Spring Security: Spring Security + REST + JWT

на новых версиях спринга private final AuthenticationManager authenticationManager; - почему-то больше не является бином или еще что-то(не получается внедрить)
Подскажите,что можно сделать

я думаю при регистрации мы должны редиректиться на форму входа, где мы вводим логин и пароль. это самое логичное было бы

А обязательно использовать роли ?

Спасибо огромное!

метод контролера auth не авторизует пользователя и выдает сообщение o.s.s.c.bcrypt.BCryptPasswordEncoder : Encoded password does not look like BCrypt

Хорош!👍

Огромное спасибо)

вы лучший в аспекте объяснений, продолжайте, пожалуйста и спасибо огромное за ваш труд

185 раз смотрю, так и не могу разобраться, что к чему в этом security)))

Здравствуйте. 2 день не пойму как сделать токен просроченным, чтобы он не работал для скажем заблокированного юзера. Можно ли как то подменить в существующем токене дату истечения срока жизни?

Грамотная речь и дикция, без лишних слов. Всё доходчиво! Очень уважаю Ваш труд. Хотелось бы по больше видео уроков от Вас.

Золотое видео. Наконец-то всё дошло.

Почему нельзя было снять сразу с Spring Boot 3? Объяснение логики это хорошо конечно, но практическое применение только на устаревших проектах, т.к. с 6 версии Security подход изменился

почему выходит циклическая зависимость, потому что в SecurityConfig мы инжектим
UserService userService;

Объяснение хорошее. Но реализация хромает. Не показано как настраивать h2, flyway. Без которых проект не запускается или не работает как показано на видео

У меня скоро крыша полетит, до сих пор не нашёл нужного гайда как встроить токен в сылку

Благодарю , за видео. Ждем разбор по микросервисам.

jwt:
secret:111ddd
lifetime:30m
'Cannot resolve configuration property 'jwt'

хтось може надіслати посилання на телеграм канал а то ця не дійсна

Хотелось бы теперь узнать, как сдлеать вход без postman так, чтобы токен встравивался в сылку

🤔🤔

Под конец немного путанная подача, но тема сложная и даже автор немного подвисал или слабовато подготовился. Очень не хватает:
1. тайм-лайна
2. Ссылок после видео

Спасибо огромное, четко и понятно! Таким людям памятники на вокзале ставить надо)))

Как же у вас речь поставлена - разбирался сам с JWT и голова болела, а тут такой подарок! Спасибо за лекцию!

У кого-то возникала ошибка, что бин AuthenticationManager не регистрируется?

Большое спасибо конечно за твои 2 трансляции. Но представь, я просто угробил половину дня на поиск причины почему у меня выходила ошибка 403. В итоге оказалось, что я не прописывал префикс ROLE_ в бд и из-за этого аутентификация проходила, но с надписью ошибка 403. Я пролазил точкой остановы половину классов, которые добавил в конфиг. Вот такие моменты самые бесячие. Понял только когда в точке останова увидел строчку return hasAuthority(ROLE_PREFIX + role);
А ну и естественно csrf().disabled().cors().disabled() обязательно ставить.

Спасибо вам

Есть ли какая то конкретная причина использования Date для времени, или можно спокойно использовать Local[Date/Time/DateTime]?

не хотите снять видео какой-то проект типа магазина

super-puper ждем еще видосы

Подскажите, можно ли записаться на ваши курсы?
Если можно то где?

А что делать если мы пользователю поменяли право или например удалили его? Получается что другой сервис, пока lifetime не истек, все равно прочитает токен и посчитает его корректным? Какое решение тут выбрать? Или JWT не про это и лучше тогда использовать сессии?

много что не объясняешь

А можно ещё видео как разлогиниться) а то как-то не полно вышло!)

спасибо большое! очень доступно для понимания !

У меня user может заходить куда угодно и получать корректные ответы, а вот admin нет, в /secured возвращается пустой текст, хотя user-у отдавалась строка secured-data, была у кого-нибудь схожая ситуация?

Я не понял! Уже психую! AuthController.createAuthToken(JwtRequest). В этом методе вызывается authenticationManager.authenticate и подсовываются логин и пароль. НО как этот менеджер проверят? где реализация? Чтобы аутентифицировать юзера надо найти его в БД по логину, а после сравнить хеш паролей. Где это все реализованно???

секрет любой или какой то особенный нужен?

я не пойму тут старый спринг секьюрити? сейчас он так фильтрчейн не конфигурируется

Слушайте, вопрос такой. С какой-то версии спринга поменяли принцип описания SecurityFilterChain. Теперь тот метод через .cors().disable() и .csrf().disable() не совсем валиден. Подскажите, как выкрутиться?

А в чем суть наличия и работы через Principle или UserDetails интерфейсы, если у нас есть свой класс (условный User тот же или Customer, Employee и т.д), у которого мы можем получать все необходимое для авторизации и аутентификации?
PS. это вопрос из разряда "хочу понять Principle и UserDetails(Service)".

Циклическая зависимость возникает из-за того, что UserService зависит от PasswordEncoder, а SecurityConfig зависит от UserService.
Проще всего делегировать создание Bean Definition на ioc контейнер и создать отдельную конфигурацию для PasswordEncoder, вынести PasswordEncoder-bean в отдельный класс PasswordEncoderConfiguration.

Александр, насколько я знаю antMatcher оставляет некоторые уязвимости, например, в вашем коде он обрабатывает url:"/secured", но url:"/secured/", он обрабатывать не будет. Может лучше использовать MvcMatcher, который решает эти вопросы?