个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
24
4
我正在与苹果最近在 OS X 中遇到的一个“错误”作斗争:) 一个应用程序对用户进行身份验证,不仅将其密码字段视为 bcrypt 哈希值,而且还视为明文,因此它允许特殊的实用程序帐户进行登录使用空密码。
数据库中有大量用户记录,几乎所有记录的密码都经过 bcrypt 哈希处理。然而,有一些特殊的实用程序帐户的密码哈希字段故意留空(以使 BcryptPasswordEncoder#matches 始终拒绝它们的登录尝试)。
在 ProviderManager 上放置断点,我可以看到由 spring 初始化的多个身份验证提供程序:
DaoAuthenticationProviderAnonymousAuthenticationProvider,没有人配置,但至少我可以猜测它来自 permitAll() 或类似的东西。DaoAuthenticationProvider 和 PlaintextPasswordEncoder 破坏了所有乐趣我们有另一个项目,我们不使用 Spring Boot,并且具有几乎相同的配置,它按预期工作(密码永远不会被视为明文,仅被视为 bcrypt 哈希)。所以我的猜测是:这个“问题”与 Spring Boot“按约定配置”有关,我找不到如何覆盖其行为。
在这个项目中我使用以下配置:
@Configuration
@EnableWebSecurity
public class WebSecurity extends WebSecurityConfigurerAdapter {
@Autowired
private UserDetailsService userDetailsService;
@Autowired
AuthenticationProvider authenticationProvider;
@Override
protected void configure(HttpSecurity http) throws Exception {
http.userDetailsService(userDetailsService)
.authorizeRequests()
.antMatchers("/js/**", "/css/**").permitAll()
.anyRequest().authenticated()
.and()
.formLogin()
.loginPage("/login").permitAll()
.loginProcessingUrl("/j_spring_security_check").permitAll()
.successHandler(new SuccessHandler())
.and()
.logout()
.logoutRequestMatcher(new AntPathRequestMatcher("/logout")).permitAll()
.logoutSuccessUrl("/login");
http.csrf().disable();
http.headers().frameOptions().sameOrigin();
}
@Autowired
@Override
public void configure(AuthenticationManagerBuilder auth) throws Exception {
auth.userDetailsService(userDetailsService);
auth.authenticationProvider(authenticationProvider);
}
@Bean
public DaoAuthenticationProvider authenticationProvider() {
final DaoAuthenticationProvider authenticationProvider = new DaoAuthenticationProvider();
authenticationProvider.setUserDetailsService(userDetailsService);
authenticationProvider.setPasswordEncoder(passwordEncoder());
return authenticationProvider;
}
@Bean
PasswordEncoder passwordEncoder() {
return new BCryptPasswordEncoder(15);
}
}
编辑:如果我正确的话,有一种方法可以配置全局和本地 AuthenticationManagerBuilder:
// Inject and configure global:
/*
@Autowired
public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
auth.userDetailsService(userDetailsService).passwordEncoder(passwordEncoder());
}
*/
// Override method and configure the local one:
@Override
public void configure(AuthenticationManagerBuilder auth) throws Exception {
auth.userDetailsService(userDetailsService).passwordEncoder(passwordEncoder());
}
这样做,我现在有两个构建器实例:一个 - 本地 - 仅具有正确的管理器:bcrypt,另一个 - 全局 - 有其他 2 个提供者:匿名和明文。身份验证行为仍然存在,应用程序仍然使用两者并允许用户使用明文密码登录。取消注释 configureGlobal 也没有帮助,在这种情况下,全局管理器包含所有三个提供程序。
最佳答案
该配置在多个位置显式提供 userDetailsService,而不提供 PasswordEncoder。最简单的解决方案是将 UserDetaisService 和 PasswordEncoder 作为 Bean 公开,并删除所有显式配置。这是可行的,因为如果没有显式配置,Spring Security 将发现 Bean 并从中创建身份验证。
@Configuration
@EnableWebSecurity
public class WebSecurity extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http // Don't forget to remove userDetailsService
.authorizeRequests()
.antMatchers("/js/**", "/css/**").permitAll()
.anyRequest().authenticated()
.and()
.formLogin()
.loginPage("/login").permitAll()
.loginProcessingUrl("/j_spring_security_check").permitAll()
.successHandler(new SuccessHandler())
.and()
.logout()
.logoutRequestMatcher(new AntPathRequestMatcher("/logout")).permitAll()
.logoutSuccessUrl("/login");
http.csrf().disable();
http.headers().frameOptions().sameOrigin();
}
// UserDetailsService appears to be a Bean somewhere else, but make sure you have one defined as a Bean
@Bean
PasswordEncoder passwordEncoder() {
return new BCryptPasswordEncoder(15);
}
}
失败的原因是因为有显式配置来使用 UserDetailsService 两次:
@Autowired
@Override
public void configure(AuthenticationManagerBuilder auth) throws Exception {
// below Configures UserDetailsService with no PasswordEncoder
auth.userDetailsService(userDetailsService);
// configures the same UserDetailsService (it was used to create the authenticationProvider) with a PasswordEncoder (it was provided to the authenticationProvider)
auth.authenticationProvider(authenticationProvider);
}
如果您想要显式配置,可以使用以下内容
@Override
public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
auth.userDetailsService(userDetailsService)
.passwordEncoder(passwordEncoder());
}
并删除 authenticationProvider bean 以及 @Autowired AuthenticationProvider。或者,您可以只使用 AuthenticationProvider,但不能同时使用两者。
通常,只有当您有多个具有不同身份验证机制的 WebSecurityConfigurerAdapter 时,才需要显式配置 AuthenticationManagerBuilder。如果您不需要这样做,我建议仅将 UserDetailsService 和(可选)PasswordEncoder 作为 Bean 公开。
请注意,如果您将 AuthenticationProvider 公开为 Bean,它将通过 UserDetailsService 使用。同样,如果您将 AuthenticationManager 公开为 Bean,则它将通过 AuthenticationProvider 使用。最后,如果您显式提供 AuthenticationManagerBuilder 配置,它将用于任何 Bean 定义。
关于java - Spring Boot 初始化了比预期更多的 DaoAuthenticationProvider,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/48767183/
24
4
0
我对java有点陌生,所以如果我犯了一个简单的错误,请原谅我,但我不确定我哪里出错了,我收到的错误是“预期的.class,预期的标识符,而不是声明, ';'预期的。”我尝试了不同的方法,并从这些方法中
This question already has answers here: chai test array equality doesn't work as expected (3个答案) 3年前
我正在学习 Java(对不起,我的英语很差,这不是我的母语),当我在 Eclipse (JavaSE-1.7) 中在我输入的每个“try”中执行“try-finally” block 时,会出现以下消
我收到两个错误,指出 token 上的语法错误,ConstructorHeaderName expected instead & token “(”上的语法错误,< expected 在线: mTM.
我找不到错误。 Eclipse 给我这个错误。每个 { } 都是匹配的。请帮忙。 Multiple markers at this line - Syntax error on token “)”,
代码: import java.awt.*; import javax.swing.*; import java.awt.event.*; public class DoubleIt extends
我正在用 python(Vs 代码)编写代码,但出现此错误: Expected ")" Pylance 错误发生在:def main() 我试着运行我的 main 并将它打印到我的屏幕上。我用谷歌搜
我正在尝试按照 documentation 中的建议使用异步函数。但我收到此错误 意外的 token ,预期 ( async function getMoviesFromApi() { try
Closed. This question does not meet Stack Overflow guidelines。它当前不接受答案。 想改善这个问题吗?更新问题,以便将其作为on-topic
Closed. This question does not meet Stack Overflow guidelines。它当前不接受答案。 想改善这个问题吗?更新问题,以便将其作为on-topic
第一行包含一个表示数组长度的整数p。第二行包含用空格分隔的整数,这些整数描述数组中的每个元素。第三行打印一个整数,指示负数组的数量。 package asgn3; import java.util.*
好的,我是初学者,我必须修复此 java 表达式语言代码才能在我的系统 (Windchill) 中工作,但看起来我在语法中遗漏了一些内容: LWCNormalizedObject lwc =
我无法编译我的程序! 我想我缺少一个花括号,但我怎么也看不出在哪里! import javax.swing.*; import java.awt.*;
我的 jQuery 代码有问题,我的 Firebug 向我发出警告:需要选择器。 这是代码: $("img[id$='_tick']").each(function() { $(this).c
我的新类(class) Fountainofyouth 遇到了问题。尝试构建整个项目后,调试器显示 warning: extended initializer lists only available
我已经从 Java 转向 CPP,并且正在努力围绕构造构造函数链进行思考,我认为这是我的问题的根源。 我的头文件如下: public: GuidedTour(); GuidedTour(string
鉴于以下 for(var i=0; i< data.cats.length; i++) list += buildCategories(data.cats[i]); jsLint 告诉我 Expect
我有这个 json,但 Visual Studio Code 在标题中给了我警告。 [ { "title": "Book A", "imageUrl": "https:
我正在尝试编写一个有条件地禁用四个特殊成员函数(复制构造、移动构造、复制赋值和移动赋值)的包装类,下面是我用于测试目的的快速草稿: enum class special_member : uint8_
所以我用 F# 编写了一个非常简单的程序,它应该对 1000 以下的所有 3 和 5 的倍数求和: [1..999] |> List.filter (fun x -> x % 3 = 0 || x %
我是一名优秀的程序员,十分优秀!