如何全面升级spring-boot-2.x及Spring-security-oauth2

已于 2022-07-10 09:33:23 修改
阅读量2.5k 收藏 4
点赞数 1
分类专栏: spring Spring Boot 文章标签: spring secutiry security oauth2 oauth2登录 CVE-2022-22978
于 2022-06-17 18:37:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nmyphp/article/details/125336863
版权
本文介绍了在将Spring Boot从1.5.x升级到2.5.14,Spring Security OAuth2从2.x升级到2.1.0.RELEASE后,遇到的登录回跳问题。问题在于UsernamePasswordAuthenticationFilter未拦截POST请求,导致登录失败。通过源码分析发现是NotOauthRequestMatcher匹配规则变化引起的。解决方案是调整NotOauthRequestMatcher的匹配规则,避免截胡自定义登录接口。
摘要由CSDN通过智能技术生成

背景介绍

老的项目基于spring-boot-1.5.x、spring-security-oauth2-2.x实现的sso,在近期的安全漏洞扫描中发现如下2个漏洞:

漏洞 涉及jar 修复方案
Spring Framework JDK >= 9 远程代码执行漏洞(CVE-2022-22965) spring-core-4.3.12.RELEASE.jar 升级官方安全版本 >= 5.3.18/5.2.20
Spring Security RegexRequestMatcher 认证绕过漏洞(CVE-2022-22978) spring-security-core-4.2.3.RELEASE.jar 5.5.x 版本使用者建议升级至5.5.7及其以上;
5.6.x 版本使用者建议升级至5.6.4及其以上

然后笔者的同事将spring-boot升级到了2.5.14;将spring-security-oauth2升级到了2.1.0、RELEASE,这样一来,spring-core的版本被间接的升级到了5.3.20,spring-security-core版本变成了5.5.8(主要是spring-boot决定的)。

因为spring-boot-1.x和2.x之间的差距,同步的对项目依赖和代码做了微调。这里不再列出。不是今天的重点。

项目终于能成功启动了,但是一个致命的问题出来了,登录成功后,不能正确的回跳到redirect_uri指定的地址。这里如果你对spring-security-oauth2实现登录认证不熟悉

最低0.47元/天 解锁文章
小饭大人
关注
专栏目录
Springboot 2.11版本集成security+oauth2
xiyuan_mc的博客
12-21 4521
Springboot 2.11版本集成security+oauth2前言OAuth2.0基本知识上代码请求token参考资料[git地址](https://github.com/NicolaLuoqi/zhaospace.git) 前言 Springboot版本升级至2.0以上之后,集成security+oauth2有了一些新的变化。现将在搭建过程记录如下,以便日后使用。 OAuth2.0基本知识...
spring-boot spring-security-oauth2 完整demo
11-22
Spring Boot、Spring SecurityOAuth2的完整示例解析》 在现代Web开发中,安全性是不可忽视的重要一环。Spring Boot、Spring SecurityOAuth2是Java生态系统中用于构建安全Web应用的三大利器。本篇文章将围绕...
Spring Security Oauth2自定义登录升级
huihuiwuhui的专栏
10-20 396
参考文章Spring Security Oauth2关于自定义登录的几种解决方案(二)_小丑竟是我自己-CSDN博客 在上一版本中简单了实现了一版只输入用户名,密码就能登录的方式,但是是修改了原来的password模式实现的,不算真正的拓展。 本篇采用新增TokenGranter完成自定义登录 第一步:创建一个新的Token,继承AbstractAuthenticationToken 第二步:创建AccountAuthenticationProvider,实现AuthenticationProvid
spring-security-core为例,升级spring-boot-dependencies单独包
09-20 438
要求: 漏洞扫描需要将 Spring Security 升级到 5.7.12、5.8.11、6.0.10、6.1.8、6.2.3 及以上版本。1 pom文件properties中增加新的Security版本号标签spring-security.version和版本号。2 在spring-boot-dependencies前引入spring-security-core包。
spring boot 2.1.6.RELEASE配oauth2-2.0版本
陌上离歌
11-12 953
maven ->pom.xml <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocatio...
Spring-Security(二)OAuth2认证详解(持续更新)
lbmydream的博客
06-06 1850
深入了解Spring Oauth2.0 认证流程及自定义扩展
Spring Boot 3.3新特性发布
nanxiaotao的博客
05-26 1527
Spring Boot 3.3 现已正式发布!此版本包含大量更新,包括多项新功能。我们决定进行一些挑选,并查看最重要的变化,其中包括对类数据共享 (CDS) 的支持,以加快应用程序启动速度。
SpringSecurity最新学习,spring-security-oauth2-authorization-server【spring-security-oauth2升级
小道仙的后宫
07-03 1175
默认获取token是在 header中,还要拼接一个前缀 Bearer, 假如想改为从 url中获取 access_token, 只需要重写BearerTokenResolver// URI 中 Token 的参数名@Override// 从 URI 参数中获取 Token= null &&!上面的流程完成了授权和鉴权,但我们拿不到有用的参数,何为有用的参数比如: 用户的 userId不管是Opaque还是Jwt都可以在里面设置一些我们自己的参数——把参数放到 【claims】Opaque。
spring-Security-oauth2.zip
05-26
Spring Boot项目中,可以通过添加`spring-security-oauth2-autoconfigure`依赖来快速启用OAuth2支持。配置主要包括: - **AuthorizationServerConfigurerAdapter**:配置授权服务器,定义授权端点、令牌端点等。...
spring-security-oauth2-autoconfigure-2.1.8.RELEASE-文档-中英对照版.zip
05-04
赠送jar包:spring-security-oauth2-autoconfigure-2.1.8.RELEASE....Maven坐标:org.springframework.security.oauth.boot:spring-security-oauth2-autoconfigure:2.1.8.RELEASE; 标签:springsecurity、autoconfi
spring security oauth2.x迁移到spring security5.x - 资源服务器
路过君的博客
11-03 2021
spring cloud升级到2020.x以后不再包含spring security 项目可以继续使用spring security oauth 2.x版本或者升级spring security 5.2.x 官方迁移指引 差异 废弃@EnableResourceServer注解,改为使用oauth2ResourceServer方法 废弃ResourceServerConfigurerAdapter,改为在WebSecurityConfigurerAdapter暴露相同功能 鉴权表达式变更 sp
SpringSecurity + OAuth2 详解
初心不忘、始终方得
02-19 5540
SpringSecurity入门到精通************************************************************************** SpringSecurity 介绍 **************************************************************************一、入门1.简介与选择2.入门案例-默认的登录和登出接口3.登录经过了哪些步骤二、基础的自定义认证1.自定义UserDetailsServi
SpringBoot集成SpringSecurity5和OAuth2 — 1、基于内存的OAuth2认证服务器
Mr_XiMu的博客
05-21 2477
SpringBoot集成SpringSecurity5和OAuth2 — 1、基于内存的OAuth2认证服务器
漏洞预警|spring-security-oauth2-client 权限提升漏洞
LJQClqjc的博客
11-01 399
近日网上有关于开源项目spring-security-oauth2-client 权限提升漏洞,棱镜七彩威胁情报团队第一时间探测到,经分析研判,向全社会发起开源漏洞预警公告,提醒相关安全团队及时响应。
SpringSecurity整合OAuth2.0
热门推荐
玩转Java
12-10 1万+
springsecurity整合aoth2.0
Spring SecurityOauth2 整合 步骤
zxygww的专栏
07-03 1439
http://blog.csdn.net/monkeyking1987/article/details/16828059 spring-security-oauth2的项目地址为 https://github.com/spring-projects/spring-security-oauth/tree/master/spring-security-oauth2 spring
微服务安全Spring Security Oauth2实战_spring-security-oauth2-authorization-server
最新发布
baimao__Ch的博客
09-20 1712
Authorization)是一种开放标准的授权协议,允许用户授权第三方应用访问其在某个服务提供者上的受保护资源,而无需将其实际的凭证(如用户名和密码)分享给第三方应用。这种方式可以增加安全性,同时允许用户更好地控制其数据的访问权限。OAuth 2.1 去掉了 OAuth 2.0 中的密码模式、简化模式,增加了设备授权码模式,同时也对授权码模式增加了 PKCE 扩展。OAuth 2.1 协议:<https://datatracker.ietf.org/doc/html/draft-ietf-
微服务安全Spring Security Oauth2实战
xnxqwzy的博客
05-13 962
Authorization)是一种开放标准的授权协议,允许用户授权第三方应用访问其在某个服务提供者上的受保护资源,而无需将其实际的凭证(如用户名和密码)分享给第三方应用。这种方式可以增加安全性,同时允许用户更好地控制其数据的访问权限。OAuth 2.1 去掉了 OAuth 2.0 中的密码模式、简化模式,增加了设备授权码模式,同时也对授权码模式增加了 PKCE 扩展。OAuth 2.1 协议:<https://datatracker.ietf.org/doc/html/draft-ietf-
springcloud springboot oauth2版本依赖
liu346487291的专栏
07-04 3207
spring cloud,springboot,oauth2
Spring Security OAuth2 Boot 2.6.8官方维护与迁移指南
Spring Security OAuth2 Boot提供了一系列自动配置选项,方便开发者快速集成OAuth2.0协议,尤其是在迁移至Spring Boot 2.x时,作为旧版OAuth支持与新版Spring Security 5之间的一个过渡工具。 1.1 自动配置与授权...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值