java - secure - Spring Security 5: No hay un PasswordEncoder asignado para el ID "null"

spring security oauth2 example mkyong (2)

Estoy migrando de Spring Boot 1.4.9 a Spring Boot 2.0 y también a Spring Security 5 y estoy tratando de autenticarme a través de OAuth 2. Pero recibo este error:

java.lang.IllegalArgumentException: No hay un PasswordEncoder asignado para el id "null

De la documentación de Spring Security 5 , llego a saber que el formato de almacenamiento para la contraseña ha cambiado.

En mi código actual, he creado mi codificador de contraseña como:

@Bean public BCryptPasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(); }

Sin embargo me estaba dando por debajo del error:

La contraseña codificada no se parece a BCrypt

Así que actualizo el codificador según el documento Spring Security 5 para:

@Bean public PasswordEncoder passwordEncoder() { return PasswordEncoderFactories.createDelegatingPasswordEncoder(); }

Ahora si puedo ver la contraseña en la base de datos se está almacenando como

{bcrypt}$2a$10$LoV/3z36G86x6Gn101aekuz3q9d7yfBp3jFn7dzNN/AL5630FyUQ

Con ese primer error desaparecido y ahora cuando intento realizar la autenticación, obtengo un error inferior al siguiente:

java.lang.IllegalArgumentException: No hay un PasswordEncoder asignado para el id "null

Para resolver este problema, probé todas las siguientes preguntas de Stackoverflow:

Aquí hay una pregunta similar a la mía pero no contestada:

Spring Security 5 - Migración de contraseña

NOTA: Ya estoy almacenando la contraseña cifrada en la base de datos, por lo que no es necesario codificar nuevamente en UserDetailsService .

En la documentación de seguridad de Spring 5 sugirieron que puedes manejar esta excepción usando:

DelegatingPasswordEncoder.setDefaultPasswordEncoderForMatches (PasswordEncoder)

Si esta es la solución, ¿dónde debería ponerla? He intentado ponerlo en el bean PasswordEncoder como abajo, pero no funcionó:

DelegatingPasswordEncoder def = new DelegatingPasswordEncoder(idForEncode, encoders); def.setDefaultPasswordEncoderForMatches(passwordEncoder);

Clase MyWebSecurity

@Configuration @EnableWebSecurity public class SecurityConfiguration extends WebSecurityConfigurerAdapter { @Autowired private UserDetailsService userDetailsService; @Bean public PasswordEncoder passwordEncoder() { return PasswordEncoderFactories.createDelegatingPasswordEncoder(); } @Autowired public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception { auth.userDetailsService(userDetailsService).passwordEncoder(passwordEncoder()); } @Override public void configure(WebSecurity web) throws Exception { web .ignoring() .antMatchers(HttpMethod.OPTIONS) .antMatchers("/api/user/add"); } @Override @Bean public AuthenticationManager authenticationManagerBean() throws Exception { return super.authenticationManagerBean(); } }

Configuración de MyOauth2

@Configuration @EnableAuthorizationServer protected static class AuthorizationServerConfiguration extends AuthorizationServerConfigurerAdapter { @Bean public TokenStore tokenStore() { return new InMemoryTokenStore(); } @Autowired @Qualifier("authenticationManagerBean") private AuthenticationManager authenticationManager; @Bean public TokenEnhancer tokenEnhancer() { return new CustomTokenEnhancer(); } @Bean public DefaultAccessTokenConverter accessTokenConverter() { return new DefaultAccessTokenConverter(); } @Override public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception { endpoints .tokenStore(tokenStore()) .tokenEnhancer(tokenEnhancer()) .accessTokenConverter(accessTokenConverter()) .authenticationManager(authenticationManager); } @Override public void configure(ClientDetailsServiceConfigurer clients) throws Exception { clients .inMemory() .withClient("test") .scopes("read", "write") .authorities(Roles.ADMIN.name(), Roles.USER.name()) .authorizedGrantTypes("password", "refresh_token") .secret("secret") .accessTokenValiditySeconds(1800); } }

Por favor guíame con este tema. He pasado horas para arreglar esto pero no puedo arreglarlo.

Cuando está configurando ClientDetailsServiceConfigurer , también debe aplicar el nuevo formato de almacenamiento de contraseña al secreto del cliente.

.secret("{noop}secret")

Para cualquier persona que enfrente el mismo problema y no necesite una solución segura, principalmente para pruebas y depuración, los usuarios de la memoria aún pueden configurarse.

Esto es solo para jugar - no hay un escenario del mundo real.

El enfoque utilizado a continuación está en desuso.

Aquí es donde lo obtuve de:

Dentro de su WebSecurityConfigurerAdapter agregue lo siguiente:

@SuppressWarnings("deprecation") @Bean public static NoOpPasswordEncoder passwordEncoder() { return (NoOpPasswordEncoder) NoOpPasswordEncoder.getInstance(); }

Aquí, obviamente, las contraseñas están hasheadas, pero aún están disponibles en la memoria.

Por supuesto, también podría usar un PasswordEncoder real como BCryptPasswordEncoder y prefijar la contraseña con el id correcto:

// Create an encoder with strength 16 BCryptPasswordEncoder encoder = new BCryptPasswordEncoder(16); String result = encoder.encode("myPassword"); assertTrue(encoder.matches("myPassword", result));