Komentarze do: Spring Security – uwierzytelnienie przy pomocy jsona

Autor: Piotr

Piotr — Fri, 30 Sep 2022 14:20:27 +0000

W odpowiedzi do Mateusz Dąbrowski. Rozumiem, dzięki za odpowiedz :) W takim razie nie zrozumiałem zamiaru :)

Autor: Mateusz Dąbrowski

Mateusz Dąbrowski — Fri, 30 Sep 2022 14:14:07 +0000

W odpowiedzi do Piotr.

Cześć Piotr dzięki za komentarz, ale nie do końca rozumiem twoje uwagi. Ja po prostu dostosowuje Spring Security do swoich potrzeb.

„Czyli cała konfiguracja domyślna, jak i nie domyślna, która tworzymy na HttpSecurity leci w czarną dziurę.”

No ale ja nie mogę polegać na domyślnej konfiguracji, bo właśnie mi ona nie odpowiada. Dlatego ją zmieniam.

Generalnie artykuł jest częścią serii. W kolejnym opisuje jak przerobić logowanie na tokena (i tam nie ma sesji http, wiec ochrona sesji nie jest potrzebna). W tej części przygotowuje wszystko pod tym kontem, wiec być może zbyt wiele niechcący wyciąłem.

Zawsze możesz włączyć sobie potrzebne rzeczy w konfiguracji tak, żeby wszystko dostosować do swoich potrzeb. Nie jest tak, że ja coś popsułem w ten sposób, po prostu musisz to inaczej skonfigurować.

Autor: Piotr

Piotr — Fri, 30 Sep 2022 13:36:58 +0000

Cześć Mateusz,
Trafiłem na ten wątek ponieważ potrzebowałem dokładnie tej funkcjonalności.
Niestety podczas implementacji trafiłem na kilka problemów wynikających z tego. Cała konfiguracja + trochę benefitów jakie spring security daje nam out of box tracimy, filtr który zdefiniujemy w ten sposób jest goły. Czyli cała konfiguracja domyślna, jak i nie domyślna, która tworzymy na HttpSecurity leci w czarną dziurę. I tak, ochrona przed SessionFixationAttack znika, możliwość zmiany login URL na jakiś własny, funkcjonalność remember-me i wiele innych.

Autor: Mateusz Dąbrowski

Mateusz Dąbrowski — Tue, 15 Feb 2022 22:55:25 +0000

W odpowiedzi do Damian. Dzięki za miłe słowa Damian

Autor: Damian

Damian — Tue, 15 Feb 2022 22:00:23 +0000

Jesteś mistrz! Chodzi mi o to, że to co pokazujesz i tłumaczysz jest celnie „dobrane”, skrojone, wypunktowane. Jak celny strzał w 10. Pokazujesz aktualne, nie rzadko, nie trywialne zagadnienia, dostosowane i pokazane na przykładzie „na czasie”. W internecie gdzie często pokazuje się albo mnóstwo po trosze, albo w ogóle za mało to ten blog jest oazą nadziei.

Autor: Krzysiek

Krzysiek — Sun, 25 Apr 2021 15:27:53 +0000

W odpowiedzi do Mateusz Dąbrowski.

Szukając podobnych rozwiązań do frontu znalazłem dwa ciekawe opisy:
https://spring.io/guides/tutorials/spring-security-and-angular-js/#_the_login_page_angular_js_and_spring_security_part_ii
i
https://blog.angular-university.io/angular-jwt-authentication/

Niestety, chociaż każdy z nich jest dobry w tym co opisuje, to nie do końca rozwiązują ten sam problem. Aktualnie implementuję jeden projekt, gdzie chcę właśnie wykorzystać wszystkie 3 rozwiązania łącznie.

Autor: Mateusz Dąbrowski

Mateusz Dąbrowski — Mon, 06 Jul 2020 10:51:04 +0000

W odpowiedzi do wiciorny.

Implementacja logowania tylko po stronie backendu nie zawsze wystarczy. Jeśli backend korzysta z sesji http, to obsługą ciasteczek zajmie się przeglądarka i w zasadzie nie wiele musisz robić poza obsługą samego formularza logowania i przekierowywanie użytkownika na niego jeśli nie jest zalogowany.

Jeśli chcesz korzystać z tokena (co opisałem w kolejnym artykule), to musisz już zając się obsługą tego tokena w aplikacji React/Angular (w Angularze robi się to zwykle przez interceptory). Tokena możesz zapisać np. w local storage i wysyłać z każdym requestem do serwera w nagłówku Authorize.

Nie znam żadnych ciekawych tutoriali frontendowych na ten temat.

Autor: wiciorny

wiciorny — Sun, 05 Jul 2020 15:58:07 +0000

Hej zastanawia mnie jedna rzecz, jak powiązać sceurity z JWT – przy aplikacji z react/angularem ?
Tzn. mam oczywiście core – w oparciu o CRUD i springboot, ale mam też warstwę UI – opartą o angular lub react js, zastanawiam się czy implementacja autoryzacji wystarcza po stronie serwera? Chyba nie bo np chcąc tworzyć componenty – w react musze jakoś wpleść logowanie etc również w frontend?
Jakiś tutorial znacie dobry do tego ? Pozdrawiam

Autor: Mateusz Dąbrowski

Mateusz Dąbrowski — Thu, 31 Oct 2019 10:12:00 +0000

W odpowiedzi do PB2. Na githubie jest przykładowy kod (na końcu artykułu jest link). Zajrzyj do przykładu, może gdzieś jest jakiś mały błąd. Edit: Był mały błąd, zamiast super.authenticationManagerBean() trzeba użyć super.authenticationManager(). Poprawiłem w tekście.

Autor: PB2

PB2 — Wed, 30 Oct 2019 16:19:01 +0000

Dodałem z artykułu klasę SecurityConfig z metodą konfigurującą w pamięci bazę użytkowników. Coś mi to nie działa. Dalej muszę wpisywać hasło wygenerowane przez aplikacje w momencie startu. A powinno logować z hasłem password.