OAuth2とJWTによるSpring Security：エンコードされたパスワードがBCryptのように見えない

Question

JWTでSpring AuthorizationServerを実装しようとしています。 BCryptを追加するまで、JWTトークンを生成してログインすることができました。現在、ログインしようとすると、APIから「無効な資格情報」が表示されます。

OAuth2Configuration.Java

@Configuration @EnableAuthorizationServer public class OAuth2Configuration extends AuthorizationServerConfigurerAdapter { private DataSource dataSource; private AuthenticationManager authenticationManager; private BCryptPasswordEncoder passwordEncoder; public OAuth2Configuration(AuthenticationManager authenticationManager) { this.authenticationManager = authenticationManager; this.dataSource = new Jdbc3PoolingDataSource(); this.passwordEncoder = new BCryptPasswordEncoder(); } @Override public void configure(AuthorizationServerSecurityConfigurer security) throws Exception { security.passwordEncoder(passwordEncoder); } @Override public void configure(ClientDetailsServiceConfigurer clients) throws Exception { clients.inMemory() .withClient("api-client") .secret("verysecretivesecret") .scopes("READ", "WRITE", "DELETE") .authorizedGrantTypes("implicit", "refresh_tokens", "password", "authorization_code"); } @Override public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception { endpoints.authorizationCodeServices(authorizationCodeServices()) .tokenStore(tokenStore()) .tokenEnhancer(jwtTokenEnhancer()) .authenticationManager(authenticationManager); } @Bean public TokenStore tokenStore() { return new JwtTokenStore(jwtTokenEnhancer()); } @Bean protected JwtAccessTokenConverter jwtTokenEnhancer() { return new JwtAccessTokenConverter(); } @Bean protected AuthorizationCodeServices authorizationCodeServices() { return new JdbcAuthorizationCodeServices(dataSource); } }

WebSecurityConfig.Java

@Configuration class WebSecurityConfig extends WebSecurityConfigurerAdapter { private AccountDetailsService accountDetailsService; private BCryptPasswordEncoder passwordEncoder; private DataSource dataSource; WebSecurityConfig(AccountDetailsService accountDetailsService) { this.accountDetailsService = accountDetailsService; this.dataSource = new Jdbc3PoolingDataSource(); this.passwordEncoder = new BCryptPasswordEncoder(); } @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth.userDetailsService(accountDetailsService).passwordEncoder(passwordEncoder).and().jdbcAuthentication().dataSource(dataSource); } }

SeedData.Java

@Override public void run(String... args) throws Exception { Stream.of("alan,test").map(x -> x.split(",")) .forEach(Tuple -> { Account user = new Account(); user.setUsername(Tuple[0]); user.setPassword(new BCryptPasswordEncoder().encode(Tuple[1])); user.setEmail(Tuple[0]); user.setRoles(Collections.singletonList(role)); user.setActive(true); this.accountRepository.save(user); }); }

ご協力いただきありがとうございます。

Chirdeep Tomar · Accepted Answer

それを機能させるには、次の変更を加える必要がありました。他の誰かがそれを必要とする場合。

@Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth.userDetailsService(accountDetailsService) .passwordEncoder(passwordEncoder) .and() .authenticationProvider(authenticationProvider()) .jdbcAuthentication() .dataSource(dataSource); } @Bean public DaoAuthenticationProvider authenticationProvider() { DaoAuthenticationProvider authenticationProvider = new DaoAuthenticationProvider(); authenticationProvider.setUserDetailsService(accountDetailsService); authenticationProvider.setPasswordEncoder(passwordEncoder); return authenticationProvider; }

David Steiman · Answer

これは、BCryptをWebSecurityとAuthorizationServerの両方に適用したためです。そのため、ストアにBCryptで暗号化されたユーザーパスワードだけでなく、OAuth2のBCryptで暗号化されたクライアントシークレットも保持する必要があります。これはあなたがアプローチしようとしたことではなかったと思います。

コードを機能させるには、次のいずれかを削除します

 @Override public void configure(AuthorizationServerSecurityConfigurer security) throws Exception { security.passwordEncoder(passwordEncoder); }

または「verysecretivesecret」を手動で暗号化する