void configure(HttpSecurity http) throws Exception {
    // We don't use this endpoint but we have to define it anyway in order to not enable web security on the whole application.
    http
            .userDetailsService(userDetailsService)
            .requestMatchers()
            .antMatchers("/oauth/authorize");
}

И, наконец, моя консоль :

2019-06-12 10:29:58.460  INFO 25207 --- [           main] org.hibernate.Version                    : HHH000412: Hibernate Core {5.3.9.Final}
2019-06-12 10:29:58.461  INFO 25207 --- [           main] org.hibernate.cfg.Environment            : HHH000206: hibernate.properties not found
2019-06-12 10:29:58.532  INFO 25207 --- [           main] o.hibernate.annotations.common.Version   : HCANN000001: Hibernate Commons Annotations {5.0.4.Final}
2019-06-12 10:29:58.599  INFO 25207 --- [           main] org.hibernate.dialect.Dialect            : HHH000400: Using dialect: org.hibernate.dialect.MySQL5Dialect
2019-06-12 10:29:59.092  INFO 25207 --- [           main] o.h.t.schema.internal.SchemaCreatorImpl  : HHH000476: Executing import script 'org.hibernate.tool.schema.internal.exec.ScriptSourceInputNonExistentImpl@c30f26d'
2019-06-12 10:29:59.098  INFO 25207 --- [           main] j.LocalContainerEntityManagerFactoryBean : Initialized JPA EntityManagerFactory for persistence unit 'default'
2019-06-12 10:29:59.382  WARN 25207 --- [           main] o.s.s.o.p.t.s.JwtAccessTokenConverter    : Unable to create an RSA verifier from verifierKey (ignoreable if using MAC)
2019-06-12 10:29:59.595  INFO 25207 --- [           main] o.s.s.web.DefaultSecurityFilterChain     : Creating filter chain: OrRequestMatcher [requestMatchers=[Ant [pattern='/oauth/token'], Ant [pattern='/oauth/token_key'], Ant [pattern='/oauth/check_token']]], [org.springframework.security.web.context.request.async.WebAsyncManagerIntegrationFilter@56a72887, org.springframework.security.web.context.SecurityContextPersistenceFilter@1ddba7a0, org.springframework.security.web.header.HeaderWriterFilter@7adbec34, org.springframework.security.web.authentication.logout.LogoutFilter@296bfddb, org.springframework.security.oauth2.provider.client.ClientCredentialsTokenEndpointFilter@22ab1b8a, org.springframework.security.web.authentication.www.BasicAuthenticationFilter@54033a65, org.springframework.security.web.savedrequest.RequestCacheAwareFilter@7dfec0bc, org.springframework.security.web.servletapi.SecurityContextHolderAwareRequestFilter@42734b71, org.springframework.security.web.authentication.AnonymousAuthenticationFilter@3c8dea0b, org.springframework.security.web.session.SessionManagementFilter@6fe9c048, org.springframework.security.web.access.ExceptionTranslationFilter@526fc044, org.springframework.security.web.access.intercept.FilterSecurityInterceptor@690e4b00]
2019-06-12 10:29:59.600  INFO 25207 --- [           main] o.s.s.web.DefaultSecurityFilterChain     : Creating filter chain: OrRequestMatcher [requestMatchers=[Ant [pattern='/iungo/*/**']]], [org.springframework.security.web.context.request.async.WebAsyncManagerIntegrationFilter@1978b0d5, org.springframework.security.web.context.SecurityContextPersistenceFilter@69a3bf40, org.springframework.security.web.header.HeaderWriterFilter@3186f8f5, org.springframework.security.web.authentication.logout.LogoutFilter@a4dcede, org.springframework.security.oauth2.provider.authentication.OAuth2AuthenticationProcessingFilter@760c777d, org.springframework.security.web.savedrequest.RequestCacheAwareFilter@2c731a16, org.springframework.security.web.servletapi.SecurityContextHolderAwareRequestFilter@2a341e3d, org.springframework.security.web.authentication.AnonymousAuthenticationFilter@6556471b, org.springframework.security.web.session.SessionManagementFilter@467cd4b9, org.springframework.security.web.access.ExceptionTranslationFilter@3f3f554f, org.springframework.security.web.access.intercept.FilterSecurityInterceptor@d0e4972]
2019-06-12 10:29:59.603  INFO 25207 --- [           main] o.s.s.web.DefaultSecurityFilterChain     : Creating filter chain: OrRequestMatcher [requestMatchers=[Ant [pattern='/oauth/authorize']]], [org.springframework.security.web.context.request.async.WebAsyncManagerIntegrationFilter@6cf3b3d7, org.springframework.security.web.context.SecurityContextPersistenceFilter@462f8fe9, org.springframework.security.web.header.HeaderWriterFilter@24f2608b, org.springframework.security.web.csrf.CsrfFilter@713497cd, org.springframework.security.web.authentication.logout.LogoutFilter@56193e3a, org.springframework.security.web.savedrequest.RequestCacheAwareFilter@3c6fc4cd, org.springframework.security.web.servletapi.SecurityContextHolderAwareRequestFilter@b2e1df3, org.springframework.security.web.authentication.AnonymousAuthenticationFilter@2e785b28, org.springframework.security.web.session.SessionManagementFilter@12a9e864, org.springframework.security.web.access.ExceptionTranslationFilter@4b762988]
2019-06-12 10:29:59.731  INFO 25207 --- [           main] o.s.s.concurrent.ThreadPoolTaskExecutor  : Initializing ExecutorService 'applicationTaskExecutor'
2019-06-12 10:29:59.902  INFO 25207 --- [           main] o.s.b.w.embedded.tomcat.TomcatWebServer  : Tomcat started on port(s): 8080 (http) with context path ''
2019-06-12 10:29:59.903  INFO 25207 --- [           main] nl.highway.iungomain.Application         : Started Application in 2.937 seconds (JVM running for 3.345)
2019-06-12 10:29:59.923  INFO 25207 --- [           main] o.h.h.i.QueryTranslatorFactoryInitiator  : HHH000397: Using ASTQueryTranslatorFactory
2019-06-12 10:30:12.550  INFO 25207 --- [nio-8080-exec-1] o.a.c.c.C.[Tomcat].[localhost].[/]       : Initializing Spring DispatcherServlet 'dispatcherServlet'
2019-06-12 10:30:12.550  INFO 25207 --- [nio-8080-exec-1] o.s.web.servlet.DispatcherServlet        : Initializing Servlet 'dispatcherServlet'
2019-06-12 10:30:12.554  INFO 25207 --- [nio-8080-exec-1] o.s.web.servlet.DispatcherServlet        : Completed initialization in 4 ms
2019-06-12 10:30:12.632  WARN 25207 --- [nio-8080-exec-1] o.s.s.c.bcrypt.BCryptPasswordEncoder     : Empty encoded password

Suwappertjes · Answer 1 · 14 июня 2019

Я нашел проблему.Я использовал Spring boot 2.1.4.RELEASE, но эта установка работает только в 1.5.12.RELEASE.Конечно, понижение рейтинга не очень хорошая практика, поэтому я все же попытаюсь заставить его работать с 2.1.4.

ghazouan badr · Answer 2 · 12 июня 2019

Вы должны добавить bCryptPasswordEncoder в методе configureGlobal

@Autowired
    public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
        auth
            .userDetailsService(userDetailsService)
            .passwordEncoder(bCryptPasswordEncoder());
    }

Christian Meyer · Answer 3 · 15 июня 2019

Я думаю, что решение @ ghazouanbadr верное. Хотя я реализовал это по-другому в моем практическом проекте:

@EnableWebSecurity
@Configuration
public class WebSecurity extends WebSecurityConfigurerAdapter {
    @Autowired
    UserService userService;
    @Autowired
    BCryptPasswordEncoder bCryptPasswordEncoder;

    public WebSecurity(UserService userService, BCryptPasswordEncoder bCryptPasswordEncoder) {
        this.userService = userService;
        this.bCryptPasswordEncoder = bCryptPasswordEncoder;
    } 

    @Override // Authorization
    protected void configure(HttpSecurity http) throws Exception {
        ...
    }

    @Override // Authentication
    public void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userService(userService).passwordEncoder(bCryptPasswordEncoder);
   }
}

Будьте осторожны, я только около месяца изучал Java, когда создавал этот класс. Не слишком много помните о безопасности, поэтому я не могу сказать вам, что это лучший способ сделать это. Поскольку я вспоминаю, что имел дело с той же проблемой, я подумал, что это может направить вас в правильном направлении.

BCrypt: пустой кодированный пароль с помощью Spring Security

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 3 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

BCrypt: пустой кодированный пароль с помощью Spring Security

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 3 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы