Создание Spring Security REST API с использованием JWT токена
ฝัง
- เผยแพร่เมื่อ 5 ก.ย. 2024
- Ссылка на репозиторий с исходным кодом проекта:
github.com/pro...
Ссылка на документацию Spring Security:
docs.spring.io...
CSRF:
ru.wikipedia.o...
habr.com/ru/po...
В данном видео создано REST API с использованием Spring Security. Аутентификация и авторизация реализованы с использованием JWT токена.
Технологии:
Java, Spring (IoC, Web, Data, Security), MySQL, Lombok, JsonWebToken, Liquibase, Git.
Прелесть данного туториала в том, что он не слишком сложный и не слишком простой.
То есть, это не банальный 'hello world', который не понятно как применять в реальном проекте.
Также это не перегруженный проект в котором сложно разобраться.
Золотая середина!
Очень классно рассказал о Spring Security. Какие компоненты за что отвечают. Наконец-то стало ясно как оно работает и как настраивать.
П.с. Надеюсь ты уже улучшил свои скилы работы с Optional.
Очень полезное видео! Спасибо! Еще и тему DTO зацепил - вообще Красавчик!
Спасибо за отзыв!
А еще и показал как правильно аннотировать BaseEntity !
Спасибо за видео. Не пропадайте, очень интересно!
Спасибо за отзыв, Александр. Постараюсь )
@@EugeneSuleimanov Евгений, снимите туториал по микросервисам)
Все работает, спасибо больше за видео. Было бы круто добавить походу больше пояснений про внутреннее устройство spring security и почему сделано так а не иначе вместо надиктовывания строчек кода.
Спасибо за отзыв!
По поводу более глубокого объяснения - здесь мне будет крайне сложно превзойти документацию, изучение которой я крайне рекомендую.
docs.spring.io/spring-security/site/docs/current/reference/html5/
Цель видео - дать самое базовое представление и практический навык работы с технологией.
Очень крутое видео! Спасибо. Единственное полное видео по этой теме, которое смог найти.
Все отлично, есть несколько пожеланий:
1. Autowired над конструктором можно не вешать, т.к. других конструкторов нет и при создании бина Spring сам поймет что инжектить.
2. Аннотация @AllArgsConstructor, как уже писали - сильно поможет.
3. В имплементации UserDetails сильно нужны @AllArgsConstructor и @Data, т.к. отвлекает генерация геттеров\сеттеров.
4. Публичный конструктор без параметров в фабрике не нужен, javac сам подсунет если не найдет.
5. Было бы неплохо добавить вариант ограничения доступа через аннотации, типа @RolesAllowed/@Secured
Спасибо за отличный урок🔥🔥🔥
Спасибо за отзыв!
Большущее тебе спасибо, бро! Доходчиво, понятно, супер. Очень сильно жизнь облегчило, как раз пишу дипломный по курсах...
Спасибо большое! Не смотря на длительность было очень интересно смотреть)
Спасибо за отзыв :)
Не слишком сложно и не слишком легко. То, что нужно!
Спасибо за отзыв!
Спасибо, не пропадайте больше!)
Спасибоза отзыв. Постараюсь )
Нашел хорошее видео на ту же тематику, но уши кровоточат от чудовищного каверканья английских терминов. Как же приятно слушать Евгения
Спасибо за отзыв!
Не мог не отписать. Очень грамотно сделано и подано. Спасибо.
Спасибо за отзыв!
Спасибо большое за объяснение столь важной темы)
Евгений, спасибо за видео урок. Как можно реализовать refresh token на базе этого rest api?? буду очень благодарен
Похоже ответа не будет(
Спасибо вам большое за ваш труд. Лучшей материал на TH-cam по этой теме СУПЕР.
Спасибо за отзыв!
Отлично объясняешь, видео очень помогло, большое человеческое тебе, друг)
Спасибо за отзыв! Рад, что материал оказался полезен.
Евгений, у вас лучшие ролики, доходчиво и без воды, жаль что видео приходится ждать месяцами :(
Также мне очень хотелось бы увидеть продолжение данного ролика с использованием mapstruct
Спасибо за отзыв, Андрей. Постараюсь выложить вторую часть в течение нескольких недель (обновление токена, регистрация и т.д.)
@@EugeneSuleimanov Это хорошие новости, будем ждать, спасибо большое
Очень классное виде! Очень жаль, что таких больше не выпускаете
Все хорошо, конечно, слов нет, большое спасибо! Но было бы совсем замечательно, если бы Евгений каждый момент, который он называет "ну, тут все понятно", хотя бы в двух словах пояснял. Потому что, если я пришел смотреть такое длинное видео, значит я просто не знаю, как в принципе реализовать Security на Spring с JWT. Приходится гуглить все не пояснённые моменты типа что такое grantedauthority и simplegrantedauthority и еще несколько вещей. А тем кому все эти моменты понятны, он точно не будет тратить 1,5 часа на видео. Я ничего против сказать не хочу, абсолютно весь материл Евгения просто бестселлер, браво! Поэтому когда я искал в youtube как реализовать Spring Security with JWT и увидел Евгения, с радостью начал смотреть, так как уже знаком с высоким профессионализмом этого замечательного человека и программиста, а данный комментарий -- просто рекомендация.
Спасибо за отзыв, Сергей! На канале есть более подробное видео по основам Spring Security:
th-cam.com/video/7uxROJ1nduk/w-d-xo.html
Надеюсь, оно будет более полезно. И спасибо за рекомендацию.
@@EugeneSuleimanov Огромное спасибо, завтра займусь изучением!
Очень круто. Ты красава!!!!
Спасибо за отзыв!
Превосходное видео и объяснения. Было бы здорово для полноты катрины добавить регистрацию пользователя в этом же проекте. Если есть такое видео, то поделитесь пожалуйста ссылкой
Спасибо большое за видеоурок. Он мне очень помог. Не пропадайте ;)
Спасибо за отзыв! Постараюсь)
Отличный выпуск) спасибо за ваш труд)
Спасибо за отзыв!
Спасибо за отзыв!
Рекомендую вам в дальнейшем использовать Lombok, удобная тула для того чтобы избавиться от явной прописи конструкторов геттеров и сеттеров (если вкратце)
Субъективно, Flyway по удобней будет для миграции, и понятный sql, а не xml.
Спасибо за урок мне очень понравилось
Спасибо за отзыв!
Подскажите, почему не используете DI для JwtTokenFilter и JwtTokenProvider, а создаете их вручную? Можно ли так же аннотировать эти классы через @Component и заменить все new на инжект через DI?
Спасибо большое! Сделайте, пожалуйста, курс по микросервисам, докеру)
Это соль на рану. Уже крайне давно хочу записать серию подобных видео, но не хватает времени, к сожалению... ((
Крайне надеюсь, что в этом году получится. Спасибо.
@@EugeneSuleimanov Удачи!
32:35 Хорошо)
мой перфекционист в душе: ну что же тут хорошего, где передаваемый параметр? 😁
Евгений, спасибо огромное за Ваш труд! Спустя годы контент все равно остается полезным и актуальным!
Проясните пожалуйста несколько вопросов по видео:
1) 38:58 А зачем все-таки этому классу пустой конструктор по умолчанию? И можно здесь же пояснить зачем именно сделали класс final (т.е. в чем будет проблема если он будет не final)?
2) 42:15 почему User.roles нужно копировать в new ArrayList перед конвертацией в GrantedAuthorities (строка 26)?
3) 57:12 Зачем переопределять метод authenticationManagerBean ничего не меняя по сути в имплементации, а только вызывая super (т.е. он и без этого будет создан спрингом и вести будет себя точно так же)?
Привет.
1) Видео сделано давно , есть неточности и чтобы их поправить , придется повозиться.
2) По пункту 1, 2 согласен.
3) Возможно, при создании своей аутентификации , ты обязан явно внедрить бин
AuthenticationManager в AuthenticationRestControllerV1, поэтому в конфигурационном классе его как раз и создаешь (без всяких super. и само собой не переопределяя , хотя раньше нужно было).
* В целом крутой материал , как всегда - спасибо)
Прошло уже какое-то время, но могу ответить на второй пункт. Копирование делается на тот случай, если мы роли храним не в List, а в Set. Недавно столкнулся с этим пока практиковался и теперь запомню на долго)
@@lehatalant9878 поясни плиз в чем именно может быть проблема даже если где-то Set будет?
@@petrovandrey9735, Spring Security работает только с List и если мы вставим Set, тогда появится ошибка.
Понял, спасибо!
Спасибо , как всегда круто)
спасибо за шикарный видос) даже код есть, мечта))) чуть бы код покрупнее.
@50:14 Очень понравился материал. Однако, не разумнее затолкать инициализацию бина passwordEncoder в корень конфигурации проекта, а не в отдельном (пусть и магистральном) компоненте JwtTokenProvider?
У меня вообще ошибка выпадает, что не может найти такой бин
Механизм JWT буквально кричит о том, что не нужно ходить в базу при каждом запросе на сервер. Он хранит информацию о пользователе в самом себе. ..........
Очень долго пытался разбраться почему не работает jwtTokenProvider так и не смог. Постоянно получаю различные исключения при разных ситуациях. Так и не могу ни как заставить его работать
спасибо вам, очень круто
Как это все сделать с решрештокеном?
Попробовал сделать такую же авторизацию на тестовом проекте и столкнулся с тем, что отсутствует WebSecurityConfigurerAdapter. В последних версиях Spring Security его нет. Целый день пытаюсь адаптировать пример из видео под использование без адаптера. Будет ли подобное видео с новой версией секьюрити или разбор что изменилось и как теперь с этим работать?
@Configuration
@EnableWebSecurity
public class SecurityConfig {
@Autowired
private JwtAuthenticationFilter jwtAuthenticationFilter;
@Autowired
private CustomUserDetailsService customUserDetailsService;
@Bean
public PasswordEncoder passwordEncoder() {
return new BCryptPasswordEncoder();
}
@Autowired
public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
auth.userDetailsService(customUserDetailsService).passwordEncoder(passwordEncoder());
}
@Bean
public JwtAuthenticationFilter jwtAuthenticationFilter() {
return new JwtAuthenticationFilter();
}
@Bean
public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
http.csrf().disable()
.authorizeRequests()
.antMatchers("/api/auth/**").permitAll()
.antMatchers("/api/**").authenticated()
.and()
.addFilterBefore(jwtAuthenticationFilter, UsernamePasswordAuthenticationFilter.class);
return http.build();
}
}
Это примерно. Т.е. используются аннотации и SecurityFilterChain. Это должно помочь.
@@EugeneSuleimanov спасибо!
Шикарный видос!
А зачем вручную создавать таблицы,если jpa автоматически создаст их?
Здравствуйте ) А как интегрировать liquibase в Spring MVC, чтобы при запуске приложения создавались таблицы в БД? Я пытаюсь сконфигурировать плагин со всеми настройками и там указать путь к файлу changelog.xml. Но таблицы не создаются.
Спасибо за Урок, лучшая объяснения)) Вопрос, можешь снимать урок где добавляешь возможность logout и remember me???)
@
Eugene Suleimanov Огромное спасибо за данный урок! Подскажите каким образом можно токен сделать недействительным, выполнив logout. Как я понял можно создать сущность "чёрный список" для JWT токенов, но как правильно реализовать до меня не доходит. Или для этого и существует Auth 2.0 и работа с ним? Накиньте пожалуйста мыслей!
Спасибо! Но , сложновато , конечно ... долго писали базу и модель , в итоге , что касается security , видимо, автор подустал и пошла спешка
zdrastvuy uvajaemi Eugene , spasibo bolshoe chto delishsya svoim opitom i znaniem s nami) prosto malenkaya prosba k tebe, font size nemnojko uvelichivay
Ролики супер, огромное спасибо, но запускайте свои проекты пожалуйста перед Push'ем на гит , а то со скаченного проекта с гитхаба выходит карусель при создании бинов, я конечно ее решил, и тем самым понял ваш урок еще лучше, может быть вы так и планировали ?)))
Заливал довольно давно и на тех версиях и в той конфигурации, насколько я помню, это работало. Если нет, то прошу прощения за неудобства.
P.S.: если там ошибка, то это мой фол, а не хитрый план :)
При отсутствии в заголовке токена необходимо возвращать 401 Unauthorized, а не 403 Forbidden. В данной имплементации, к сожалению, всегда 403.
Большое спасибо!
Спасибо за отзыв!
Евгений, уроки отличные. Но надо сделать хороший звук (здесь он глухой и не заднем плане где-то) и картинку с кодом крупнее.
Спасибо, да,есть проблем, стараюсь исправить в новых видео.
@@EugeneSuleimanov где можно вам задать вопросы по этому проекту? На первом же запуске, когда ещё БД пустая, выдаёт ошибку. Дальше писать не рабочее приложение не интересно. Есть какой-нибудь оперативный вариант связи с вами?
В данной реализации при каждом обращении пользователя фильтр JwtTokenFilter через jwtTokenProvider обращается к базе данных, и тем самым, сводит преимущества JWT токенов на нет. Чтобы это исправить, нужно переписать метод getAuthentication так, чтобы он собирал объект Authentication на основе тех данных, которые есть в самом токене (Claims). Поправьте меня, если ошибаюсь. А так большое спасибо за Ваш видео урок!
Спасибо за комментарий!
Да, вы правы, мы могли бы сделать и так. Здесь единственное преимущество в том, что изменение статуса мгновенно отразится на аутентификации.
"toor" Молодец Женя😁
Добрый день! Как отправить POST запрос для создания нового пользователя и сохранения его в базе, если еще никакой пользователь не авторизован?
Круто.
very good tutorial!
Спасибо за отзыв, Сергей.
С возвращением!)
Спасибо)
Лайк ещё до просмотра)
Спасибо :)
Спасибо Вам! В ру сегменте очень не хватает качественных уроков!
Будет ли ещё видео, так как от Вас год ждал видео))
Спасибо за отзыв, Александр ) Постараюсь выкладывать чаще. Сейчас работаю над серией видео по Java 11. Но, основная работа занимает много времени. Постараюсь к середине лета добить Java 11 и выложить.
@@EugeneSuleimanov лучше spring. Все же большинство людей смотрят, что бы устроиться на работу. Посмотрите на сегмент хибернейта, спринга. Его практически нет. Мало кто хороше рассказывает. И критически мало видео где создают свое веб приложение. Я знаю только ОДНОГО автора который создаёт свое приложение, но все же не совсем для новичков. Не разжёвывает. Вот у вас выходит ещё. Но и все.
@@GoPetr как вариант. Spring 5 есть заготовки, возможно, переключусь на этот цикл видео. Спасибо за совет
@@EugeneSuleimanov было бы круто! Спасибо!
@@EugeneSuleimanov Также за Spring Boot, по Java 11 другие блогеры расскажут, а вот второго Евгения нету на TH-cam который также круто будет по spring учить ;)
Сделай пожалуйста еще видео о создании фронтенда на реакте для этого проекта.
лучше на ангуляре :)
@@ram0973 нет, на реакте лучше)
@@BigBigLeo обычно на C#\Java проекты на ангуляре 😉
@@ram0973 Да, это было так, пока Angular не устарел :D
@@BigBigLeo оО а он уже устарел?
Офигенно
Спасибо за комментарий :)
Спасибо
Евгений спасибо большое за ваши видео. В них всегда можно чему то научиться. Такой вопрос: у вас есть опыт работы с чем то реактивным spring web flux или просто rxjava? Было бы супер увидеть от вас видео на такую тему.
Спасибо за отзыв, Alex.Да, конечно. Я подумаю, что можно сделать на эту тему.
Может на спринг буте 2.1.4 это работает, но я встретился с проблемой циклической зависимости, исправил за счет того что вынес бин passwordEncoder в отдельный конфиг класс
Прохожу аутентификацию, получаю токен. У get запроса в header "Authorization" помещаю Bearer_токен. Посылаю запрос. Получаю ответ 403 Forbidden. Как искать ошибку? По точкам останова никуда не попадаю.
Решили? Та же проблема сейчас) Если решили, отпишитесь плз
@@user-sd1sy4uk8o Решил, не помню точно что было. Что то тривиальное, неправильно набрал текст (не тот класс, не тот метод, ...). Нашел чисто визуально через некоторое время. Вопрос как это отловить отладкой остался.
@@valeriyemelyanov9090 роли должны быть не ADMIN а ROLE_ADMIN)
И всё)
если уже используешь ломбок, то можно юзать аннотации @RequiredArgsConstructor, чтобы не писать конструктор
может, ради Autowired
Что-бы юзеру фабрику не городить можно в userDetailIml просто положить полем appUser и с него уже выдать все поля геттерами
Четко!
Спасибо за видео, очень наглядно и полезно. Возник такой вопрос: как можно перехватить JwtAuthenticationException, чтоб на условный фронт возвращался не код 500, а можно было вернуть 401 или 403?
Спасибо за отзыв!
Через глобальный обработчик ошибок.
Добрый день, Евгений, все больше углубляюсь в понимание Spring Security, и почитав много документации и разобрав Ваш пример, у меня возник вопрос:
Исхожу из посыла, что токен придуман для общения между серверами, чем между пользователями и сервером, чтобы постоянно не брать аутентификацию из сесии ,а там из контекста. и как я понял фронт может обойтись без файлов куки.
Тем самым токен позволяет не использовать сессии и как я понял использовать аутентификацию только 1 раз если у пользователя нету токена, чтобы его выдать, а в дальнейшем только проверять токен и тем самым ускорять работу.
Само собой, если кто-то украдет токен, и без лишней проверки на аутентификацию, то будет серверу плохо.
Но все же,
1. Вопрос.
Почему в классе JwtTokenFilter в методе doFilter вы проверяете токен , и если с токеном все хорошо, вы создаете аутентификацию, опять проверяя существует ли юзер в базе данных? но прибегая к обычному UserDetails , если вы используете до этого JwtUser который имплементирует userdetails.Возможно в JwtTokenProvider должен был инжектиться не UserDetailsService, а JwtUserDetailsService?
2. Вопрос
Вместо проверки Аутентификации в сесии, мы в том же методете ее устанавливаем каждый раз после проверки токена. Зачем мы это делаем если с токеном все впорядке? почему мы не может пропустить данный пункт(если это еще один пособ проверки, то вопрос исчерпан), и там же мы проводим проверку на null, как аутентификация может быть null, если валидный токен к нам пришел ?
3. Вопрос
В контольлере , /login Вы проводите аутентификацию с помощью AuthenficationManager, и если она проходит, то соответственно Вы выдаете токен. Насколько я понял аутентификация происходит автоматически, в остальных методах вы проверку не проводите в ручную, а так же вы не проводите проверку токена, это мне тоже совсем не понятно. Я понял что вы добавили новый фильтр перед аентентификацией, но как его пройти, если токена нету ?
Фильтр первый увидел токена нету, включает следующий UsernamePasswordAuthenticationFilter ?
Меня не покидает ощущение что нужно было заоверайдить AuthMeneger на новый провайдер, который связан с JwtTokenProvider и JwtUserDetailsService, или нельзя базовую аентентификацию переписывать на JWTToken? поясните этот момент, пожалуйста.
Извините, если плохо изложил свои мысли, но данные моменты не дают покоя моей голове, если я что-то не правильно понял о процессе security, разъясните пожалуйста, или дайте ссылку на понимания данного момента.
Спасибо за комментарий!
1. JwtUserDetailsService является реализацией UserDetailsService.
2. В целом, мы могли бы пропустить этот этап. Но иногда мы делаем это, для обработки случаев блокировки юзера. Т.е. есть токен на месяц. Человека заблокировали в БД, но токен еще валиден. И человек сможет иметь доступ к системе.
3. Login выдает токен, в остальных местах, мы его проверяем в рамках аутентификации.
Надеюсь, я верно понял ваши вопросы и смог на них ответить.
@@EugeneSuleimanov Большое спасибо за уделенное мне время, теперь все устаканилось в голове.
спасибо!
Офигенный видос. Но вот только я немного не понял почему автор пропустил поле password в DTO.
Спасибо за отзыв. Обычно пароль стараются не отдавать ни в каком виде. Он и не нужен, кроме как для смены пароля, а этот функционал выносится в отдельную логику
@@EugeneSuleimanov DTO хорошо, а можно пример как работать с mapstruct ?
В рунете ничего нет по mupstruct ;(((
Спасибо за отличный урок!
Просьба разъяснить насколько это хороший тон или насколько это актуальный подход, что при каждом REST запросе идет обращение в базу для получения данных пользователя. Разве не требуется поместить эти данные в claims?
Спасибо!
1:10:15 При вводе неправильного пароля "throw new BadCredentialsException("Invalid username or password");" кажется не сработал? Не вижу этого сообщения в json response.
С транзакционными методами в сервисах падает:
org.springframework.beans.factory.UnsatisfiedDependencyException: Error creating bean with name 'springSecurityConfig': Unsatisfied dependency expressed through field 'jwtTokenProvider'; nested exception is org.springframework.beans.factory.NoSuchBeanDefinitionException: No qualifying bean of type 'com.security.jwt.JwtTokenProvider' available: expected at least 1 bean which qualifies as autowire candidate. Dependency annotations: {@org.springframework.beans.factory.annotation.Autowired(required=true), @org.springframework.beans.factory.annotation.Qualifier("jwtTokenProviderImpl")}
Большое спасибо за урок! Не смог понять только, как сделать так, чтобы при отправке POST /auth/login передавался зашифрованный пароль и сравнивался напрямую с тем, что лежит в базе.
Никак. Пароль в данном демоуроке не шифруется, а хешируется. Плюс "приготовление" ХЭШа идет с солью. Т.е. один и тот же пароль будет всякий раз давать разный ХЭШ. Но всегда есть возможность имея оригинальный пароль проверить, а от него ли ХЭШ, что здесь и делается. А если вас волнует передача пароля в открытом виде, то вас больше должна волновать передача токена в открытом виде. Эта операция выполняется куда чаще. Но! Взаимодействие клиент-сервер здесь идет по протоколу HTTP. Всего то нужно перейти на HTTPS запросы, что исключит возможность узнать пароль путем анализа трафика. А для этого просто "прикрутите" SSL сертификат к Spring Boot. В Инете полно инфы на эту тему.
А как можно совместить авторизацию с вводом пароля и логина + csrf токен(стандартную для спринг секьюрити) и jwt для подальшего использования (после авторизации) при отправке запросов на сервер? Подскажите.
Евгений, спасибо за урок!
Вопрос: если мы маппим юзеров и роли через @ManyToMany, то в итоге получаем три таблички (users, roles, users_roles), однако, если мы сделаем @ManyToOne, то у нас будет только две таблицы (users, user_role(Id, user_id, role) и нужно указать уникальную связку user_id+role).
Есть ли между этими подходами принципиальная разница и, если есть, то какой лучше?
В данном случае - нет, но, тогда мы не сможем присвоить юзеру несколько ролей. Это, не критично, потому что мы можем дать каждой роли определённые права (добавить коллекцию пермишенов, например).
Сказать, какой лучше сложно, но, я бы использовать @ManyToOne в реальной жизни.
Евгений спасибо большое за видео. На текущий момент это единственное видео, которое мне помогло добавить авторизацию с jwt. У меня есть небольшой пет проект с Spring Boot и Angular, где я успешно внедрил данную технологию, но так же у меня остались вопросы в частности о том как создавать refresh токен и как с ним работать. Но больше всего мне интересно как работать с Oauth2 и как совместить его с jwt. Как бы я не старался, у меня не получается совместить их вместе из-за очевидной нехватки знаний и опыта в этих технологиях. Как сделать так, что при запросе с сервера Angular по REST пришел запрос на сервер Spring и Spring обратился к внешнему серверу(Facebook, Google etc, на которых у меня заранее установлено приложение и известны все данные в виде секретного ключа и так далее) и получил от них ответ в виде данных пользователя, который потом передаст по REST другому серверу(Angular). Такая же схема работы с jwt и по сути они отличаются только тем, что от внешнего сервера(Angular) в случае авторизации через Oauth2 запрос приходит с пустым телом(т.к. нет ни пароля ни логина, они вводятся на стороннем 3м сервере). В конченом итоге я хочу реализовать авторизацию пользователя на выбор: или через внутреннюю самого сайта, или через внешнюю(Facebook, Google etc). Все эти сведения только лишь теоретические. Как это реализовать? Куда смотреть-хотя бы на каких ресурсах внятно это объясняется или я не так понимаю, ибо чем больше я ищу информации про REST авторизацию с Oauth2, тем больше у меня возникает вопросов. В идеале хотелось бы увидеть Ваше видеоруководство на подобии текущего, где будет освещенная данная проблема, т.к. я считаю данный вопрос не является каким то частным случаем, на каждом современном веб-ресурсе присутствует авторизация двумя вышеперечисленными способами. Даже на украинском гос.сайте по оплате ЖКХ услуг есть авторизация через гитхаб.
Спасибо за ваш отзыв!
Что касается OAuth, то мне кажется, здесь важно понять сам принцип этого подхода (кто именно проверяет безопасность в данном случае).
Пока в планах нет выкладывать видео по данной теме, но, мне кажется, что уже есть готовые примеры
100% уже неактуально для автора вопроса, но для ищущих информацию может быть полезно. Шестое издание "Spring в действии" помогает в реализации по данной тематике. Глава 5.3.3.
Спасибо за видео!
Делаю по вашему примеру и возникла проблема: при отправке невалидного токена JwtAuthenticationException возвращает HTML вместо JSON. AuthenticationEntryPoint перехватывает эту ошибку, только в случае пустого токена, при каких либо данных в токене возвращается HTML.
Подскажите, как это можно обработать, а то уже который день над этим бьюсь) Заранее спасибо :)
Разобрались?) Я тоже на этом застрял))
В dto (как и в model) пихать конвертеры так себе идея. Имхо использовать org.springframework.core.convert.converter.Converter было бы правильнее. @Autowired аннотация перед конструктором в используемой версии Spring Core необязательна.
полагаться на логику какой-то внешней магии для работы с вашими бизнес-моделями? ну такое себе
@@RatijasT @@RatijasT Ну если стандартные средства springframework для вас магия, то да - 'такое себе'. Вместо чтения документации на фреймворк, можно вполне себе запилить свой конвертер с блекджеком и прочими пряниками. Да и, чего уж там, вообще свой спринг написать, мало ли какая там ещё магия попадется.
@@evgeniizavodnov3086 так говорите, как будто спринг это не магия, ну действительно
Евгений спасибо за ролик по нём написал свой первый jwt для своего проекта. Но мне не совсем ясно зачем админу давали роль и админа и юзера ? Для ендпоинта админа дали роль админа для всех остальных запросов у нас authenticated же есть.
Спасибо за отзыв!
Даётся набор ролей для гибкости, так как здесь не используются пермишены. В нормальной практике - будет одна роль с набором доступов.
@@EugeneSuleimanov но если бы мы админу не дали права USER он бы смог всё равно пользоваться всеми запросами согласно нашей конфигурации. Верно ?
А почему классам User и Role нельзя сразу имплементировать интерфейсы UserDetails и GrantedAuthority соответственно?
а где реализация RoleRepository и UserRepository? это же только интерфейсы. Может я что то упустил конечно ... Там нет бинов для этих объектов. При запуске проекта ошибка вылетает
Спасибо за урок! Когда истекает срок jwt token-а spring возвращает html страницу, а надо ведь json, пробовал ControllerAdvice, результата нет, пока ищу ответ. Как можно это решить?
Спасибо огромное за видео!
Возник вопрос: когда пишу в AuthenticationRestControllerV1 аннотацию Autowired у конструктора, то authenticationManager подсвечивается красным и пишет: No beans of "AuthenticationManager" type not found. В чём может быть причина?
Если у кого-то была такая ошибка, то она возникает по причине того, что в SecurityConfig у authenticationManager() нужно добавить @Bean
Спасибо за отзыв.
Если работает корректно, то вероятнее всего, проблемы в настройках idea. Если нет - нужно поискать ошибку в коде. Особенно, аннотации.
@@AquaChanneOne только сейчас увидел ответ
@@EugeneSuleimanov Можно ещё вопрос спросить:
Открыл ваш проект, ничего не менял, в нём ошибка возникает в классе JwtTokenProvider у поля userDetailsService:
Could not autowire. There is more than one bean of 'UserDetailsService' type.
Beans: inMemoryUserDetailsManager (UserDetailsServiceAutoConfiguration. class)
С чем это может быть связано? Также и у меня в моём проекте, который я создавал параллельно вашему видео, такая же ошибка.
@@AquaChanneOneОшибка с authenticationManager, в моем случае, возникла, потому что забыл на класс SecurityConfig повесить аннотацию @Configuration
Добрый день! Проясните, пожалуйста, такой момент.
В методе контроллера login вызывается
authenticationManager.authenticate(new UsernamePasswordAuthenticationToken(username, requestDto.getPassword()));
Какая реализация используеться для authenticationManager?
Каким образом он понимает, как валидировать пароль и логин?
Спасибо заранее!
Евгений, Доброго дня вам.
Может у вас будет секундочка, поделиться вашим опытом.
При версии выше java 8 TextCodec.BASE64.decode нужного класса не находит, т.к. он из Java EE как я понял, но все же добавить библиотеку jaxb-api не сложно и все работает.
Если вы делали подобное на версиях выше Java 8, есть ли какой-то другой подход ? Какие-то новые технологии ?
Если кому-то требуется чтобы работало выше чем на Java 8, добавьте в POM dependency
javax.xml.bind
jaxb-api
2.3.0
com.sun.xml.bind
jaxb-impl
2.3.0
com.sun.xml.bind
jaxb-core
2.3.0
javax.activation
activation
1.1.1
Для тех кто только изучает, я думаю что автору надо было сказать, чтобы так никогда не писали в реальной жизни, но в качестве ознакомительного/учебного видео очень даже неплохо.
А что именно здесь на подходит к реальному коду? Спасибо
@@EugeneSuleimanov
1. это передача пароля в теле запроса для получения access token плохая практика. Вообще лучше воспользоваться одним из способов авторизации Oauth2 (client credentials, implicit, password или authoriziation code). С передачей Scope, GrantType и так далее. Но опять же я понимаю что виде чисто в обчающих целях и упор на другое.
2. Если используете lombok то имеет смысл использовать его тогда везде чтобы быть консистентным. Например в классе JwtUser можно использовать @Getter над классом. Там где явно объявлен конструктор можно заменить на @RequiredArgsConstructor или @AllArgsConstructor а для конструктора по умолчанию @NoArgsConstructor. но это опять так вопрос стиля то как принято в команде.
4. Зачем переопределять JwtAuthenticationException? там нет ничего кастомного можно сразу кидать AuthenticationException
5. Если юзер нет то лучше возвращать 404 а не 204.
6. Отсутствие тестов
Ну и так далее
@@alexander.shakhov в этом плане, да. Согласен. Спасибо за ответ.
Eugene Suleimanov вам спасибо за уроки, это большой труд!
@@alexander.shakhov так Oauth2 необходим для связи VK /FACEBOOK/ GOOGLE. Разве на oAuth2 можно реализовать функционал собственной регистрации?
Здравствуйте, кто может подсказать WebSecurityConfigurerAdapter как я понял устарел на сегодняшний день. Чем можно его заменить? Заранее спасибо
я в итоге использую Спринг Бут второй версии и Секьюрити соовтетсвенно, не смог разобраться как все в обновленном виде работать должно.
Спасибо большое за видео! Подскажите, пожалуйста, а если у нас LDAP авторизация, подход остается тот же?
Добрый день! Проясните, пожалуйста, такой момент.
В методе контроллера login вызывается
authenticationManager.authenticate(new UsernamePasswordAuthenticationToken(username, requestDto.getPassword()));
При этом, насколько я понял, используется дефолтный AuthenticationManagerDelegator в качестве реализации.
Если так, то в каким образом он понимает, как валидировать пароль при логине? То есть как связаны конкретно ваша таблица с паролями и сущность authenticationManager?
а как с помощью сервиса авторизации получать доступ к другим сервисами, которые находятся вне сервиса авторизации?
@Eugene Suleimanov: Благодаря Вашим видео учусь писать правильно код. Спасибо за это огромное. Вопрос: В чем смысл аннотации @Table @Column если имя совпадает с названием таблицы/столбца ?
Это не обязательно, но, обычно, именуют, просто как договоренность. Это на основании моего опыта. Спасибо за отзыв!
Хотелось бы, чтобы схема происходящего, представленная в начале, была подробной и без спешки. Если, конечно, это делается не ради видео, а ради того, чтобы зрители поняли суть.
Что мы видим на схеме: Client и Server.
Что мы видим дальше: JwtUser, JwtUserFactory, JwtUserDetailsService, JwtTokenProvider, JwtTokenFilter, JwtConfigurer...
Получается не гайд, а квест.
Добрый день. Отличная работа, очень благодарен. Но возникает один вопрос. Как данный сервис использовать между всеми докеризированными микросервисами? Не создавать же отдельный jwt server для каждого. Должно быть решение.
Кто может подсказать в чём разница между сущностью и перечислением для ролей в спринг секьюрити?
С точки зрения спринга - никакой. Это больше об архитектуре решения и структуре проекта.
Женя у меня не находит authenticationManager бина.( в AuthenticationRestController в конструкторе есть, автоваред стоит.((
так это не бин
Привет! нашёл причину?
Добавила юзеру ещё одну роль(отношение ведь многие-ко-многим) и юзер после этого перестал проходить аутентификацию. До того как роль была добавлена, аутентификацию проходил. В бд после операции у юзера две роли. Не могу понять, где ошибка. Может, кто сталкивался с этой проблемой.
Разобралась с ошибкой, спасибо огромное за урок
Спасибо! А есть ли пример для микросервисов?
Спасибо за отзыв! С микросервисами ещё нет, к сожалению.
Благодарю за видео! разбираю сейчас данную тему. не могу понять в каком месте spring security сверяется с базой данных? у меня BadCredentialsException на строчке authenticationManager.authenticate.. база данных postge