Komentarze do: Spring Security i Json Web Token https://nullpointerexception.pl/spring-security-i-json-web-token/ Blog o programowaniu w Javie Fri, 04 Aug 2023 17:07:08 +0000 hourly 1 https://wordpress.org/?v=6.9 Autor: Paweł https://nullpointerexception.pl/spring-security-i-json-web-token/#comment-3338 Wed, 28 Jul 2021 20:25:24 +0000 http://nullpointerexception.pl/?p=1231#comment-3338 Super, dzięki za radę.
Nie myślałem, że to istotne – do frontu używam Angulara. Skoro tak robiłeś to chyba najprościej ustawię ten token na 12 godzin i wykorzystam sposób z pop-upem. Trzeba to będzie przechwycić interceptorem ?

]]> Autor: Mateusz Dąbrowski https://nullpointerexception.pl/spring-security-i-json-web-token/#comment-3337 Wed, 28 Jul 2021 19:46:05 +0000 http://nullpointerexception.pl/?p=1231#comment-3337 W odpowiedzi do Paweł.

W podobnych przypadkach jak twój ustawiałem zwykle tokena na 10-12 godzin. Wtedy pracownik musiał się logować do aplikacji każdego dnia rano i ważność tokena starczała mu na cały dzień pracy.

Nie napisałeś, jakiego frontendu używasz, czy jest to Angular/React, czy może Thymeleaf. Jak to drugie to faktycznie może być tak, że ktoś może stracić jakieś dane przy zapisie. Ale można też to obejść, sprawdzając co jakiś czas ajaxem czy token jest ważny. W Angular/React wszystko dzieje się ajaxem, więc można uniknąć utraty tych danych i po prostu wyświetlić użytkownikowi popup z logowaniem. Jest na pewno kilka sposobów poradzenia sobie z tym i wszystkie będą pewnie łatwiejsze niż wdrażanie OAuth2.

A jak nadal chcesz się bawić w OAuth, to tu znajdziesz kilka artykułów (jak chcesz robić bez zewnętrznego providera, to sprawdź sekcję legacy):
https://www.baeldung.com/spring-security-oauth

]]> Autor: Paweł https://nullpointerexception.pl/spring-security-i-json-web-token/#comment-3336 Wed, 28 Jul 2021 19:06:49 +0000 http://nullpointerexception.pl/?p=1231#comment-3336 W odpowiedzi do Mateusz Dąbrowski.

Dzięki za odpowiedź. Tak się składa, że piszę aplikację webową, która jest przeznaczona do użytku wewnętrznego firmy – jest to aplikacja tylko na potrzeby nauki. Koncepcyjnie nie chciałbym sytuacji, gdy ktoś używałby mojej apki i w trakcie pracy token wygasa, po czym przekierowuje go do loginu, a niezapisane dane zostają utracone. Czy w takim razie mógłbyś polecić jakiś dobry tutorial z Oauth2 ? Chciałbym to zaimplementować w miarę fachowo 🙂 W poprzedniej aplikacji użyłem keycloaka i robił to za mnie. Teraz chcę to zrobić sam.

]]> Autor: Mateusz Dąbrowski https://nullpointerexception.pl/spring-security-i-json-web-token/#comment-3334 Wed, 28 Jul 2021 17:34:09 +0000 http://nullpointerexception.pl/?p=1231#comment-3334 W odpowiedzi do Paweł.

Cześć Paweł, dzięki za pytanie. To jest dosyć prosta implementacja JWT, więc w sytuacji, gdy token wygaśnie, użytkownik musi zalogować się jeszcze raz. Oczywiście można się pokusić o zrobienie jakiegoś mechanizmu odświeżania tokena, ale w tej implementacji trochę nie ma to sensu. Jak potrzebujesz odświeżania tokena, to lepiej jest użyć OAuth2, gdzie masz już wszystko zaimplementowane na dwóch tokenach. W tej implementacji możesz jedynie sterować, czasem ważności tokena. I w zależności od aplikacji może to być kilka minut, godzin albo nawet dni.

]]> Autor: Paweł https://nullpointerexception.pl/spring-security-i-json-web-token/#comment-3332 Wed, 28 Jul 2021 16:31:44 +0000 http://nullpointerexception.pl/?p=1231#comment-3332 Cześć Mateusz!
Mam pytanie, co się dzieje, gdy token wygaśnie? Użytkownik będzie musiał znowu się zalogować? Czy jest możliwość odświeżenia tokena, gdy zbliża się jego koniec ważności?

Pozdrawiam
Paweł

]]> Autor: Sebastian https://nullpointerexception.pl/spring-security-i-json-web-token/#comment-2851 Tue, 30 Mar 2021 17:26:58 +0000 http://nullpointerexception.pl/?p=1231#comment-2851 W odpowiedzi do Adrian.

Dokładnie tak jak kolega Adrian wspomniał, adnotacja AuthenticationPrincipal zwraca nulla, walczyłem z tym pół dnia grzebiąc w filtrze a problem okazał się banalny i wystarczyło usunąć adnotację by zwracać usera. Sprawdzone w Javie.

]]> Autor: Mateusz Dąbrowski https://nullpointerexception.pl/spring-security-i-json-web-token/#comment-2795 Mon, 08 Mar 2021 17:37:01 +0000 http://nullpointerexception.pl/?p=1231#comment-2795 W odpowiedzi do Insss.

Tak, jeśli chcesz mieć bezstanową sesję, co w przypadku tokena jwt jest jak najbardziej potrzebne. Token JWt używa się właśnie po to, żeby mieć bezstanową sesję.

]]> Autor: Insss https://nullpointerexception.pl/spring-security-i-json-web-token/#comment-2766 Wed, 03 Mar 2021 08:42:42 +0000 http://nullpointerexception.pl/?p=1231#comment-2766 Cześć, czy ta linijka jest konieczna?
.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)

]]> Autor: Mateusz Dąbrowski https://nullpointerexception.pl/spring-security-i-json-web-token/#comment-2753 Sun, 21 Feb 2021 16:16:38 +0000 http://nullpointerexception.pl/?p=1231#comment-2753 ]]> W odpowiedzi do Adrian.

Cześć Adrian, w springu 2.4 coś się zmieniło i teraz działa to trochę inaczej. Już ktoś mi to zgłaszał, ale jeszcze nie miałem okazji się temu przyjrzeć 😉

]]> Autor: Adrian https://nullpointerexception.pl/spring-security-i-json-web-token/#comment-2752 Sun, 21 Feb 2021 14:41:07 +0000 http://nullpointerexception.pl/?p=1231#comment-2752 W moim przypadku adnotacja AuthenticationPrincipal powodowała, że w miejsce UsernamePasswordAuthenticationToken wchodził null. Usunąłem adnotację, ale zatrzymałem parametr i nagle zaczął mi dawać tego usera do kontrolera 😛 Tylko ja robiłem to w Kotlinie, nie w Javie.

]]>