Spring Boot JWT -添加BCrypt安全性-访问被拒绝

文章/答案/技术大牛

发布

2回答

spring-boot、spring-security、jwt、bcrypt

我有一个应用服务器，它使用带有JWT令牌的Spring boot框架。我想加密用户密码，但遇到了登录问题。BCryptPasswordEncoder().encode(userModel.getPassword()));加密用户的密码，但当我尝试登录时，我得到的是Encoded password does not look like BCrypt

浏览 33提问于2020-04-24得票数 0

1回答

在前端和后端保护路由

angular、spring、spring-boot、spring-security

我正在构建一个Spring Boot + Angular应用程序。我是不是应该这样做，或者我应该只保护后端API调用，并确保用户无法访问它无法访问的实际数据？

浏览 1提问于2021-11-22得票数 0

1回答

在这种情况下，用NGINX反向代理和Keyclaok保护我的微服务的最佳解决方案是什么？

spring-boot、authentication、authorization、keycloak、nginx-reverse-proxy

我发现的是： Spring的Keycloak客户端适配器，我可以用它对想使用特定端点的用户进行身份验证和授权。NGINX的auth_request模块可以在请求被代理到指定的端点之前对用户进行身份验证。为此，我可以使用Spring中的Keycloak客户端适配器进行身份验证和授权，但是身份验证将开始两次。或者我可以实现我自己的解决方案，这只是授权一个用户。在我看来，并不是有很多安全原因需要集中身份验证，所以我被吸引到了这样的想法:只要通过令牌并让服务来处理这个问题，适配器提供的解决方案已经很好了。

浏览 7提问于2022-08-18得票数 -1

回答已采纳

1回答

Spring Boot + JWT返回“访问被拒绝”

java、spring-boot、jwt

我得到了访问令牌，但当我尝试访问端点时，它会返回“访问被拒绝”。我调试了代码，我可以清楚地看到，我为用户获得了所有正确的信息，并且他具有正确的角色。return true; logger.error("Invalid JWT-> Message: {} ", e);

浏览 46提问于2021-06-23得票数 0

回答已采纳

2回答

Spring OAuth显示默认的用户名/密码表单。

java、spring、spring-boot、spring-security、oauth-2.0

; }<dependency> <artifactId>spring-boot-starter-security</artifactId>运行该应用程序后，它自动为默认用户User生成密码，并将其登录到控制台。然后，我将上面的依赖项替换为OA

浏览 11提问于2022-07-31得票数 0

1回答

使用两种不同服务的JWT身份验证

node.js、security、jwt、jwt-auth

基于spring boot的Java服务和spring安全问题基于租户的长期JWT，以便其他服务相互进行身份验证。例如，呈现服务需要从模板服务获取模板。我已经设法发出了一个JWT，其中包含访问模板服务所需的信息和用户服务中的明显相同的密钥。但我不确定它是否足够安全。我必须向用户JWT添加一个随机的JID，以使其被模板服务接受(这也是用spring boot实现的)。有没有我需要注意的安全问题？这种

浏览 27提问于2020-09-04得票数 0

回答已采纳

1回答

如何使用spring安全性在特定端点上启用OAuth

java、spring-boot、spring-security

我试图熟悉Security，特别是从Security迁移到Soring安全性(如下面的示例/指南所示)。implementation 'org.springframework.boot:spring-boot-starter-oauth2-resource-server' implementation'org.springframework.bo

浏览 1提问于2021-10-26得票数 0

回答已采纳

1回答

验证Jwt签名

reactjs、spring-boot、jwt

我有一个应用程序，它的前端是React，后端是SpringBoot，当我和某个用户登录时，它会将令牌保存在localStorage中，您可以修改它。因此，如果您修改它并更改令牌的值(包括签名)，则应用程序不会说任何话。问题是，如何在每个请求(POST、GET、PUT)中验证用户的令牌是有效的(签名有效)？

浏览 1提问于2022-05-12得票数 0

1回答

密钥屏蔽Spring安全适配器如何使用公共密钥披风客户端验证访问令牌？

java、spring、spring-security、oauth-2.0、keycloak

但是，可以验证访问令牌，即使keycloak.public-client=true。我试着钻研代码，但找不到答案。我的问题是，如何使用公共客户端执行验证？Keycloak Spring安全适配器有内置的解决方法吗？

浏览 5提问于2021-09-14得票数 0

1回答

Spring Boot -强制所有流量通过网关服务

spring-boot、netflix-zuul

在我们的域中，我们有许多Spring Boot应用程序和一个网关服务(我们正在使用Netflix Zuul)。我们的网关服务负责我们的身份验证和安全性。因为安全性是由Gateway Service处理的，所以我们想禁用对Spring Boot应用程序的直接访问。任何不是源自我们的网关服务的请求都应该被拒绝。我们如何在Spring Boot中做到这一点？这方面有什么最佳实践吗？

浏览 0提问于2017-07-12得票数 1

1回答

在Spring* Boot中使用BCrypt散列函数而没有所有的过度杀伤力？*

java、spring-boot、bcrypt

我有一个带有SQL/Web依赖项的Spring Boot项目。我有控制器和模型，但没有配置类。这是一个非常简单的项目，所以我通过检查请求头中特定于用户的令牌来进行简单的身份验证。在将密码保存到数据库之前，我希望使用BCrypt依赖项来散列密码，但是Spring Boot不允许我简单地使用静态函数。@GetMapping("/bcrypt/{pw}") public String crypt(@PathVariable String pw)

浏览 13提问于2019-05-22得票数 1

1回答

如何集成Vaadin作为前端微服务和Spring* REST API作为后端微服务*

spring-boot、jwt、vaadin、vaadin-flow

一个是带有Vaadin Flow的前端，另一个是带有安全性的Spring Boot REST API。Spring API实现了JWT安全性。我希望Vaadin应用程序使用用户名和密码调用REST API，并接收JWT令牌作为响应。 Vaadin应用程序对仪表板的用户进行身份验证。每个请求都希望在头部中添加一个承载令牌，并调用REST API。

浏览 1提问于2021-09-13得票数 0

1回答

用antMatchers配置oauth2ResourceServer

java、spring、spring-boot、spring-security

我的目标是以以下方式配置Spring安全性：我已经尝试了下面的代码，.antMatchers("/**").permitAll() .oauth2ResourceServer().jwt(); 我的依赖关系是： org.springframew

浏览 5提问于2022-01-26得票数 0

1回答

使用JWT时在SecurityContext中设置身份验证

spring-security

我对我的服务器使用Spring boot安全性。我添加了新的过滤器，它从OncePerRequestFilter扩展而来，并且(根据来自网络的许多教程)在验证jwt save Authentication对象到SecurityContext之后。毕竟，我在每次请求中都会验证来自客户机的jwt，并且不需要spring的jwt来调用Authentication object上的isAuthenticated()。我错过了什么吗？

浏览 22提问于2020-01-09得票数 0

回答已采纳

2回答

在API网关级解码OAuth2 JWT与在单个微服务级解码JWT

spring-boot、microservices、spring-security-oauth2

我已经使用Spring Boot1.5.x+ OAuth2和JWT开发了一组微服务(资源服务器)。现在，每个微服务都使用Spring Security进行保护，即在单个资源服务器级别验证JWT访问令牌。API Gateway没有适当的spring安全性，因此它只是将请求路由到适当的服务器，并将身份验证头传播到下游服务。将安全性保持在API网关级不会破坏松散耦合的原则吗?因为每个微服务可以更好地理解给定用户在其上下文中的角色？

浏览 23提问于2018-07-26得票数 5

回答已采纳

1回答

配置Spring安全性

java、spring、spring-security

与我的Spring应用程序的工作版本相比，我只在gradle.build中添加了Security插件并在我的一个类中使用了org.springframework.security.crypto.bcrypt.BCrypt。现在，我得到了“访问该资源需要完全身份验证”。如何解决这个问题，或者如何排除除<e

浏览 1提问于2017-11-12得票数 0

回答已采纳

2回答

与SecurityContextHolder相比，在使用Spring* Boot后端的应用程序中提供令牌化身份验证有什么优势？*

spring、spring-boot、spring-security、authorization、jwt

当我开始使用Spring Boot和Angular 7时，我遇到了用户身份验证。让我们假设如下:我有一个带有Angular 7的前端和一个带有Spring Boot的后端，它提供了可以通过HTTP访问的API。但我偶然发现了Spring Boot Security的SecurityContextHoler： Authentication authentication = SecurityContextHolder.getContext因此，我考虑了以下几点：使用<em

浏览 41提问于2019-01-20得票数 0

2回答

返回签名JWT的userinfo端点的Spring失败

spring-security、oauth-2.0、jwt、openid-connect、spring-security-oauth2

由于它构建时考虑到了很高的安全性，所以它的UserInfo端点返回一个签名的JWT (而不是普通的)。 Spring Security似乎不支持它。如果是这样的话，我们如何添加对签名JWT的支持(包括签名的版本)？但是，由于配置为高安全性，IdP返回一个内容类型为application/jwt的签名JWT。响应类似于上的示例。由于RestTemplate没有能够处理内容类型application/jwt的消息转换器

浏览 28提问于2020-01-23得票数 3

1回答

使用Spring* Boot和LDAP的REST API中的权限*

java、spring-boot、permissions、ldap、spring-ldap

我已经配置了LDAP (目前通过ldif文件)，并成功地与spring boot集成(spring boot公开REST API)。我的意思是，只有授权的请求(通过Basic Auth)被服务，其他请求被拒绝(401代码)。我希望以这样的方式配置spring-boot安全性，即来自A组的用户可以同时使用(1)和(2)，而来自B组的用户只能使用(2)。如何配置？

浏览 2提问于2017-07-11得票数 0

1回答

即使在springdoc中进行身份验证，也无法命中控制器。

spring-security、java-8、jwt、springdoc、springdoc-openapi-ui

我在我的项目中使用springdoc version 1.4.3和springdoc-security version 1.4.3，使用的是spring boot和spring security，配置如下:我可以访问spring boot，但当我授权(通过swagger输入令牌)并试图从rest控制器获得响应时，我一直被拒绝访问。.type(SecurityScheme.Type.HTTP) .

浏览 2提问于2020-07-12得票数 0

点击加载更多