Jaka jest nazwa użytkownika i hasło podczas uruchamiania Spring Boot z Tomcat?

147

Kiedy wdrażam moją aplikację Spring za pomocą Spring Boot i localhost:8080mam do niej dostęp, muszę się uwierzytelnić, ale jaka jest nazwa użytkownika i hasło lub jak mogę je ustawić? Próbowałem dodać to do mojego tomcat-userspliku, ale nie zadziałało:

<role rolename="manager-gui"/>
    <user username="admin" password="admin" roles="manager-gui"/>

To jest punkt wyjścia wniosku:

@SpringBootApplication
public class Application extends SpringBootServletInitializer {

    public static void main(String[] args) {
        SpringApplication.run(Application.class, args);
    }

    @Override
    protected SpringApplicationBuilder configure(SpringApplicationBuilder application) {
        return application.sources(Application.class);
    }
}

A to jest zależność Tomcat:

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-tomcat</artifactId>
    <scope>provided</scope>
</dependency>

Jak mogę się uwierzytelnić localhost:8080?

Gustavo
źródło
Konfigurując zabezpieczenia rozruchu sprężynowego .
Elliott Frisch
Musisz uwierzytelnić = chcesz mieć uwierzytelnienie? Ponieważ w spring-boot-starter-tomcat / -web nie ma uwierzytelniania ani nazwy użytkownika i hasła. Jeśli widzisz jakąś, to prawdopodobnie inna aplikacja na: 8080
zapl
2
Jest drukowany na konsoli w momencie premiery.
chrylis

Odpowiedzi:

297

Myślę, że masz Spring Security na swojej ścieżce klasowej, a następnie Spring Security jest automatycznie konfigurowany z domyślnym użytkownikiem i wygenerowanym hasłem

Sprawdź w pliku pom.xml:

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

Jeśli masz to w swoim pom, powinieneś mieć komunikat konsoli dziennika podobny do tego:

Using default security password: ce6c3d39-8f20-4a41-8e01-803166bb99b6

W oknie przeglądarki zaimportujesz użytkownika useri hasło wydrukowane w konsoli.

Lub jeśli chcesz skonfigurować zabezpieczenia wiosny, możesz zapoznać się z przykładem zabezpieczenia Spring Boot

Jest to wyjaśnione w dokumentacji Spring Boot Reference w sekcji Security i wskazuje:

The default AuthenticationManager has a single user (‘user username and random password, printed at `INFO` level when the application starts up)

Using default security password: 78fa095d-3f4c-48b1-ad50-e24c31d5cf35
Marcel Dias
źródło
23
Jeśli dostroisz konfigurację logowania, upewnij się, że org.springframework.boot.autoconfigure.securitykategoria jest ustawiona na rejestrowanie komunikatów INFO, w przeciwnym razie domyślne hasło nie zostanie wydrukowane.
Zeeshan,
piękny. wszystko było na coś domyślne. miecz obosieczny.
Sachin Sharma
1
w moim przypadku (Spring boot vs: 2.0.4) konsola to „Używanie wygenerowanego hasła bezpieczeństwa: eb7a9e02-b9cc-484d-9dec-a295b96d94ee”
Amir
Mnie też tak było. Miałem właśnie zacząć zadawać o to pytanie.
Dmitriy Ryabin
@Marcel Dodałem zabezpieczenia sprężynowe w ścieżce zajęć i widzę wygenerowane hasło, ale kiedy używam podstawowego uwierzytelniania przez listonosza jako nazwa użytkownika jako użytkownik i hasło jako wygenerowane hasło. Jestem nieautoryzowany.
Lokesh Pandey
50

Jeśli spring-securitypliki jar zostaną dodane w ścieżce klas, a także jeśli będzie to spring-bootaplikacja, wszystkie punkty końcowe http będą zabezpieczone domyślną klasą konfiguracji zabezpieczeńSecurityAutoConfiguration

Powoduje to wyskakujące okienko przeglądarki z pytaniem o poświadczenia.

Hasło zmienia się przy każdym ponownym uruchomieniu aplikacji i można je znaleźć w konsoli.

Using default security password: 78fa095d-3f4c-48b1-ad50-e24c31d5cf35

Aby dodać własną warstwę zabezpieczeń aplikacji przed wartościami domyślnymi,

@EnableWebSecurity
public class SecurityConfig {

    @Autowired
    public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
        auth
            .inMemoryAuthentication()
                .withUser("user").password("password").roles("USER");
    }
}

lub jeśli chcesz tylko zmienić hasło, możesz zastąpić domyślne,

application.xml

security.user.password = nowe_hasło

lub

application.properties

spring.security.user.name=<>
spring.security.user.password=<>
Vino
źródło
Właśnie dodałem spring.security.user.name = <> spring.security.user.password = <> do pliku application.properties. Nic innego nie zrobiłem. Nadal działało.
Barani r
Masz błędną nazwę swojej nieruchomości w przykładzie xml To spring.security.user.password = xxx Nie jestem pewien co do formatowania XML, ponieważ używamy plików
.yml
Korzystając z opcji inMemoryAuthenticationyou, wolisz prefiksować swoje hasło przed {noop}, gdy pojawi się błąd:There is no PasswordEncoder mapped for the id “null”
Martin van Wingerden,
dodaj to w klasie SecurityConfig @Bean public PasswordEncoder passwordEncoder () {return NoOpPasswordEncoder.getInstance (); } Można to naprawić Nie ma mapowanego kodu PasswordEncoder dla identyfikatora „null”
apss1943
9

Podczas zastępowania

spring.security.user.name=
spring.security.user.password=

w application.properties , nie trzeba "dookoła "username", wystarczy użyć username. Kolejna kwestia, zamiast przechowywać surowe hasło , zaszyfruj je za pomocą bcrypt / scrypt i zapisz tak jak

spring.security.user.password={bcrypt}encryptedPassword
Jemshit Iskenderov
źródło
3

Jeśli nie możesz znaleźć hasła na podstawie innych odpowiedzi, które wskazują na hasło domyślne, treść komunikatu dziennika w ostatnich wersjach zmieniła się na

Using generated security password: <some UUID>
gdecaso
źródło
2

Możesz również poprosić użytkownika o poświadczenia i ustawić je dynamicznie po uruchomieniu serwera (bardzo skuteczne, gdy trzeba opublikować rozwiązanie w środowisku klienta):

@EnableWebSecurity
public class SecurityConfig {

    private static final Logger log = LogManager.getLogger();

    @Autowired
    public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
        log.info("Setting in-memory security using the user input...");

        Scanner scanner = new Scanner(System.in);
        String inputUser = null;
        String inputPassword = null;
        System.out.println("\nPlease set the admin credentials for this web application");
        while (true) {
            System.out.print("user: ");
            inputUser = scanner.nextLine();
            System.out.print("password: ");
            inputPassword = scanner.nextLine();
            System.out.print("confirm password: ");
            String inputPasswordConfirm = scanner.nextLine();

            if (inputUser.isEmpty()) {
                System.out.println("Error: user must be set - please try again");
            } else if (inputPassword.isEmpty()) {
                System.out.println("Error: password must be set - please try again");
            } else if (!inputPassword.equals(inputPasswordConfirm)) {
                System.out.println("Error: password and password confirm do not match - please try again");
            } else {
                log.info("Setting the in-memory security using the provided credentials...");
                break;
            }
            System.out.println("");
        }
        scanner.close();

        if (inputUser != null && inputPassword != null) {
             auth.inMemoryAuthentication()
                .withUser(inputUser)
                .password(inputPassword)
                .roles("USER");
        }
    }
}

(Maj 2018) Aktualizacja - to będzie działać na spring boot 2.x:

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    private static final Logger log = LogManager.getLogger();

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        // Note: 
        // Use this to enable the tomcat basic authentication (tomcat popup rather than spring login page)
        // Note that the CSRf token is disabled for all requests
        log.info("Disabling CSRF, enabling basic authentication...");
        http
        .authorizeRequests()
            .antMatchers("/**").authenticated() // These urls are allowed by any authenticated user
        .and()
            .httpBasic();
        http.csrf().disable();
    }

    @Bean
    public UserDetailsService userDetailsService() {
        log.info("Setting in-memory security using the user input...");

        String username = null;
        String password = null;

        System.out.println("\nPlease set the admin credentials for this web application (will be required when browsing to the web application)");
        Console console = System.console();

        // Read the credentials from the user console: 
        // Note: 
        // Console supports password masking, but is not supported in IDEs such as eclipse; 
        // thus if in IDE (where console == null) use scanner instead:
        if (console == null) {
            // Use scanner:
            Scanner scanner = new Scanner(System.in);
            while (true) {
                System.out.print("Username: ");
                username = scanner.nextLine();
                System.out.print("Password: ");
                password = scanner.nextLine();
                System.out.print("Confirm Password: ");
                String inputPasswordConfirm = scanner.nextLine();

                if (username.isEmpty()) {
                    System.out.println("Error: user must be set - please try again");
                } else if (password.isEmpty()) {
                    System.out.println("Error: password must be set - please try again");
                } else if (!password.equals(inputPasswordConfirm)) {
                    System.out.println("Error: password and password confirm do not match - please try again");
                } else {
                    log.info("Setting the in-memory security using the provided credentials...");
                    break;
                }
                System.out.println("");
            }
            scanner.close();
        } else {
            // Use Console
            while (true) {
                username = console.readLine("Username: ");
                char[] passwordChars = console.readPassword("Password: ");
                password = String.valueOf(passwordChars);
                char[] passwordConfirmChars = console.readPassword("Confirm Password: ");
                String passwordConfirm = String.valueOf(passwordConfirmChars);

                if (username.isEmpty()) {
                    System.out.println("Error: Username must be set - please try again");
                } else if (password.isEmpty()) {
                    System.out.println("Error: Password must be set - please try again");
                } else if (!password.equals(passwordConfirm)) {
                    System.out.println("Error: Password and Password Confirm do not match - please try again");
                } else {
                    log.info("Setting the in-memory security using the provided credentials...");
                    break;
                }
                System.out.println("");
            }
        }

        // Set the inMemoryAuthentication object with the given credentials:
        InMemoryUserDetailsManager manager = new InMemoryUserDetailsManager();
        if (username != null && password != null) {
            String encodedPassword = passwordEncoder().encode(password);
            manager.createUser(User.withUsername(username).password(encodedPassword).roles("USER").build());
        }
        return manager;
    }

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }
}
Naor Bar
źródło
2

Dodatek do zaakceptowanej odpowiedzi -

Jeśli hasło nie jest widoczne w dziennikach, włącz dzienniki „org.springframework.boot.autoconfigure.security”.

Jeśli dostosujesz konfigurację rejestrowania, upewnij się, że kategoria org.springframework.boot.autoconfigure.security jest ustawiona na rejestrowanie komunikatów INFO, w przeciwnym razie domyślne hasło nie zostanie wydrukowane.

https://docs.spring.io/spring-boot/docs/1.4.0.RELEASE/reference/htmlsingle/#boot-features-security

Ninad Pingale
źródło
0

Kiedy zacząłem uczyć się Spring Security, zastąpiłem metodę userDetailsService (), jak w poniższym fragmencie kodu:

@Configuration
@EnableWebSecurity
public class ApplicationSecurityConfiguration extends WebSecurityConfigurerAdapter{

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
                .csrf().disable()
                .authorizeRequests()
                .antMatchers("/", "/index").permitAll()
                .anyRequest().authenticated()
                .and()
                .httpBasic();
    }

    @Override
    @Bean
    public UserDetailsService userDetailsService() {
        List<UserDetails> users= new ArrayList<UserDetails>();
        users.add(User.withDefaultPasswordEncoder().username("admin").password("nimda").roles("USER","ADMIN").build());
        users.add(User.withDefaultPasswordEncoder().username("Spring").password("Security").roles("USER").build());
        return new InMemoryUserDetailsManager(users);
    }
}

Możemy więc zalogować się do aplikacji za pomocą wyżej wymienionych danych. (np. admin / nimda)

Uwaga: tego nie powinniśmy używać w produkcji.

VicXj
źródło
0

Spróbuj pobrać nazwę użytkownika i hasło z poniższego fragmentu kodu w swoim projekcie i zaloguj się i miej nadzieję, że to zadziała.

@Override
    @Bean
    public UserDetailsService userDetailsService() {
        List<UserDetails> users= new ArrayList<UserDetails>();
        users.add(User.withDefaultPasswordEncoder().username("admin").password("admin").roles("USER","ADMIN").build());
        users.add(User.withDefaultPasswordEncoder().username("spring").password("spring").roles("USER").build());
        return new UserDetailsManager(users);
    }
Manas Ranjan Mahapatra
źródło