如何全面升级spring-boot-2.x及Spring-security-oauth2

最新推荐文章于 2024-06-06 22:02:52 发布
最新推荐文章于 2024-06-06 22:02:52 发布
阅读量1.6k 收藏
点赞数
分类专栏: 面试 学习路线 阿里巴巴 文章标签: android 前端 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/egegerhn/article/details/126081102
版权

背景介绍

老的项目基于spring-boot-1.5.x、spring-security-oauth2-2.x实现的sso,在近期的安全漏洞扫描中发现如下2个漏洞:

漏洞

涉及jar

修复方案

Spring Framework JDK >= 9 远程代码执行漏洞(CVE-2022-22965)

spring-core-4.3.12.RELEASE.jar

升级官方安全版本 >= 5.3.18/5.2.20

Spring Security RegexRequestMatcher 认证绕过漏洞(CVE-2022-22978)

spring-security-core-4.2.3.RELEASE.jar

5.5.x 版本使用者建议升级至5.5.7及其以上;
5.6.x 版本使用者建议升级至5.6.4及其以上

然后笔者的同事将spring-boot升级到了2.5.14;将spring-security-oauth2升级到了2.1.0、RELEASE,这样一来,spring-core的版本被间接的升级到了5.3.20,spring-security-core版本变成了5.5.8(主要是spring-boot决定的)。

因为spring-boot-1.x和2.x之间的差距,同步的对项目依赖和代码做了微调。这里不再列出。不是今天的重点。

项目终于能成功启动了,但是一个致命的问题出来了,登录成功后,不能正确的回跳到redirect_uri指定的地址。这里如果你对spring-security-oauth2实现登录认证不熟悉的,可以参考

最低0.47元/天 解锁文章
egegerhn
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security Oauth2 JWT
weixin_71363636的博客
03-07 148
1.Oauth2介绍1.OAuth(开放授权)是一个开放标准,允许用户授权第三方移动应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方移动应用或分享他们数据的所有内容,OAuth2.0是OAuth协议的延续版本。2.第三方认证技术方案最主要是解决认证协议的通用标准 问题,因为要实现跨系统认证,各系统之间要遵循一定的接口协议。3.OAUTH协议为用户资源的授权提供了一个安全的、开放而又简易的标准。
Spring Security OAuth2.0认证授权 --- 高级篇
shuai_h的博客
06-19 1082
六、OAuth2.0 6.1、OAuth2.0介绍 OAuth(开放授权)是一个开放标准,允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方应用或分享他们数据的所有内容。OAuth2.0是OAuth协议的延续版本,但不向后兼容OAuth 1.0即完全废止了OAuth1.0。很多大公司如Google,Yahoo,Microsoft等都提供了OAUTH认证服务,这些都足以说明OAUTH标准逐渐成为开放资源授权的标准。 Oauth协议目前发展到2.0版本,1.0版本过
springboot版本升级,及解决springsecurity漏洞问题
喜羊羊love红太狼
05-06 1354
项目中要解决 Spring Security RegexRequestMatcher 认证绕过漏洞(CVE-2022-22978) 漏洞问题,并且需要将项目的版本整体升级到boot版本2.1.7,升级改造过程非常的痛苦,一方面对整个框架的代码不是很熟悉,另外对解决漏洞问题相对较少。但是明明可以用鼠标点击进去,此类问题经常是idea,什么缓存,或者是pom依赖下载不全导致,然后就陷入了这个误区,一直以为是idea的问题,然后idea缓存清理了很多次还是无法解决。此时我就怀疑可能不是idea的问题了。
Spring-Security(二)OAuth2认证详解(持续更新)
最新发布
lbmydream的博客
06-06 1320
深入了解Spring Oauth2.0 认证流程及自定义扩展
spring-security-core 4.2.3升级到5.2.1的坑
qq_23930323的博客
03-18 1822
从spring-security-core 4.2.3(springboot1.5.9)升级到5.2.1(springboot2.2.2)的坑 4.2.3中,granttype类型为password时,所指定的passwordencoder仅用于password加密, client_secret 是使用spring自带的org.springframework.security.authentica...
spring security(三)oauth2
yiguang_820的博客
02-14 412
【代码】spring security(三)
spring-core-3.2.7.RELEASE.jar (spring3.2.7的核心jar包)
03-11
spring-core-3.2.7.RELEASE.jar (spring3.2.7的核心jar包),Java开发中spring框架开发必须的依赖包。
spring-boot spring-security-oauth2 完整demo
11-22
《Spring Boot、Spring Security与OAuth2的完整示例解析》 在现代Web开发中,安全性是不可忽视的重要一环。Spring Boot、Spring Security和OAuth2是Java生态系统中用于构建安全Web应用的三大利器。本篇文章将围绕...
spring-Security-oauth2.zip
05-26
在Spring Boot项目中,可以通过添加`spring-security-oauth2-autoconfigure`依赖来快速启用OAuth2支持。配置主要包括: - **AuthorizationServerConfigurerAdapter**:配置授权服务器,定义授权端点、令牌端点等。...
spring-boot-oauth2-登录
02-03
spring-boot-oauth2-登录 Spring Boot 2.0 oauth2登录示例 此示例项目登录示例github , google , facebook , kakao spring.security.oauth2.client.registration.github.client-id= spring.security.oauth2....
spring-security-oauth2-autoconfigure-2.1.8.RELEASE-文档-中英对照版.zip
05-04
赠送jar包:spring-security-oauth2-autoconfigure-2.1.8.RELEASE....Maven坐标:org.springframework.security.oauth.boot:spring-security-oauth2-autoconfigure:2.1.8.RELEASE; 标签:spring、security、autoconfi
spring-core-x.x.x.jar 包下载
06-11
本博客中依赖的jar包下载, https://blog.csdn.net/Hello_World_QWP/article/details/80652618 jar包中的版本具体如下: spring-core-4.1.6.RELEASE.jar spring-core-4.3.10.RELEASE.jar spring-core-4.3.12.RELEASE.jar spring-core-4.3.13.RELEASE.jar spring-core-4.3.14.RELEASE.jar spring-core-4.3.16.RELEASE.jar spring-core-4.3.17.RELEASE.jar spring-core-5.0.6.RELEASE.jar
spring-security-core-5.3.9.RELEASE-API文档-中文版.zip
07-14
赠送jar包:spring-security-core-5.3.9.RELEASE.jar; 赠送原API文档:spring-security-core-5.3.9.RELEASE-javadoc.jar; 赠送源代码:spring-security-core-5.3.9.RELEASE-sources.jar; 赠送Maven依赖信息文件:spring-security-core-5.3.9.RELEASE.pom; 包含翻译后的API文档:spring-security-core-5.3.9.RELEASE-javadoc-API文档-中文(简体)版.zip; Maven坐标:org.springframework.security:spring-security-core:5.3.9.RELEASE; 标签:springframework、security、spring、core、中文文档、jar包、java; 使用方法:解压翻译后的API文档,用浏览器打开“index.html”文件,即可纵览文档内容。 人性化翻译,文档中的代码和结构保持不变,注释和说明精准翻译,请放心使用。
spring-security-oauth2.rar
09-04
在Spring Boot应用中,通过`spring-boot-starter-data-redis`依赖和`spring.security.oauth2.provider.token.store.redis`配置,可以轻松地将TokenStore切换到Redis。此外,还需要配置Redis连接参数,如主机名、端口...
Spring Cloud整合SpringSecurity OAuth2(全网最强)
热门推荐
web15185420056的博客
06-12 1万+
本文是梳理整合SpringCloud和SpringSecurity OAuth2的搭建流程!好久没撸SpringSecurity OAuth2这系列代码了,都快忘了,特写此文章梳理脉络!开干!!!微服务版本 SpringSecurity OAuth2版本 通过微服务版本限定后spring-security-oauth2-autoconfigure的最终版本自动适配为2.1.2刚开始我这里就不一次性把一大堆配置放上来,需要什么就写什么,不然到时候都搞不清那个配置是干嘛,有什么用的!这也是我写这个文章的缘由!授
Spring Security OAuth2 入门
2401_84010702的博客
04-18 704
面试题文档来啦,内容很多,485页!由于笔记的内容太多,没办法全部展示出来,下面只截取部分内容展示。面试题文档来啦,内容很多,485页!由于笔记的内容太多,没办法全部展示出来,下面只截取部分内容展示。
从零开始 Spring Security OAuth2
qq_38454776的博客
11-28 298
伪类 伪类选择器是CSS中已经定义好的选择器,不能随便起名
浅析spring-security-oauth2-authorization-server
小东子的博客
06-07 4191
oauth2-authorization-server已做了很多封装处理, 在使用过程中, 我们主要关注这几个部分第一, 各种Converter或者我们自定义Converter, 如果自定义Converter通常需要自定义认证对象, 自定义Converter和认证对象都可以参考框架提供的, 如我们分析的ClientSecretBasicAuthenticationConverter和对应的认证对象OAuth2ClientAuthenticationToken第二, 各种Provider。
Spring Security OAuth2详解
qq_33814479的博客
10-12 6354
创建认证成功处理器和认证失败处理器,处理登录成功和登录失败请求@Component@Slf4j@Autowired@Autowired@Override// 1. 从请求头中获取 ClientIdthrow new UnapprovedClientAuthenticationException("请求头中无client信息");// 2. 通过 ClientDetailsService 获取 ClientDetails。
spring-security-oauth2文档
03-26
spring-security-oauth2-boot-reference-2.6.8 是最后一版的官方文档

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值