升级到spring security5遇到的坑-密码存储格式

最新推荐文章于 2023-08-29 10:49:30 发布
最新推荐文章于 2023-08-29 10:49:30 发布
阅读量354 收藏
点赞数
文章标签: java 数据库 前端 ViewUI

 

遇到的问题 
将spring security oauth2(包括spring security)升级到最新,代码没有改动,运行项目没有报错,但是页面登陆时报错:There is no PasswordEncoder mapped for the id “null”

然后一顿百度和google,其中看到两处有帮助的资料: 
https://www.cnblogs.com/majianming/p/7923604.html 
https://spring.io/blog/2017/11/01/spring-security-5-0-0-rc1-released

总的来说就是,人家把spring security的密码存储格式改了,没办法,用人家的东西就要按照人家规定的做,将所有的密码格式改掉吧。

格式:{id}encodedPassword

这id是一个标识符,用于查找是哪个PasswordEncoder,也就是你密码加密的格式所对应的PasswordEncoder。encodedPassword是指原始加密后的密码(有点绕,简单来说就是你原来存储的密码)。在id必须在密码的开始,id前后必须加{}。如果id找不到,id则会为空。 
spring security中的所有默认的密码格式都是在PasswordEncoderFactories这个 类中,可以进入这个类中自行查看。

注意: 
1. 前端发送的登陆密码,是不需要为{id}encodedPassword格式的。 
2. 如果你配置了spring security oauth2

@Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception { clients.inMemory().withClient("client").secret("{noop}secret") .authorizedGrantTypes("client_credentials", "password", "refresh_token").scopes("all"); }
  • 1
  • 2
  • 3
  • 4
  • 5

代码中的secret也必须{id}encodedPassword格式。

https://blog.csdn.net/smollsnail/article/details/78934188

 

情景:

在一个后台admin系统中,为了安全用到Spring Security,我开启了in-memory方式(就是登陆后,在内存中先认证,是否内存中写死的账号是否就是用户登录的那个账号,密码),但是又在其后面加入了“从数据库中查找出该账号是否存在”,这种认证方式。

在这两种方式下,我登录,先输入一个在数据库中存在的账号,显示,正常登录进来。

又一次登录后,我输入一个在数据库中找不到但是在内存中写死的账号,系统报异常,但是正常登录进来。

再一次登录后,我输入一个既不在数据库中,也不在内存中的账号,这次,真登录不了了。

那么,这是不是就证明了,在这两种方式下,默认先去数据库中查找,然后不管成功与否“或上”(||)是否为内存中的账号。

https://blog.csdn.net/u012582402/article/details/54292488

 

 

解决springsecurity资源权限一次加载,导致角色授资源要重启服务问题

https://blog.csdn.net/y666666y/article/details/70212064

 

 

 

https://www.baeldung.com/spring-security-5-default-password-encoder

 

weixin_34007879
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
springCloud微服务系列——OAuth2+JWT——spring-security4升级spring-security5
guduyishuai的博客
08-27 4536
目录 一、简介 二、问题 三、源码分析 四、解决方案 一、简介         spring boot2和spring cloud Finchley版本使用的是spring-security5,在升级的过程中OAuth2+JWT遇到一些问题,这里记录一下。环境如下:         spring boot 2.0.3         spring cloud Finchley  ...
如何全面升级spring-boot-2.x及Spring-security-oauth2
egegerhn的博客
07-31 1530
老的项目基于spring-boot-1.5.x、spring-security-oauth2-2.x实现的sso,在近期的安全漏洞扫描中发现如下2个漏洞漏洞涉及jar修复方案SpringFrameworkJDK>=9远程代码执行漏洞(CVE-2022-22965)升级官方安全版本>=5.3.18/5.2.20SpringSecurityRegexRequestMatcher认证绕过漏洞(CVE-2022-22978)5.5.x版本使用者建议升级至5.5.7及其以上;...
Spring Security 升级到 5.5.7、5.6.4 及以上启动报错出现版本不兼容解决思路
Master_Shifu_的博客
10-09 7655
修复spring-security-web:5.2.1.RELEASE版本启动报错spring版本不兼容
Spring security5.5.7出现Encoded password does not look like BCrypt异常
lgh_ken的专栏
06-27 2773
spring security 密钥报错Encoded password does not look like BCrypt
spring-security-core 4.2.3升级到5.2.1的
qq_23930323的博客
03-18 1790
spring-security-core 4.2.3(springboot1.5.9)升级到5.2.1(springboot2.2.2)的 4.2.3中,granttype类型为password时,所指定的passwordencoder仅用于password加密, client_secret 是使用spring自带的org.springframework.security.authentica...
简单几步升级Spring security4.x升级到5.x
YSOLA4的专栏
06-01 8414
本次升级源自一次安全漏洞提醒:项目用着spring-security4.1, 也是受到了该漏洞的影响. 知道从4.x跳到5.x这种大版本提升肯定会有不少, 但是安全问题不可忽视, 虽然是旧项目也要升级,还要得比较急.本着能省则省的心理, 那就先单独升级一下spring-security吧.从 升级了版本, 重新 maven reimport项目, clean&compile试试. 列举几个版本不兼容的错误(吐槽下IDEA的编译错误提醒没eclipse友好, 一次编译提示一个):居然就一个Md5Pas
Spring Security6版本变化内容
程序三两行
08-05 2704
Spring Security已经更新到了6.x,通过本专栏记录以下Spring Security6学习过程,当然大家可参考Spring Security5专栏对比学习Spring Securityspring家族产品中的一个安全框架,核心功能包括用户认证(Authentication)和用户授权(Authorization)两部分。用户认证:验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过程。
升级Spring Security版本
最新发布
pany_2017的博客
08-29 1511
Spring Security版本升级方法,及升级后出现的版本不兼容报错的解决办法
spring-security-crypto-5.5.2-API文档-中文版.zip
06-04
赠送jar包:spring-security-crypto-5.5.2.jar; 赠送原API文档:spring-security-crypto-5.5.2-javadoc.jar; 赠送源代码:spring-security-crypto-5.5.2-sources.jar; 赠送Maven依赖信息文件:spring-security-...
spring-security-core-5.3.9.RELEASE-API文档-中文版.zip
07-14
赠送jar包:spring-security-core-5.3.9.RELEASE.jar; 赠送原API文档:spring-security-core-5.3.9.RELEASE-javadoc.jar; 赠送源代码:spring-security-core-5.3.9.RELEASE-sources.jar; 赠送Maven依赖信息文件:...
spring-security-core-5.5.2-API文档-中文版.zip
06-04
赠送jar包:spring-security-core-5.5.2.jar; 赠送原API文档:spring-security-core-5.5.2-javadoc.jar; 赠送源代码:spring-security-core-5.5.2-sources.jar; 赠送Maven依赖信息文件:spring-security-core-...
spring-security-crypto-5.6.1-API文档-中文版.zip
05-04
赠送jar包:spring-security-crypto-5.6.1.jar; 赠送原API文档:spring-security-crypto-5.6.1-javadoc.jar; 赠送源代码:spring-security-crypto-5.6.1-sources.jar; 赠送Maven依赖信息文件:spring-security-...
SpringMVC4+Spring Security3
02-05
开发环境:MyEclipse 10 + Tomcat 7 + JDK 7 + MySQL 5.6 框架搭建:Spring 4 + SpringMVC 4 + Hibernate 4 静态页面模板:Ace 1.4 数据库文件:SunFlower/target/maven-site/update-sql/sunflower-init.sql
spring-security-oauth2-2.3.5.RELEASE-API文档-中文版.zip
05-09
赠送jar包:spring-security-oauth2-2.3.5.RELEASE.jar; 赠送原API文档:spring-security-oauth2-2.3.5.RELEASE-javadoc.jar; 赠送源代码:spring-security-oauth2-2.3.5.RELEASE-sources.jar; 赠送Maven依赖信息...
Spring Security升级到5.7.x
qq_47993287的博客
07-21 5983
升级Spring Security到5.7.x之后需要做的事情
SpringBoot2.6 + SpringSecurity + Swagger2升级报错处理
Ayuski遇到的坑
09-26 921
SpringBoot2.6 + SpringSecurity + Swagger2升级报错处理。报错:org.springframework.context.ApplicationContextException: Failed to start bean 'documentationPluginsBootstrapper'; nested exception is java.lang.NullPointerException 报错:Unable to render this definition
spring security 4升级到5 注意的问题
shsongtao的博客
04-18 5472
升级spring security 4->5 发现一只报错,从开始的配置问题 到后来的解决方案 首先配置的问题大部分差不多 但是在升级的时候,原来的明文的 In-memory 模式会有一些问题 在spring security 5中,需要用密文对clientSecrect进行处理. 参考两篇博客: springCloud微服务系列——OAuth2+JWT——spring-security4升...
升级Spring Security 4.2的及解决办法
甘焕的博客
05-12 9349
把框架从Spring Security从3升级到4,结果出现了一大堆错误,每一个都是巨,几个非常熟悉的问题,花了我几乎一整天的时间,下面一一说来。1. 验证始终无法通过输入正确的用户名与密码,却始终收到这样的异常:org.springframework.security.authentication.BadCredentialsException: Bad credentials at o
SpringSecurity 用户密码加密方式升级的源码分析
clonetx的博客
03-29 1703
用户密码加密方式升级这种需求,一般在老项目翻版重做或者是迁移了其他第三方的用户时可能会用到。 以老项目密码采用MD5,需要转换为SM3加密方式为例,实现的效果是用户在登录时,如果加密方式是MD5而不是SM3,且密码对比成功就升级为SM3。 SpringSecurity 的认证部分是通过 AuthenticationManager 实现的,不考虑我们自定义直接实现AuthenticationManager 进行认证,那么在框架中实际的认证工作就是Auth...
thymeleaf-extras-springsecurity5和thymeleaf-layout-dialect
04-04
thymeleaf-extras-springsecurity5是一个Thymeleaf与Spring Security集成的库,可以方便地在Thymeleaf中使用Spring Security的安全特性。它提供了一些额外的Thymeleaf标签,如sec:authorize和sec:authentication等,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值