如何全面升级spring-boot-2.x及Spring-security-oauth2

原创 已于 2022-07-10 09:33:23 修改 · 2.9k 阅读 · 4
标签
#spring secutiry #security oauth2 #oauth2登录 #CVE-2022-22978
于 2022-06-17 18:37:00 首次发布
本文介绍了在将Spring Boot从1.5.x升级到2.5.14,Spring Security OAuth2从2.x升级到2.1.0.RELEASE后,遇到的登录回跳问题。问题在于UsernamePasswordAuthenticationFilter未拦截POST请求,导致登录失败。通过源码分析发现是NotOauthRequestMatcher匹配规则变化引起的。解决方案是调整NotOauthRequestMatcher的匹配规则,避免截胡自定义登录接口。

背景介绍

老的项目基于spring-boot-1.5.x、spring-security-oauth2-2.x实现的sso,在近期的安全漏洞扫描中发现如下2个漏洞:

漏洞 涉及jar 修复方案
Spring Framework JDK >= 9 远程代码执行漏洞(CVE-2022-22965) spring-core-4.3.12.RELEASE.jar 升级官方安全版本 >= 5.3.18/5.2.20
Spring Security RegexRequestMatcher 认证绕过漏洞(CVE-2022-22978) spring-security-core-4.2.3.RELEASE.jar 5.5.x 版本使用者建议升级至5.5.7及其以上;
5.6.x 版本使用者建议升级至5.6.4及其以上

然后笔者的同事将spring-boot升级到了2.5.14;将spring-security-oauth2升级到了2.1.0、RELEASE,这样一来,spring-core的版本被间接的升级到了5.3.20,spring-security-core版本变成了5.5.8(主要是spring-boot决定的)。

因为spring-boot-1.x和2.x之间的差距,同步的对项目依赖和代码做了微调。这里不再列出。不是今天的重点。

项目终于能成功启动了,但是一个致命的问题出来了,登录成功后,不能正确的回跳到redirect_uri指定的地址。这里如果你对spring-security-oauth2实现登录认证不熟悉的,可以参考

最低0.47元/天 解锁文章
【微服务】Spring Boot 版本升级2.7.18
热门推荐
开发学习工作日志
03-21 1万+
Spring Boot 版本依赖升级
SpringBoot 集成 OAuth2.0 资源服务器与授权服务器
最新发布
。。。
04-25 956
随着微服务和开放平台的兴起,OAuth2.0 已经成为 API 安全的事实标准。OAuth2.0 看似复杂,但理解了核心概念后,结合 Spring Security 的自动化配置,实现起来并不困难。上周有位读者在后台提问:“我们公司的系统要对外提供 API 接口,客户要求用 OAuth2.0 做安全认证,这该怎么实现呢?通过今天的文章,我们完整实现了 SpringBoot 集成 OAuth2.0 的授权服务器和资源服务器。登录成功后,会看到授权确认页面,点击"确认授权"后,会跳转到回调地址并显示授权码。
基于Spring Security 6的OAuth2 系列之十七 - 高级特性--设备授权码模式
代码让AI扣
02-17 1572
本章我们对设备授权码模式进行了详细的讲解。下一章我们继续讲解OAuth2的新特性。
SpringBoot2+Spring Security+Vue+ElementUI+蚂蚁金服AntV
04-10
适用人群所有的IT从业者,尤其适合快速掌握新技术,快速增长工作经验人群,对教育公平,教育公益,教育爱心公益人士提供完整的课程源代码,前端 后端点击视频观看,在右侧的【课件】中下载,所有代码都是线下班级运行很多次额,请放心购买。 课程概述该互联网实战项目是基于 Spring Boot 2SpringSecurity5+Element UI+Vue Admin Template+蚂蚁可视化AntV 等技术栈开发的项目,采用分布式,多模块,前后端分离开发。包括图形展示、权限管理、用户管理等功能。【后端技术】技术说明Spring Boot2MVC框架 开发的一站式解决方案Spring Security5 认证和授权框架MyBatisPlus3.3.1 基于 MyBatis 框架的快速研发框架MyBatisCode工具生成 MyBatis 相关代码Jackson提供了处理 JSON 数据的工具Lombok简化对象封装工具 Druid   数据库连接池 【前端技术】Vue       互联网最火的前端框架Vue Router路由框架Vuex全局状态管理框架Axios前端 HTTP 框架Element UI前端 UI 框架Vue Element Admin前端模板Antv  蚂蚁金服可视化技术,阿里巴巴可视化技术,天猫,淘宝,支付宝,花呗均使用AntV【开发工具】IntelliJ IDEA开发 IDESQLyog数据库连接客户端PostmanHTTP 请求工具【开发环境】工具版本JDK1.8MySQL5.7
SpringSecurity最新学习,spring-security-oauth2-authorization-server【spring-security-oauth2升级
小道仙的后宫
07-03 2429
默认获取token是在 header中,还要拼接一个前缀 Bearer, 假如想改为从 url中获取 access_token, 只需要重写BearerTokenResolver// URI 中 Token 的参数名@Override// 从 URI 参数中获取 Token= null &&!上面的流程完成了授权和鉴权,但我们拿不到有用的参数,何为有用的参数比如: 用户的 userId不管是Opaque还是Jwt都可以在里面设置一些我们自己的参数——把参数放到 【claims】Opaque。
SpringBoot3集成Oauth2.1——1(/oauth2/token方法的升级踩坑)
歪桃的博客
05-09 2092
备注:本文适用于你在SpringBoot2.7以前集成过oauth2,并且项目已经正式投入使用的情况,否则,我建议你直接学习或者找资料学习最新的oauth2集成,就不要纠结于老版本的oauth2。原因:Spring Security 5.x和Spring Security6.x,我个人认为,你可以理解为两套不同的框架,他们仅仅只是名字差不多而已,升级难度在于,旧系统的登录认证已经在使用了,尤其是已经介入很多子系统时,这时候需升级需要适配原来的认证,不然会导致子系统需要重新单点登录
基于Spring Security 6的OAuth2 系列之六 - 授权服务器--自定义授权页面
代码让AI扣
01-23 1745
之所以想写这一系列,是因为之前工作过程中使用Spring Security OAuth2搭建了网关和授权服务器,但当时基于spring-boot 2.3.x,其默认的Spring Security是5.3.x。之后新项目升级到了spring-boot 3.3.0,结果一看Spring Security升级为6.3.0。无论是Spring Security的风格和以及OAuth2都做了较大改动,里面甚至将授权服务器模块都移除了,导致在配置同样功能时,花费了些时间研究新版本的底层原理,这里将一些学习经验分享给
Spring Security OAuth2.1避坑指南:从版本差异到稳定集成的3个关键策略
weixin_42525582的博客
04-16 322
本文深入解析Spring Security OAuth2.1在SpringBoot2.x与3.x版本间的兼容性问题,提供3个关键策略实现稳定集成。涵盖版本差异本质、依赖管理最佳实践及配置兼容性封装层设计,帮助开发者规避常见陷阱,确保授权服务平稳运行。特别针对OAuth2.1与SpringBoot3的集成难题给出实战解决方案。
spring-security-core为例,升级spring-boot-dependencies单独包
09-20 6257
要求: 漏洞扫描需要将 Spring Security 升级到 5.7.12、5.8.11、6.0.10、6.1.8、6.2.3 及以上版本。1 pom文件properties中增加新的Security版本号标签spring-security.version和版本号。2spring-boot-dependencies前引入spring-security-core包。
Spring Boot 升级所遇到的坑们s 1.5.x升级2.1.x
04-08 6197
阅读目录 Spring Boot 版本升级 Spring Cloud版本升级(若没有使用到Spring Cloud,可以忽略这段) Zuul升级后在maven中找不到依赖的报错 SpringBoot升级后ErrorController 类的package包位置变化导致报错 JPA升级后 save方法报错: JPA升级后 findOne方法报错: JPA升级后 delete方法报错: ...
SpringSecurity OAuth2.0-第3章: spring mvc集成spring security
健康平安的活着的专栏
07-31 4148
spring security spring security是一个封装比较完整安全的认证授权框架。是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架,在spring boot项目中加入spring security更是十分简单,使用Spring Security 减少了为企业系统安全控制编写大量重复代码的工作。 ...
Spring Framework 的 spring-core 和 Spring Security 兼容版本
lanwp5302的博客
05-21 1726
Spring Security 4.x 仍然兼容 Spring Framework 4.x,但 Spring Security 5.x 需要 Spring 5+。和 Spring Security 的版本需要保持兼容性,尤其是在旧版本(如 Spring 4.x)中。Spring Framework 的。如果需要更精确的版本,建议查阅。
springBoot2.x升级到3.x后Oauth 客户端模式兼容以前代码处理
weixin_42930944的博客
03-13 2273
这样就能兼容spring-security-oauth2的相关配置了,注意client_id,clientSecret需要使用以前的配置(目前代码是通过读库处理)由于以前使用spring-security-oauth2时指定了获取token的访问地址为/access-token。升级springboot3后已经无法使用spring-security-oauth2,需要使用。原springboot使用的spring-security-oauth2
oauth 2.0 升级springboot 版本至2.x
yy1209357299的博客
11-10 1314
1、There is no PasswordEncoder mapped for the id “null“ 先重写PasswordEncoder public class CustomPasswordEncoder implements PasswordEncoder { @Override public String encode(CharSequence charSequence){ return charSequence.toString(); }
springboot从坑开始
weixin_41775152的博客
04-14 566
工欲善其事必先利其器,创建springboot前必备条件必须准备好。 jdk 1.6或更高,本人使用jdk1.8 maven3.0 或更高 IDEA 用过的都知道,真是美味啊。 关于jdk与maven版本与springboot版本匹配,特引用阿云兜兜的博文Springboot 版本+ jdk 版本 + Maven 版本的匹配。 配置maven镜像-阿里云镜像,进入maven文件夹中的co...
SpringBoot版本升级 2.4.5--2.7.9 遇到的问题
taoge712的博客
03-18 726
使用的Springfox使用的路径匹配是基于AntPathMatcher的,而Spring Boot 2.6.X开始默认使用的是PathPatternMatcher。这是因为新版本SpringBoot需要指定所使用的缓存管理器。yml添加路径匹配规则。yml添加路径匹配规则。
Spring Boot 升级问题汇总与解决方案
2301_79331328的博客
09-08 1405
然而,在应用程序的生命周期中,可能会遇到需要升级Spring Boot版本的情况。在升级Spring Boot版本时,可能会遇到一些兼容性、依赖冲突、配置变化、自定义代码调整以及测试用例失败等问题。新版本可能会引入新的配置属性或修改现有的配置属性,导致应用程序的配置文件需要相应地进行修改。这是因为新版本可能会引入新的依赖或更新现有的依赖,与应用程序中已有的依赖产生冲突。在升级Spring Boot版本时,可能需要对自定义代码进行调整,以适应新版本的API或框架变化。五、问题4:自定义代码的调整。
Spring Boot框架升级指南
zj_yzy的博客
05-15 3236
因为安全加固需要,要将业务使用的框架从升级2.7.0版本,升级过程中遇到了很多坑,特此记录,供后面遇到的同学参考。
记一次项目的SpringBoot升级过程
qq_45470799的博客
10-01 2862
springboot版本升级遇到的问题以及解决方案
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值