00:00 Начало 01:30 Создали и минимально настроили проект 07:45 Configure: authorizeHttpRequests, antMatchers, anyRequest, formLogin,.. 17:55 Первый запуск. Логин под юзером созданным спрингом. 22:27 Логаут 24:42 Principal - позволяет узнать под кем зашел пользователь. 26:01 В каком контексте спринг хранит инфу о пользователе 31:09 Схема цепочки фильтров спринга 33:55 *In-Memory - хранение юзеров хардкодом* 38:37 Авторизация и переброс на страницу соответствующую юзеру 41:07 *jdbc - хранение юзеров в базе данных.* Создание юзеров в БД хардкодом. 45:23 Где именно в БД можно хранить юзеров. 52:38 Authority - это право доступа. Как спринг работает с этим. 01:01:30 *DAO Authentication - оперирование юзерами через сущности спринг.* DaoAuthenticationProvider. PasswordEncoder 01:09:20 UserService - сервис по предоставлению юзеров 01:13:12 UserDetails - содержит: имя, права, включен, просрочен 01:14:17 Преобразование Роли в Authority 01:16:30 Передаем UserService в DaoAuthenticationProvider 01:19:15 Фиксим баг ленивой загрузки из-за связи один ко многим 01:20:07 Как через Principal получить данные сущности User 01:22:24 Схема работы Spring security 01:32:05 Обсуждение прошлых вэбинаров в части Security 01:33:36 Краткое словесное описание схемы 01:34:02 Устройство JdbcUserDetailsManager 01:38:31 Демонстрация работы фильтров в отладчике 01:41:47 Просмотр цепочки фильтров при debug = true 01:44:36 Защита от CSRF - межсайтовой подделки запроса (Cross-site request forgery) 01:51:42 Ответы на вопросы
Сделайте, пожалуйста, видео про REST и JWT. Очень понятно доносите информацию. Соглашусь, что это, наверное, самое лучшее видео по Spring Security на ютубе)
Доброго дня! Случайно попал на Ваше видео. Александр, Вы безусловно потрясающе доносите информацию. Очень внимательно к деталям. Однозначно присоединяюсь к Вашему творчеству и буду смотреть остальные видео!
Спасибо огромное за видео, по настоящему понятно стало, до этого неделю сидел, смотрел видео другие пытался разобраться и все было магией. очень жду еще видео про спринг секьюрити и AUTH2.0 с использованием сторонних сервисов, если можно то с ВК апи, ибо про него совсем мало гайдов
Спасибо, что рассказываете, как оно всё работает внутри, да ещё и с картинками. Так некоторый хаос информационный в голове укладывается лучше. Кстати, привет Вам, с самого первого Вашего потока, по Java GB (lvl 3), из 2016г :)
@@РенасРахимов можете вот по этой ссылке скачать исходники: drive.google.com/file/d/18gL8N2xsXSXLLjzcWOavoSqFc65P9fFk/view?usp=sharing . В этом варианте я разделил варианты настройки безопасности на 4 варианта: самый простой, in-memory, jdbc и dao. И каждый из этих вариантов включается через соответствующий профиль. В папках db/migration можно найти sql скрипты. В Main классе в комментариях написано как указать профиль
отличный урок. Я просто удивляюсь, каким образом это все можно узнать из документации? Я просто пытался изучить документацию, но даже близко всего этого не понял, хотя все дают совет изучить фрейсворки по документации. Как это правильно делать? Где в документации описано все это? Поделитесь советом кто-нить.
Отличный видео-разбор Spring Security! Будет ли подобное видео по разбору OAuth2 аутентификации в классическом виде на каком-нибудь Provider-service, который не идет из коробки с Security или с использованием отдельно реализованного сервера аутентификации?
Спасибо за видео. Про хранение пользователей в контексте. Насколько я понял, можно все данные пользователя хранить в Principal, если имплементировать Userом интерфейс UserDetail. Тогда в базу можно каждый раз не лезть.
Кому здесь совсем не понятно, я рекомендую на канале jusaf посмотреть "Изучаем Spring Security. Часть 0. Как написать свой Spring Security" а потом вернуться сюда
Спасибо за видео! Всё больше проясняется тонкостей. Подскажите пожалуйста, зачем инжектить зависимости через конструктор? Прекрасно же работает через поля. Это код стайл такой, или есть более глубокий смысл?
Спасибо! Очень доходчиво. Не совсем понятно, если пользователь авторизировался на сайте банка и теперь он со своим JSESSIONID ходит по всем страничкам банка, каким образом он случайно попадет на страничку злоумышленника???? Т.е. вариант вероятно такой, что уйдя со страницы банка и случайным образом нажав на левую ссылку, пользователь попадает на страничку очень похожую на страницу банка?? В таком случае как сервер злоумышленника перенаправит "плохой" запрос на сайт банка? JS-скрипт делает этот редирект? Если так, то в какой момент браузер клиента подставляет тот самый JSESSIONID, ведь при JS-редиректе не получится подставить валидный JSESSIONID
JSESSIONID хранится на сервере банка. На странице злоумышленников, есть форма, которая делает запрос на страницу банка. В форме скрытые поля с суммой и номером карты злоумышленников. Страница злоумышленников караулит пользователей, которые залогинены в банк, браузер пользователя сам делает запрос к приложению банка, на сервере банка есть валидный jsessionid, а у браузера есть валидные куки.
Вечер добрый, username это же имя пользователя в системе, в БД его надо делать уникальным и тогда два разных человека не смогут создать пользователей с одинаковый username'ом. Подвязать email можно в качестве логина пользователя, для этого в реализации UserDetailsService в имя (первый аргумент конструктора) org.springframework.security.core.userdetails.User кладете не user.getUsername(), а user.getEmail().
Спасибо за туториал! Очень хорошее обьяснение! Получаю ошибку - Encoded password does not look like BCrypt А вот и решение - new BCryptPasswordEncoder().encode(password) - пароль нужно получать через этот энкодер
Очень крутое видео , спасибо большое ! Вопрос 1, когда допустим UserDetail нашёл юзера в базе, DaoProvider сверил имя и пароль и если все ок обратно по цепочке возвращается токен в котором UserDetails и Authorities, а на каком этапе происходит проверка роли или прав для доступа к страницам, на том же где и сверка имени и пароля ?
оч круто, спасибо!) А можно где-то посмотреть видео с сентября, декабря? там про интернет-магазин или что-то мелькало.. большой такой проект, интересно было бы посмотреть, спасибо!)
Александр, дополню ваше объяснение по csrf токену и предложу улучшенный алгоритм. На страницу вставляем яваскрипт код который отсылает запрос в банк на получение формы оплаты. Сервер банка по живому джисэшн куки отдаёт форму с свежим csrf токеном, далее парсим полученное тело, вытаскиваем csrf и вставляем в свою фору, отправляем обратно в банк нужный пост
Спасибо. Не встречал лучшего объяснения. Было бы ещё понятнее при переводе английских названий на русский язык. Поскольку каждое английское слово может иметь несколько разных значений. Без этого получается абстрактное(отвлечённое) представление о понятиях и устройстве. Поскольку для большинства слушателей "Принципал с авторитис" звучит как "Штука с фиговинами".
как можно изучать программирования без элементарных знаний английского? В таком случае для таких слушателей и "Стринг и интежер" звучит как "стринги с инжиром".
@@oleksa537 String и Integer - базовые понятия языка Java. И большинство программистов понимают их смысл, даже если не знают перевода на русский язык. Principal и Authotities встречаются значительно реже. И я думаю, что большинство программистов на момент слушания этого доклада не знали как они переводятся на русский. А из тех что знали, многие не могли однозначно выбрать значение, подходящее в этом случае. Давайте проведём простой эксперимент: вы напишете здесь как надо точно переводить эти слова на русский язык в этой лекции? Лучше сходу, без заглядывания в словарь. А потом мы с Вами вместе выясним, насколько точен был Ваш перевод. Согласны?
А вот если максимально упростить? Допустим, нет разных ролей, все пользователи одинаковы. Можно обойтись без таблицы roles? Откуда тогда брать авторитиз? Там обязательно требуется коллекция, которую надо делать из коллекции ролей? Или есть какие-то по умолчанию? Я делал по образцу из другого видео и убрал роли из БД, а в коде их захардкодил, Но что-то ни хрена не вышло, всё время получаю 403, видимо что-то упустил :( Мне кажется, в объяснении надо идти от простого к сложному: - вот одинаковые пользователи и вот ресурсы, которые им доступны; - а теперь давайте разграничим им права, добавив роли. Так будет понятнее, КМК.
вероятно, неправильно настроили authorizeRequests() в методе `public void configure(HttpSecurity http) throws Exception{...}`. На будущее, кидайте код, хотя бы через pastebin.com
@@lindx2533 огромная. тотже SpringSecurityInitializer в буте вообще не нужен. А не в буте без него ничего пахать не будет. Контекст в буте тоже подругому конфигурируется. Там еще тонна подводных камней. Вы пробовали запускать секьюрити с бутом и без бута? Да 99% там одинаковы. Но в 1% подводных камней кроятся самый сок. Boot это как бы автонастройщик. Авто он на то и авто что он многое делает автоматически. Без бута вам самому надо собирать контекст. Извещать контекст о секьюрити. и т д и т п.
Речь про то, когда пользователь автоматически создается Спрингом? Если да, то при каждом запуске пароль будет новый генерироваться (так как это тестовый пользователь)
00:00 Начало
01:30 Создали и минимально настроили проект
07:45 Configure: authorizeHttpRequests, antMatchers, anyRequest, formLogin,..
17:55 Первый запуск. Логин под юзером созданным спрингом.
22:27 Логаут
24:42 Principal - позволяет узнать под кем зашел пользователь.
26:01 В каком контексте спринг хранит инфу о пользователе
31:09 Схема цепочки фильтров спринга
33:55 *In-Memory - хранение юзеров хардкодом*
38:37 Авторизация и переброс на страницу соответствующую юзеру
41:07 *jdbc - хранение юзеров в базе данных.* Создание юзеров в БД хардкодом.
45:23 Где именно в БД можно хранить юзеров.
52:38 Authority - это право доступа. Как спринг работает с этим.
01:01:30 *DAO Authentication - оперирование юзерами через сущности спринг.*
DaoAuthenticationProvider. PasswordEncoder
01:09:20 UserService - сервис по предоставлению юзеров
01:13:12 UserDetails - содержит: имя, права, включен, просрочен
01:14:17 Преобразование Роли в Authority
01:16:30 Передаем UserService в DaoAuthenticationProvider
01:19:15 Фиксим баг ленивой загрузки из-за связи один ко многим
01:20:07 Как через Principal получить данные сущности User
01:22:24 Схема работы Spring security
01:32:05 Обсуждение прошлых вэбинаров в части Security
01:33:36 Краткое словесное описание схемы
01:34:02 Устройство JdbcUserDetailsManager
01:38:31 Демонстрация работы фильтров в отладчике
01:41:47 Просмотр цепочки фильтров при debug = true
01:44:36 Защита от CSRF - межсайтовой подделки запроса (Cross-site request forgery)
01:51:42 Ответы на вопросы
Сделайте, пожалуйста, видео про REST и JWT. Очень понятно доносите информацию. Соглашусь, что это, наверное, самое лучшее видео по Spring Security на ютубе)
Премного благодарствую... Посмотрел 1 раз - ПОЗНАКОМИЛСЯ, посмотрел 2 раз - ПОДРУЖИЛСЯ, посмотрел 3 раз - ВСЕ КАК РОДНОЕ))))
Это самое идеальное объяснение Спринга из всех какие есть на TH-cam.
а как же гоша дударь ? 😆
Есть ещë amigos code, но там английский
Очень хороший урок! Авторy огромная благодарность👍👍👍
Очень долго искал хороший материал по Spring Security и вот я его нашел огромное спасибо!!!!!!
Доброго дня! Случайно попал на Ваше видео. Александр, Вы безусловно потрясающе доносите информацию. Очень внимательно к деталям. Однозначно присоединяюсь к Вашему творчеству и буду смотреть остальные видео!
Спасибо Вам за Вашу работу, мне очень помог этот материал!
спасибо большое за видео, очень помогло разложить всё по полочкам в голове.
Отличное преподнесение информации, спасибо!!!
Это лучшее руководство по Spring Security. Спасибо!
большое спасибо за подробное видео, очень помогает изучать, как это все работает!
Спасибо огромное за видео, по настоящему понятно стало, до этого неделю сидел, смотрел видео другие пытался разобраться и все было магией.
очень жду еще видео про спринг секьюрити и AUTH2.0 с использованием сторонних сервисов, если можно то с ВК апи, ибо про него совсем мало гайдов
не с первого раза, но понял, Отличная подача, спасибо вам!
Спасибо, что рассказываете, как оно всё работает внутри, да ещё и с картинками. Так некоторый хаос информационный в голове укладывается лучше.
Кстати, привет Вам, с самого первого Вашего потока, по Java GB (lvl 3), из 2016г :)
Можешь ссылки скинуть на эти уроки!
Материал настолько крутой, что я даже скачал себе видео)
да, а то они могут передумать и удалить видео с ютюб)
А через какую программу вы скачиваете?
@@ladysoverschenstvo7875 savefrom сайт открой
Спасибо за объяснение загадочного устройства Spring Security!
Очень понятное объяснение Spring Security. Большое спасибо!
Спасибо за объяснение Spring Security!
Интересно было послушать. Спасибо большое и за "работу под капотом" - отдельное ))
Молодца
спасибоооооо.. пожалуйта продолжаете))
Отлично видео, спасибо. После 3-хкратного просмотра становится понятнее)
Ссылка на исходники: drive.google.com/file/d/1TgvfG5s5bSk9sedUfP8I7CCgO3F7-tyV/view?usp=sharing
а можете еще sql.txt, из которого вставляли код для создания таблиц, дать?
@@РенасРахимов можете вот по этой ссылке скачать исходники: drive.google.com/file/d/18gL8N2xsXSXLLjzcWOavoSqFc65P9fFk/view?usp=sharing . В этом варианте я разделил варианты настройки безопасности на 4 варианта: самый простой, in-memory, jdbc и dao. И каждый из этих вариантов включается через соответствующий профиль. В папках db/migration можно найти sql скрипты. В Main классе в комментариях написано как указать профиль
@@FlameXander спасибо!
Ждем JWT auththentication
Спасибо за шикарный материал!
Огромное спасибо!
отличный урок. Я просто удивляюсь, каким образом это все можно узнать из документации?
Я просто пытался изучить документацию, но даже близко всего этого не понял, хотя все дают совет изучить фрейсворки по документации. Как это правильно делать? Где в документации описано все это? Поделитесь советом кто-нить.
Подробно, четко и без воды.
А можно где-то посмотреть исходный код магазина на спринге ,про который упоминали в видео ?
Красавчики еще добавили исходник код спасибоо еще таких много видео ждем
поделитесь, пожалуйста, другими частями данного курса
Отличный видео-разбор Spring Security! Будет ли подобное видео по разбору OAuth2 аутентификации в классическом виде на каком-нибудь Provider-service, который не идет из коробки с Security или с использованием отдельно реализованного сервера аутентификации?
Как попасть к вам в группу чтобы посмотреть про магазин на спринге и прочее? (oauth, jwt)
спасибо!
А есть в планах Spring Boot + JWT + React? Совсем нет информации на русском :)
Спасибо, очень круто!
Большое спасибо!
А как без spring boot заиспользовать правильно security? Было бы видио по такой теме - совсем огонь был бы)
Спасибо за видео. Про хранение пользователей в контексте. Насколько я понял, можно все данные пользователя хранить в Principal, если имплементировать Userом интерфейс UserDetail. Тогда в базу можно каждый раз не лезть.
Саша это тебе команда поменять кодировку в SQL Shell \! chcp 1251 спасибо за урок большое!)
хорошая подача
Божественно)
Мммм веб разраб)
Кому здесь совсем не понятно, я рекомендую на канале jusaf посмотреть "Изучаем Spring Security. Часть 0. Как написать свой Spring Security"
а потом вернуться сюда
а есть где-то видео автора про интернет-магазин?
интересно а как через даопровайдер юзеров создавать с ролями и паролем и именем, без jdbc
есть ли какое-то продолжение по спринг секьюрити с jwt?
Отличное видео, спасибо 👍
Спасибо за видео! Всё больше проясняется тонкостей. Подскажите пожалуйста, зачем инжектить зависимости через конструктор? Прекрасно же работает через поля. Это код стайл такой, или есть более глубокий смысл?
Спасибо за хороший материал.
Аннотацию @Autowired, необязательно писать над конструктором, спринг и без аннотации подхватывает bean
это какой-то курс или что? где можно посмотреть всё остальное?
Спасибо! Очень доходчиво. Не совсем понятно, если пользователь авторизировался на сайте банка и теперь он со своим JSESSIONID ходит по всем страничкам банка, каким образом он случайно попадет на страничку злоумышленника???? Т.е. вариант вероятно такой, что уйдя со страницы банка и случайным образом нажав на левую ссылку, пользователь попадает на страничку очень похожую на страницу банка?? В таком случае как сервер злоумышленника перенаправит "плохой" запрос на сайт банка? JS-скрипт делает этот редирект? Если так, то в какой момент браузер клиента подставляет тот самый JSESSIONID, ведь при JS-редиректе не получится подставить валидный JSESSIONID
JSESSIONID хранится на сервере банка. На странице злоумышленников, есть форма, которая делает запрос на страницу банка. В форме скрытые поля с суммой и номером карты злоумышленников. Страница злоумышленников караулит пользователей, которые залогинены в банк, браузер пользователя сам делает запрос к приложению банка, на сервере банка есть валидный jsessionid, а у браузера есть валидные куки.
Здравствуйте, спасибо за видео. Как можно авторизоваться не по имени человека а по email?
Просто могут быть люди с одинаковыми именами.
Вечер добрый, username это же имя пользователя в системе, в БД его надо делать уникальным и тогда два разных человека не смогут создать пользователей с одинаковый username'ом. Подвязать email можно в качестве логина пользователя, для этого в реализации UserDetailsService в имя (первый аргумент конструктора) org.springframework.security.core.userdetails.User кладете не user.getUsername(), а user.getEmail().
@@FlameXander Спасибо вам огромное, очень хорошо объясняете лайк с меня.
хтось може сказати як долучитися до телеграм чату і де є проект веб магазину на спрінгу
в пайнте это мышью пишите или стилусом?
Александр можно ли как с вами связаться?
Спасибо за туториал! Очень хорошее обьяснение!
Получаю ошибку - Encoded password does not look like BCrypt
А вот и решение - new BCryptPasswordEncoder().encode(password) - пароль нужно получать через этот энкодер
Очень крутое видео , спасибо большое !
Вопрос 1, когда допустим UserDetail нашёл юзера в базе, DaoProvider сверил имя и пароль и если все ок обратно по цепочке возвращается токен в котором UserDetails и Authorities, а на каком этапе происходит проверка роли или прав для доступа к страницам, на том же где и сверка имени и пароля ?
А где хранятся csrf токены тогда? Не в куках?
👍
оч круто, спасибо!)
А можно где-то посмотреть видео с сентября, декабря? там про интернет-магазин или что-то мелькало.. большой такой проект, интересно было бы посмотреть, спасибо!)
Отличный урок!!!! А на гите код не лежит?
Где можно скачать код проекта и посмотреть? У меня с datasource проблемы, может что то пропустил.Заранее спасибо!
Нашел) Тут выход если кому будет нужно: www.baeldung.com/spring-boot-configure-data-source-programmatic
Александр, дополню ваше объяснение по csrf токену и предложу улучшенный алгоритм. На страницу вставляем яваскрипт код который отсылает запрос в банк на получение формы оплаты. Сервер банка по живому джисэшн куки отдаёт форму с свежим csrf токеном, далее парсим полученное тело, вытаскиваем csrf и вставляем в свою фору, отправляем обратно в банк нужный пост
Да, не работает все это. Однако, CORS решает все эти проблемы, и по умолчанию он включен
Круто!!! Спасибо!!!
ты проста брат пушка
супер!
Спасибо. Не встречал лучшего объяснения.
Было бы ещё понятнее при переводе английских названий на русский язык. Поскольку каждое английское слово может иметь несколько разных значений. Без этого получается абстрактное(отвлечённое) представление о понятиях и устройстве. Поскольку для большинства слушателей "Принципал с авторитис" звучит как "Штука с фиговинами".
как можно изучать программирования без элементарных знаний английского?
В таком случае для таких слушателей и "Стринг и интежер" звучит как "стринги с инжиром".
@@oleksa537 String и Integer - базовые понятия языка Java.
И большинство программистов понимают их смысл, даже если не знают перевода на русский язык.
Principal и Authotities встречаются значительно реже. И я думаю, что большинство программистов на момент слушания этого доклада не знали как они переводятся на русский. А из тех что знали, многие не могли однозначно выбрать значение, подходящее в этом случае.
Давайте проведём простой эксперимент: вы напишете здесь как надо точно переводить эти слова на русский язык в этой лекции? Лучше сходу, без заглядывания в словарь.
А потом мы с Вами вместе выясним, насколько точен был Ваш перевод. Согласны?
Гаврюша задолбал
Супер!
Коли буде наступне відео про Spring Security ?
А вот если максимально упростить? Допустим, нет разных ролей, все пользователи одинаковы. Можно обойтись без таблицы roles? Откуда тогда брать авторитиз? Там обязательно требуется коллекция, которую надо делать из коллекции ролей? Или есть какие-то по умолчанию?
Я делал по образцу из другого видео и убрал роли из БД, а в коде их захардкодил, Но что-то ни хрена не вышло, всё время получаю 403, видимо что-то упустил :(
Мне кажется, в объяснении надо идти от простого к сложному:
- вот одинаковые пользователи и вот ресурсы, которые им доступны;
- а теперь давайте разграничим им права, добавив роли.
Так будет понятнее, КМК.
вероятно, неправильно настроили authorizeRequests() в методе `public void configure(HttpSecurity http) throws Exception{...}`.
На будущее, кидайте код, хотя бы через pastebin.com
super!
deprecated video, WebSecurityCinfigurerAdapter is deprecated (устарел)!
Господи. Ну пожалуйста пишите в названии что ваше видео относиться к Spring Boot. Пытаюсь понять SpringMVC + Security и все время на boot попадаю.
получилось найти хороший ресурс для изучения SpringMVC + Security ?
@@Пользователь754 Не... все надергал по крупицам. То там то тут...
@@aleksandrchekushov5573 у Специалиста были курсы по MVC
исусе, а какая разница то? подключи Не springboot библиотеки
@@lindx2533 огромная. тотже SpringSecurityInitializer в буте вообще не нужен. А не в буте без него ничего пахать не будет.
Контекст в буте тоже подругому конфигурируется. Там еще тонна подводных камней.
Вы пробовали запускать секьюрити с бутом и без бута? Да 99% там одинаковы. Но в 1% подводных камней кроятся самый сок.
Boot это как бы автонастройщик. Авто он на то и авто что он многое делает автоматически. Без бута вам самому надо собирать контекст. Извещать контекст о секьюрити. и т д и т п.
thank
Каждый раз когда я пишу код : 50:25
28:59 SecurityCintextHolder Pic
без гитхаба как-то скучно
а как посмотреть сгенерированный пароль если логи стерты?
Речь про то, когда пользователь автоматически создается Спрингом? Если да, то при каждом запуске пароль будет новый генерироваться (так как это тестовый пользователь)
+
Прошу больше не ведите таких стримов на белом фоне, очень сложно завами повторять имея только один монитор.
А есть запись вебинара, где вы делали магазин?