Java/Spring/SpringSecurity の履歴(No.5)

• 履歴一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• Java/Spring/SpringSecurity へ行く。
  • 1 (2019-11-17 (日) 09:52:59)
  • 2 (2019-11-17 (日) 10:54:11)
  • 3 (2019-11-17 (日) 23:43:44)
  • 4 (2019-11-18 (月) 23:37:13)
  • 5 (2019-11-18 (月) 23:50:14)
  • 6 (2019-11-19 (火) 09:56:10)
  • 7 (2019-11-19 (火) 14:35:34)
  • 8 (2019-11-21 (木) 00:05:26)
  • 9 (2019-11-21 (木) 07:56:44)

• 認証系の設定

ポイント†

• SpringSecurityがクラスパスに入っているとエントリポイントに@EnableWebSecurityを付与せずとも、デフォルトでアプリケーションに自動的にSpring Securityが有効になり、
• デフォルトではBASIC認証。すべてのパスにisAuthenticated()の認可がかかります。
• それをFORM認証だったり、OAuth2認証だったりに切り替えることができる

用語集†

Authentication†

ProviderManagerを利用するとfilterのように多彩な認証方式に対応できる。

filter†

UsernamePasswordAuthenticationFilter†

一番シンプルにフォームのID/PWで認証する形式。UsernamePasswordAuthenticationTokenにID/PWを格納してAuthenticationManagerに処理は移譲する。

AbstractAuthenticationTokenのサブクラスの一つUsernamePasswordAuthenticationTokenで、このTokenのタイプごとに認証方式を切り替えることができる。

RememberMeAuthenticationFilter†

Cookieにより長期間ログインをさせたい場合に使うfilter

参考サイト†

割と古いがシンプル。ただしslake

https://qiita.com/literalice/items/face0a467f1477348e6b

こちらの方が2.0系でgithub

https://qiita.com/yoshikawaa/items/5bc6cabbc2e5815f011c

OAuth2.0で必要な固有接続情報はclient-idとsecretのみ。あとはサイトで一定。

認証のフローとカスタマイズ

https://www.memory-lovers.blog/entry/2018/01/10/013508

デフォルトBasic認証のUSER/PW†

ユーザーはuserでパスワードはコンソール起動時に毎回変わるので実用性はない！

Using generated security password: 54847ad0-58da-4aa8-bb2b-40b4211e81ad

OAuth2有効化†

1. @EnableOAuth2Ssoをエントリーポイントにつける