Spring Boot Security – Password Encoding Using BCrypt

Spring Boot Starters & Common Configurations Thực hành

Trong bài hướng dẫn trước mình đã triển khai Spring Boot Security – Create Users Programmatically. Nhưng hiện tại mật khẩu được hiển thị rõ ràng trong bảng database. Đây có thể là 1 vấn đề bảo mật vì hacker hoặc thậm chí nhân viên có thể lạm dụng điều này, bạn có thể sử dụng Bcrypt mật khẩu bằng Online Bcrypt Generator.

Maven Project:

boot-42_3

Tiếp theo, mình sửa đổi cấu hình bảo mật để sử dụng bộ mã hóa BCrypt. Đầu tiên chúng ta tạo 1 bean kiểu BCryptPasswordEncoder. Bean này được cung cấp cho AuthenticationManagerBuilder.

package com.javainuse.config; package com.javainuse.config; import javax.sql.DataSource; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder; import org.springframework.security.config.annotation.web.builders.HttpSecurity; import org.springframework.security.config.annotation.web.builders.WebSecurity; import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity; import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter; import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder; import org.springframework.security.crypto.password.PasswordEncoder; import org.springframework.security.provisioning.JdbcUserDetailsManager; @Configuration @EnableWebSecurity public class EmployeeSecurityConfiguration extends WebSecurityConfigurerAdapter { @Autowired DataSource dataSource; @Bean public PasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(); } // Enable jdbc authentication @Autowired public void configAuthentication(AuthenticationManagerBuilder auth) throws Exception { auth.jdbcAuthentication().dataSource(dataSource).passwordEncoder(passwordEncoder()); } @Bean public JdbcUserDetailsManager jdbcUserDetailsManager() throws Exception { JdbcUserDetailsManager jdbcUserDetailsManager = new JdbcUserDetailsManager(); jdbcUserDetailsManager.setDataSource(dataSource); return jdbcUserDetailsManager; } @Override public void configure(WebSecurity web) throws Exception { web.ignoring().antMatchers("/resources/**"); } @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests().antMatchers("/register").permitAll().antMatchers("/welcome") .hasAnyRole("USER", "ADMIN").antMatchers("/getEmployees").hasAnyRole("USER", "ADMIN") .antMatchers("/addNewEmployee").hasAnyRole("ADMIN").anyRequest().authenticated().and().formLogin() .loginPage("/login").permitAll().and().logout().permitAll(); http.csrf().disable(); } // @Autowired // public void configureGlobal(AuthenticationManagerBuilder authenticationMgr) // throws Exception { // authenticationMgr.inMemoryAuthentication().withUser("admin").password("admin").authorities("ROLE_USER").and() // .withUser("javainuse").password("javainuse").authorities("ROLE_USER", // "ROLE_ADMIN"); // } }
Code language: JavaScript (javascript)

Tiếp theo trong Controller, mình sẽ autowire PasswordEncoder và sử dụng nó để tạo mật khẩu sau đó lưu vào database;

package com.javainuse.controllers; import java.util.ArrayList; import java.util.List; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.security.core.GrantedAuthority; import org.springframework.security.core.authority.SimpleGrantedAuthority; import org.springframework.security.core.userdetails.User; import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder; import org.springframework.security.provisioning.JdbcUserDetailsManager; import org.springframework.stereotype.Controller; import org.springframework.ui.Model; import org.springframework.web.bind.annotation.ModelAttribute; import org.springframework.web.bind.annotation.RequestMapping; import org.springframework.web.bind.annotation.RequestMethod; import org.springframework.web.servlet.ModelAndView; import com.javainuse.model.Employee; import com.javainuse.model.UserRegistration; import com.javainuse.service.EmployeeService; @Controller public class EmployeeController { @Autowired private EmployeeService employeeService; @Autowired private JdbcUserDetailsManager jdbcUserDetailsManager; @Autowired private BCryptPasswordEncoder bCryptPasswordEncoder; @RequestMapping("/welcome") public ModelAndView firstPage() { return new ModelAndView("welcome"); } @RequestMapping(value = "/register", method = RequestMethod.GET) public ModelAndView register() { return new ModelAndView("registration", "user", new UserRegistration()); } @RequestMapping(value = "/register", method = RequestMethod.POST) public ModelAndView processRegister(@ModelAttribute("user") UserRegistration userRegistrationObject) { List<GrantedAuthority> authorities = new ArrayList<GrantedAuthority>(); authorities.add(new SimpleGrantedAuthority("ROLE_ADMIN")); String encodedPassword = bCryptPasswordEncoder.encode(userRegistrationObject.getPassword()); User user = new User(userRegistrationObject.getUsername(), encodedPassword, authorities); jdbcUserDetailsManager.createUser(user); return new ModelAndView("redirect:/welcome"); } @RequestMapping(value = "/addNewEmployee", method = RequestMethod.GET) public ModelAndView show() { return new ModelAndView("addEmployee", "emp", new Employee()); } @RequestMapping(value = "/addNewEmployee", method = RequestMethod.POST) public ModelAndView processRequest(@ModelAttribute("emp") Employee emp) { employeeService.insertEmployee(emp); List<Employee> employees = employeeService.getAllEmployees(); ModelAndView model = new ModelAndView("getEmployees"); model.addObject("employees", employees); return model; } @RequestMapping("/getEmployees") public ModelAndView getEmployees() { List<Employee> employees = employeeService.getAllEmployees(); ModelAndView model = new ModelAndView("getEmployees"); model.addObject("employees", employees); return model; } @RequestMapping(value = "/login", method = RequestMethod.GET) public String login(Model model, String error, String logout) { if (error != null) model.addAttribute("errorMsg", "Your username and password are invalid."); if (logout != null) model.addAttribute("msg", "You have been logged out successfully."); return "login"; } }
Code language: JavaScript (javascript)

Chạy ứng dụng và truy cập localhost:8080/welcome:

boot-42_1

Nhấp vào đăng ký người dùng mới và nhập kiểm tra người dùng và kiểm tra mật khẩu

boot-42_2

Chúng ta được chuyển hướng đến trang đăng nhập, thông tin đăng nhập hiện đã được lưu trong bảng cơ sở dữ liệu và bây giờ chúng ta có thể đăng nhập bằng thông tin đăng nhập đã lưu

boot-42_4

Đi tới cơ sở dữ liệu mysql và kiểm tra chi tiết bảng users

boot-43_1

Nguồn:

https://www.javainuse.com/spring/boot_security_jdbc_authentication_bcrypt

>> Xem ngay Tài liệu Java Core giúp bạn “Nâng Cấp” kỹ năng lập trình

Leave a Reply

Your email address will not be published. Required fields are marked *