升级Spring Security版本

最新推荐文章于 2024-07-24 14:18:45 发布
最新推荐文章于 2024-07-24 14:18:45 发布
阅读量2.4k 收藏 7
点赞数 2
文章标签: spring java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pany_2017/article/details/132556702
版权
升级Spring Security版本

项目中使用的是5.7.6 版本,存在 Spring Security 身份认证绕过漏洞(CVE-2023-34034),故建议升级到 5.6.12、5.7.10、5.8.5、6.0.5、6.1.2 及以上版本。

由于本次设计多个项目,有些项目直接修改pom文件中的版本号即可

<properties>
        <spring-security.version>5.7.10</spring-security.version>
</properties>

但是有一个项目,修改之后报错:

23-08-28.14:48:01.980 [main            ] WARN  AnnotationConfigReactiveWebServerApplicationContext  - Exception encountered during context initialization - cancelling refresh attempt: org.springframework.beans.factory.UnsatisfiedDependencyException: Error creating bean with name 'org.springframework.security.config.annotation.web.reactive.WebFluxSecurityConfiguration': Unsatisfied dependency expressed through method 'setSecurityWebFilterChains' parameter 0; nested exception is org.springframework.beans.factory.UnsatisfiedDependencyException: Error creating bean with name 'securityWebFilterChain' defined in class path resource [com/x5dtech/gateway/config/SpringSecurityConfig.class]: Unsatisfied dependency expressed through method 'securityWebFilterChain' parameter 0; nested exception is org.springframework.beans.factory.BeanCreationException: Error creating bean with name 'org.springframework.security.config.annotation.web.reactive.HttpSecurityConfiguration.httpSecurity' defined in class path resource [org/springframework/security/config/annotation/web/reactive/ServerHttpSecurityConfiguration.class]: Bean instantiation via factory method failed; nested exception is org.springframework.beans.BeanInstantiationException: Failed to instantiate [org.springframework.security.config.web.server.ServerHttpSecurity]: Factory method 'httpSecurity' threw exception; nested exception is java.lang.NoSuchMethodError: org.springframework.web.util.pattern.PathPatternParser.initFullPathPattern(Ljava/lang/String;)Ljava/lang/String;
23-08-28.14:48:02.009 [main            ] INFO  StandardService         - Stopping service [Tomcat]
23-08-28.14:48:02.036 [main            ] INFO  ConditionEvaluationReportLoggingListener  - 

Error starting ApplicationContext. To display the conditions report re-run your application with 'debug' enabled.
23-08-28.14:48:02.084 [main            ] WARN  FailureAnalyzers        - FailureAnalyzers [org.springframework.boot.autoconfigure.jooq.NoDslContextBeanFailureAnalyzer,org.springframework.boot.autoconfigure.diagnostics.analyzer.NoSuchBeanDefinitionFailureAnalyzer,org.springframework.boot.autoconfigure.jdbc.DataSourceBeanCreationFailureAnalyzer,org.springframework.boot.autoconfigure.r2dbc.ConnectionFactoryBeanCreationFailureAnalyzer] implement BeanFactoryAware or EnvironmentAware. Support for these interfaces on FailureAnalyzers is deprecated, and will be removed in a future release. Instead provide a constructor that accepts BeanFactory or Environment parameters.
23-08-28.14:48:02.109 [main            ] ERROR LoggingFailureAnalysisReporter  - 

***************************
APPLICATION FAILED TO START
***************************

Description:

An attempt was made to call a method that does not exist. The attempt was made from the following location:

    org.springframework.security.web.server.util.matcher.PathPatternParserServerWebExchangeMatcher.parse(PathPatternParserServerWebExchangeMatcher.java:71)

The following method did not exist:

    org.springframework.web.util.pattern.PathPatternParser.initFullPathPattern(Ljava/lang/String;)Ljava/lang/String;

The calling method's class, org.springframework.security.web.server.util.matcher.PathPatternParserServerWebExchangeMatcher, was loaded from the following location:

    jar:file:/D:/apache-maven-3.6.3-bin/repository/org/springframework/security/spring-security-web/5.7.10/spring-security-web-5.7.10.jar!/org/springframework/security/web/server/util/matcher/PathPatternParserServerWebExchangeMatcher.class

The called method's class, org.springframework.web.util.pattern.PathPatternParser, is available from the following locations:

    jar:file:/D:/apache-maven-3.6.3-bin/repository/org/springframework/spring-web/5.3.18/spring-web-5.3.18.jar!/org/springframework/web/util/pattern/PathPatternParser.class

The called method's class hierarchy was loaded from the following locations:

    org.springframework.web.util.pattern.PathPatternParser: file:/D:/apache-maven-3.6.3-bin/repository/org/springframework/spring-web/5.3.18/spring-web-5.3.18.jar


Action:

Correct the classpath of your application so that it contains compatible versions of the classes org.springframework.security.web.server.util.matcher.PathPatternParserServerWebExchangeMatcher and org.springframework.web.util.pattern.PathPatternParser

根据错误日志分析:

  1. 找不到方法 org.springframework.web.util.pattern.PathPatternParser.initFullPathPattern(Ljava/lang/String;)Ljava/lang/String;,该方法被 org.springframework.security.web.server.util.matcher.PathPatternParserServerWebExchangeMatcher 类调用。

  2. org.springframework.security.web.server.util.matcher.PathPatternParserServerWebExchangeMatcher 类来自于 spring-security-web-5.7.10.jar,而找不到所需方法的类 org.springframework.web.util.pattern.PathPatternParser 来自于 spring-web-5.3.18.jar

所以确认spring-security-webspring-web 这两个依赖项的版本兼容有问题。

springboot 2.7.14或2.7.15对应的spring-security版本是5.7.10,再查看springboot 2.7.14对应的spring-web版本为5.3.29,pom中添加:

<dependency>
       <groupId>org.springframework</groupId>
       <artifactId>spring-web</artifactId>
       <version>5.3.29</version>
</dependency>

重启项目,解决!

注:springboot版本对应其他依赖可通过:https://docs.spring.io/spring-boot/docs/2.7.14/reference/htmlsingle/#getting-started 网址查询,网址中的2.7.14对应要查询的springboot版本,进去之后ctrl + f 搜索要查找的依赖。

pany_2017
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
全新版本Spring Security使用
BUG指挥课堂
07-11 1813
SpringBoot实战电商项目mall(50k+star)地址:github.com/macrozheng/…首先修改项目的文件,把Spring Boot版本升级版本。 旧用法 在Spring Boot 2.7.0 之前的版本中,我们需要写个配置类继承,然后重写Adapter中的三个方法进行配置; 如果你在SpringBoot 2.7.0版本中进行使用的话,你就会发现已经被弃用了,看样子Spring Security要坚决放弃这种用法了! 新用法非常简单,无需再继承,只需直接声明配置类,再配置
Spring Security+OAuth2 精讲,打造企业级认证与授权2022升级
10-25
Spring Security+OAuth2 精讲,打造企业级认证与授权(2022升级版) 1、企业级认证授权专项解决方案 系统解锁后端开发者必备的"安全"技能 2、主流安全框架核心一网打尽,只学实用的
springboot版本升级,及解决springsecurity漏洞问题
喜羊羊love红太狼
05-06 1593
项目中要解决 Spring Security RegexRequestMatcher 认证绕过漏洞(CVE-2022-22978) 漏洞问题,并且需要将项目的版本整体升级到boot版本2.1.7,升级改造过程非常的痛苦,一方面对整个框架的代码不是很熟悉,另外对解决漏洞问题相对较少。但是明明可以用鼠标点击进去,此类问题经常是idea,什么缓存,或者是pom依赖下载不全导致,然后就陷入了这个误区,一直以为是idea的问题,然后idea缓存清理了很多次还是无法解决。此时我就怀疑可能不是idea的问题了。
SpringBoot Security5.7.7:记录一个简单的项目升级示例
红烧栗子黄瓜鱼的博客
03-16 1014
自定义加密类,蛮记录下,SpringBoot Security5.7.7:记录一个简单的项目升级示例
SpringSecurity中文文档(前置-Maven导入SpringSecurity
znjy111的博客
06-13 835
SpringSecurity中文文档(前置-Maven导入SpringSecurity
Spring Security3.0版本
c_yanxin_ru的博客
05-30 1182
核心: A >>?>> B?代表判断层,由Security实现这是之前的版本浓缩,现在3.0版本添加了更匹配的内容描写,匹配了mvc模式非mvc模式 核心:client(用户)>> filter(过滤器)>> servlet(业务)mvc模式ps:不要在意图片中的英文,有拼错的。
Spring Boot、Spring Security升级版本选择、安全漏洞说明
热门推荐
学习笔记
05-26 1万+
文章目录一、概述依据一:官方主维护依据二:CVE-2022-22965依据三:CVE-2022-22978二、版本选择 一、概述 依据一:官方主维护 截止(2022-05-26)为止,Spring Boot 2.5 、2.6为官方主要维护版本。 **发行说明 :**https://github.com/spring-projects/spring-boot/wiki 依据二:CVE-2022-22965 0x01漏洞详情 Spring Framework存在远程代码执行漏洞,在 JDK 9+ 上运行的 Sp
SpringSecurity升级
蓝影铁哥的博客
01-08 1567
SpringSecurity
Spring Security版本配置
weixin_46073538的博客
06-30 3484
Springsecurity最新版配置
Spring Boot整合Spring Security
null
03-21 1106
WebSecurityConfigurerAdapter 自定义Security策略AuthenticationManagerBuilder 自定义认证策略@EnableWebSecurity 开启WebSecurity模式@Override//密码加密//配置用户名、密码,该配置方式下,用户名和密码保存在内存中//密码加密方式这里我们就直接固定写死用户名和密码,实际生产中可以从数据库中获取@Service@Override//设置角色,角色的概念后续介绍。
Spring Security OAuth过期的解决方法
09-07
1. **升级Spring Security版本**: 首先,确保你的项目使用的是最新版本Spring SecuritySpring团队经常发布更新以修复漏洞和提供新功能。在官方停止支持旧版OAuth2实现后,升级到最新的Spring Security版本是...
spring-security Jar包
09-21
Spring Security 是一个强大的且高度可定制的身份验证和访问控制框架,用于保护基于Java的应用程序。这个框架被广泛应用于Web应用程序...随着版本升级Spring Security 不断完善其功能,提供更好的安全性和易用性。
spring spring security2.5 jar
01-08
Spring SecuritySpring生态体系中的一个核心组件,主要负责应用程序的安全性,包括认证和...理解并熟练掌握这个版本,有助于深入理解Spring Security的工作原理,并为升级到更高版本或使用其他安全框架打下坚实基础。
Spring Security 文档
04-18
Spring Security 是一个强大的安全框架,用于管理Web应用和企业级应用的安全性。在Spring Security 3的使用中,有四种常见的实现方式: 1. **全配置文件方式**:所有用户、权限和资源URL都直接硬编码在XML配置文件...
SpringCloud之使用 Nacos 实现高效购物车商品信息处理
最新发布
Takumilove的博客
07-24 1143
通过上述步骤,我们成功实现了一个高效的购物车商品信息处理流程。使用 Nacos 来进行服务发现,并结合手写的负载均衡策略,确保了服务调用的高可用性和稳定性。这样不仅提升了系统的性能,还能给用户带来更好的购物体验。
Spring 事务管理 04
程序员进阶之路
07-23 846
事务Transaction)是数据库管理系统(DBMS)中的一个重要概念,它确保数据库操作的**一致性**、**完整性**和**持久性**。在软件开发中,特别是涉及到多个数据库操作或者复杂的数据更新过程时,使用事务能够有效地保证数据操作的正确性和可靠性。以下是几个需要事务的主要原因:
SpringBoot启动命令过长
tiantiantbtb的博客
07-24 369
Error running 'DromaraApplication': Command line is too long. Shorten command line for DromaraApplication or also for Spring Boot default configuration?
springboot 缓存预热的几种方案
一个人的江湖
07-24 734
使用启动监听事件实现缓存预热优点:可以在应用完全启动之前执行,可以确保缓存预热在所有依赖初始化完成之后进行。缺点:处理复杂,需要对Spring的事件机制有一定了解。使用@PostConstruct注解实现缓存预热优点:简单易用,不需要额外的接口实现,适用于简单的预热逻辑。缺点:对于复杂的预热逻辑,可能会导致方法变得臃肿,不易于维护。使用CommandLineRunner或ApplicationRunner实现缓存预热。
springBoot 和 spring security 版本对应关系
07-14
Spring Boot 和 Spring Security版本对应关系可以参考官方文档或者开发者社区的博客和讨论。由于 Spring Boot 和 Spring Security 都是开源项目,版本的发布和更新频率较高,所以具体的版本对应关系需要根据官方文档或者社区的资料来确认。 一般来说,Spring Boot 和 Spring Security版本兼容性较好,即使版本不完全一致,也可以进行集成开发。在集成开发时,可以根据具体需求选择适合的 Spring Boot 和 Spring Security 版本进行组合使用。 需要注意的是,Spring Boot 和 Spring Security版本更新可能会引入新的功能和改变现有的 API,因此在进行版本升级时,需要仔细查看官方文档和更新日志,以确保项目的稳定性和兼容性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值