Spring Security中如何在內存身份驗證和jdbc身份驗證中同時配置
[英]how to configure both in memory authentication and jdbc authentication in spring security
問題描述
我可以通過以下配置在內存身份驗證中實現
@Configuration
@EnableWebSecurity
public class SpringSecurityConfig extends WebSecurityConfigurerAdapter
{
@Autowired
public void configureInMemoryAuthentication(AuthenticationManagerBuilder auth) throws Exception
{
auth.inMemoryAuthentication().withUser("praveen").password("{noop}praveen@123#").roles("ADMIN");
auth.inMemoryAuthentication().withUser("vedanta").password("{noop}vedanta@123#").roles("USER");
}
@Override
protected void configure(final HttpSecurity http) throws Exception
{
http
.authorizeRequests()
.antMatchers("/resources/**", "/", "/login", "/api/**").permitAll()
.antMatchers("/app/admin/*").hasRole("ADMIN").antMatchers("/app/user/*")
.hasAnyRole("ADMIN", "USER")
.and().exceptionHandling().accessDeniedPage("/403")
.and().formLogin()
.loginPage("/login").usernameParameter("userName")
.passwordParameter("password")
.defaultSuccessUrl("/app/user/dashboard")
.failureUrl("/login?error=true")
.and().logout()
.logoutSuccessHandler(new CustomLogoutSuccessHandler())
.invalidateHttpSession(true)
.and().csrf().disable();
http.sessionManagement().maximumSessions(1).expiredUrl("/login?expired=true");
}
}
和jdbc身份驗證通過以下配置(在不同的項目中)
@Configuration
@EnableWebSecurity
public class SpringSecurityConfig extends WebSecurityConfigurerAdapter
{
@Autowired
DataSource dataSource;
@Autowired
public void configureJdbcAuthentication(AuthenticationManagerBuilder auth) throws Exception
{
auth.jdbcAuthentication().dataSource(dataSource).passwordEncoder(passwordEncoder())
.usersByUsernameQuery("select username, password, enabled from userdetails where userName=?")
.authoritiesByUsernameQuery(
"select ud.username as username, rm.name as role from userdetails ud INNER JOIN rolemaster rm ON rm.id = ud.roleId where username = ?");
}
@Override
protected void configure(final HttpSecurity http) throws Exception
{
http
.authorizeRequests()
.antMatchers("/resources/**", "/", "/login")
.permitAll()
.antMatchers("/config/*", "/app/admin/*")
.hasRole("ADMIN")
.antMatchers("/app/user/*")
.hasAnyRole("ADMIN", "USER")
.antMatchers("/api/**")
.hasRole("APIUSER")
.and().exceptionHandling()
.accessDeniedPage("/403")
.and().formLogin()
.loginPage("/login")
.usernameParameter("userName").passwordParameter("password")
.defaultSuccessUrl("/app/user/dashboard")
.failureUrl("/login?error=true")
.and().logout()
.logoutSuccessHandler(new CustomLogoutSuccessHandler())
.invalidateHttpSession(true)
.and().httpBasic()
.and().csrf()
.disable();
http.sessionManagement().maximumSessions(1).expiredUrl("/login?expired=true");
}
@Bean
public PasswordEncoder passwordEncoder()
{
return new BCryptPasswordEncoder();
}
}
當我試圖在同一個項目中實現兩者時(我在SpringSecurityConfig中僅添加了configureInMemoryAuthentication和configureJdbcAuthentication方法,如下所示)
@Configuration
@EnableWebSecurity
public class SpringSecurityConfig extends WebSecurityConfigurerAdapter
{
...
@Autowired
public void configureInMemoryAuthentication(AuthenticationManagerBuilder auth) throws Exception
{
auth.inMemoryAuthentication()
.withUser("restapiuser")
.password("restapiuser@123#")
.roles("APIUSER");
}
@Autowired
public void configureJdbcAuthentication(AuthenticationManagerBuilder auth) throws Exception
{
auth.jdbcAuthentication().dataSource(dataSource).passwordEncoder(passwordEncoder())
.usersByUsernameQuery("select username, password, enabled from userdetails where userName=?")
.authoritiesByUsernameQuery(
"select ud.username as username, rm.name as role from userdetails ud INNER JOIN rolemaster rm ON rm.id = ud.roleId where username = ?");
}
...
}
但是我無法成功使用inMemoryAuthentication憑據登錄,我已被重定向到“ / login?error = true”頁面。
但是我能夠使用jdbcAuthentication憑據成功登錄。
但兩者都無法實現。
我做錯什么了嗎?
是否可以結合兩個身份驗證?
1 個解決方案
解決方案1
0 已采納 2019-09-03 02:18:50
錯誤的是,身份驗證管理器試圖解碼我的普通密碼並發出此警告。
WARN - Encoded password does not look like BCrypt
看到日志后,我嘗試了password("{noop}restapiuser@123#")也不起作用,可能是因為jdbcAuthentication已為passwordEncoder注冊,身份驗證管理器每次都會嘗試解密/解碼密碼。 因此,無需跳過密碼解碼即可提供編碼后的密碼。
由於我未保留編碼后的密碼,因此它嘗試對其進行解碼並重定向到failureUrl。
參考解決方案
@Autowired
public void configureInMemoryAuthentication(AuthenticationManagerBuilder auth) throws Exception
{
auth.inMemoryAuthentication()
.withUser("restapiuser")
.password(new BCryptPasswordEncoder().encode("restapiuser@123#"))
.roles("APIUSER");
}
或者,最佳做法是保留編碼密碼而不是普通密碼
.password("$2a$10$GRoNCbeVoBYMcZH7QLX2O.wWxkMtB4qiBY8y.XzvRN/mvktS9GWc6")
另類。 只有一種configureAuthentication方法,但同時在內存和jdbc身份驗證中進行如下配置
@Autowired
public void configureBothAuthentication(AuthenticationManagerBuilder auth) throws Exception
{
auth.inMemoryAuthentication()
.withUser("restapiuser")
.password(new BCryptPasswordEncoder().encode("restapiuser@123#"))
.roles("ADMIN");
auth.jdbcAuthentication().dataSource(dataSource).passwordEncoder(passwordEncoder())
.usersByUsernameQuery("select username, password, enabled from userdetails where userName=?")
.authoritiesByUsernameQuery(
"select ud.username as username, rm.name as role from userdetails ud INNER JOIN rolemaster rm ON rm.id = ud.roleId where username = ?");
}
所以,
在Spring項目中可以同時實現InMemoryAuthentication和jdbcAuthentication。
如何使用 Java 和 XML 配置在 Spring Security 中配置 jdbc 身份驗證管理器?
[英]How to configure jdbc authentication manager in Spring Security using Java and XML configuration?
如何在Flyway中使用Spring Boot / Spring Security的JDBC身份驗證
[英]How to use JDBC-Authentication of Spring Boot/Spring Security with Flyway
Spring Security-如何使用Java Config配置多個身份驗證提供程序
[英]Spring security - How to configure multiple authentication providers using java config
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
Spring 4 Security jdbc身份驗證
在Spring Boot中配置JDBC身份驗證
如何使用 Java 和 XML 配置在 Spring Security 中配置 jdbc 身份驗證管理器?
如何在Flyway中使用Spring Boot / Spring Security的JDBC身份驗證
Spring 安全在 memory 身份驗證不起作用
Spring Security JDBC 認證登錄用戶錯誤
Spring-Security:MySQL JDBC身份驗證失敗
Spring 啟動安全 JDBC 基本認證失敗
登錄驗證 - Spring 啟動安全,JDBC
Spring Security-如何使用Java Config配置多個身份驗證提供程序
相關標簽