기본 인증 공급자와 함께 Spring-Security PasswordEncoder 사용?

나는 Spring 4.0.8 RELEASE와 Spring-Security 3.2.5 RELEASE를 사용하고있다.

등록 된 사용자 만 액세스 할 수있는 HTTP 다이제스트를 사용하여 REST WebService를 구축하고 있습니다.

내 web.xml은 다음과 같습니다.

<servlet>
    <servlet-name>rest</servlet-name>
    <servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>
     <init-param>
        <param-name>contextConfigLocation</param-name>
        <param-value>/WEB-INF/applicationContext.xml</param-value>
    </init-param> 
    <load-on-startup>1</load-on-startup>
</servlet>

<servlet-mapping>
    <servlet-name>rest</servlet-name>
    <url-pattern>/*</url-pattern>
</servlet-mapping>


<listener>
    <listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
</listener>

<filter>
    <filter-name>springSecurityFilterChain</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>

<filter-mapping>
    <filter-name>springSecurityFilterChain</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>

applicationContext.xml에는 내 컨트롤러 / DAO가 포함되어 있습니다.

<import resource="security-context.xml" />

<bean id="daoPersonal" class="com.test.dao.PersonalDAO">
    <property name="dataSource" ref="dataSource" />
</bean>

이제 security-context.xml은 다음과 같습니다.

 <?xml version="1.0" encoding="UTF-8"?>
 <beans:beans xmlns="http://www.springframework.org/schema/security" xmlns:beans="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xsi:schemaLocation="
         http://www.springframework.org/schema/beans     
         http://www.springframework.org/schema/beans/spring-beans-4.0.xsd
         http://www.springframework.org/schema/security
         http://www.springframework.org/schema/security/spring-security-3.2.xsd">

    <debug />
    <http entry-point-ref="digestEntryPoint">
        <headers />
        <intercept-url pattern="/**" access="ROLE_USER" />
        <custom-filter ref="digestFilter" after="BASIC_AUTH_FILTER" />
    </http>

    <beans:bean id="digestFilter" class="org.springframework.security.web.authentication.www.DigestAuthenticationFilter">
        <beans:property name="userDetailsService" ref="daoPersonal" />
        <beans:property name="authenticationEntryPoint" ref="digestEntryPoint" />
    </beans:bean>

    <beans:bean id="digestEntryPoint" class="org.springframework.security.web.authentication.www.DigestAuthenticationEntryPoint">
        <beans:property name="realmName" value="Contacts Realm via Digest Authentication" />
        <beans:property name="key" value="acegi" />
    </beans:bean>

    <beans:bean id="bcryptEncoder" class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder" />

    <authentication-manager>
        <authentication-provider user-service-ref="daoPersonal">
             <password-encoder ref="bcryptEncoder" />
        </authentication-provider>
    </authentication-manager>
 </beans:beans>

내 PersonalDAO

 public class PersonalDAO extends NamedParameterJdbcDaoSupport implements UserDetailsService  {

 /*my other code
  ...
 */

 @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        System.out.println(new Date() + " PersonalDAO loadUserByUsername: " + username);
         List<UserDetails> users = getJdbcTemplate().query(USER_QUERY, new String[] {username}, new RowMapper<UserDetails>() {
                public UserDetails mapRow(ResultSet rs, int rowNum) throws SQLException {
                    String username = rs.getString(1);
                    String password = rs.getString(2);
                    boolean enabled = true;
                    Collection<GrantedAuthority> auths = new ArrayList<GrantedAuthority>();
                    auths.add(new SimpleGrantedAuthority("ROLE_USER"));
                    return new User(username, password, enabled, true, true, true, auths);
                }
            });
         if(users.size()==0){
             throw new UsernameNotFoundException("");
         }
         System.out.println(new Date() + "Users Found: " + users.size());
         return users.get(0);
    }
 }

인증 공급자 안에 암호 부호기가 없으면 데이터베이스의 일반 텍스트 암호를 사용하여 의도 한대로 작동합니다. 그러나 암호 인코더 (및 db의 암호가 bcrypt로 변경된 암호로 바뀜)를 사용하면 브라우저에 로그인이 잘못되어 다시 묻는 메시지가 표시됩니다. 필자는 PersonalDAO가 호출되어 사용자를 찾은 것을 확인할 수 있습니다.

나는 여전히 나의 암호를 가지고있는 나의 데이터베이스에 또 다른 사용자를 가지고있다. 나는 bcryptencoder가 활성화 된 상태에서 여전히 내 서버 로그에 다음과 같이 로그인을 시도했다.

 org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder matches
 WARNING: Encoded password does not look like BCrypt

이제 적어도 BCryptEncoder가 호출되었음을 알 수 있지만, 인코딩 된 것을 의미하는 일치가 발생하고 여전히 들어갈 수 없습니다 (예상 될 수 있음).

내가 뭘 놓치고 있니?

편집하다:

로그 아웃풋이 많지는 않지만 여기에 있습니다 :

Fri Dec 05 15:07:06 CET 2014 PersonalDAO loadUserByUsername: test
Fri Dec 05 15:07:06 CET 2014 Users Found: 1

db의 암호화 된 암호 : 2 달러 2a 달러 10 달러

해결법

==============================
1.HTTP 다이제스트 인증과 BCrypt 암호 엔코더의 조합은 불가능합니다. 이는 HTTP 다이제스트 알고리즘이 비밀번호가 일반 텍스트로 저장되어야하기 때문입니다. 인증 방법을 변경하거나 암호 인코딩을 제거해야합니다.

HTTP 다이제스트 인증과 BCrypt 암호 엔코더의 조합은 불가능합니다. 이는 HTTP 다이제스트 알고리즘이 비밀번호가 일반 텍스트로 저장되어야하기 때문입니다. 인증 방법을 변경하거나 암호 인코딩을 제거해야합니다.

from https://stackoverflow.com/questions/27317368/using-spring-security-passwordencoder-with-default-authentication-provider by cc-by-sa and MIT license

'SPRING' 카테고리의 다른 글

[SPRING] 스프링 관리 웹 애플리케이션의 Log4J Appender에서 Spring 관리 Bean을 검색하는 데 사용할 수있는 옵션은 무엇입니까? (0)	2019.05.14
[SPRING] DefaultMessageListenerContainer에 대해 봄 3.0 지연 초기화가 적용되지 않습니까? (0)	2019.05.13
[SPRING] 스프링 LDAP 2.0.1은 더 이상 사용되지 않는 OdmManager를 대체합니다. (0)	2019.05.13
[SPRING] Tomcat이 beans.xml을로드하고 읽을 때 Spring AOP XML 스키마가 제대로로드되지 않는 이유는 무엇입니까? (0)	2019.05.13
[SPRING] 서블릿으로 Spring Ioc 설정하기 (0)	2019.05.13

복붙노트

[SPRING] 기본 인증 공급자와 함께 Spring-Security PasswordEncoder 사용?

기본 인증 공급자와 함께 Spring-Security PasswordEncoder 사용?

해결법

1.HTTP 다이제스트 인증과 BCrypt 암호 엔코더의 조합은 불가능합니다. 이는 HTTP 다이제스트 알고리즘이 비밀번호가 일반 텍스트로 저장되어야하기 때문입니다. 인증 방법을 변경하거나 암호 인코딩을 제거해야합니다.

'SPRING' 카테고리의 다른 글

티스토리툴바