Spring Boot 2.5.0(Spring Security 5.5.0-M2)でremoteUserの値が変わった
1 min read
HttpServletRequest#getRemoteUser() をログ出力(Tomcatの %u)しているのですが、Spring Boot 2.5.0 から返ってくる値が変わったようです。 どの変更が影響しているのか調べたとこ
LINEログインを試してみる(Spring Boot 2.4.5/Spring Security 5.4.6)
3 min read
はじめに LINEログイン機能を試してみる – 発火後忘失 で、 Spring Boot 2.1.7 (Spring Security 5.1.6) を利用してLINEログインを行ってみました。 本ドキュメントは、このコード
ControllerでUnauthorizedExceptionを投げると401でなく403になる
1 min read
Authentication handling in Spring boot 2.x with WebSecurityConfigurerAdapter - Stack Overflow Http403ForbiddenEntryPoint がデフォルトで設定されているため、 ExceptionTranslationFilter において AuthenticationException のサブクラスは全て 403 になっている模様。 認証通った上でunauthori
Spring SecurityのOAuth 2.0 Login でログインしても UserInfo Endpoint にアクセスしてくれない
1 min read
Spring Security OAuth 2.0 Login を利用してログインしたのですが、通常ログイン後 UserInfo Endpoint へアクセスしてくれるはずなのにこの処理がスキップされてしまうような事象に出会いま
claimとscopeを追加して取得してみる
2 min read
はじめに Keycloak上で新しいclaimと、それを取得できる新しいscopeを定義し、Spring Securityを使って参照してみます
Spring Security: OIDC の redirect_uri を変更する
1 min read
はじめに KeycloakをIdPにしてSpring Security OAuth 2.0 Login/Client を試してみる で作成したコードに対して、 カスタム redirect_uri の設定を行ってみます。 今回のコード
Spring Security OAuth 2.0 Login を自動テストする
2 min read
KeycloakをIdPにしてSpring Security OAuth 2.0 Login/Client を試してみる で作成したプログラムの自動テスト方法です。 今回のコードも前回と同じく次のディレ
KeycloakをIdPにしてSpring Security OAuth 2.0 Login/Client を試してみる
5 min read
はじめに Spring Boot で Spring Security OAuth 2.0 Login / Client を利用する手順をまとめます。 また、認可サーバ(IdP)にはローカルで立てたKeycloakを用いますのでそちらの
Spring Security OAuth 2.0 Client の auto-configuration
1 min read
OAuth2ClientAutoConfiguration 上記のクラスが Import しているもの(など): OAuth2ClientRegistrationRepositoryConfiguration ClientRegistrationRepository bean 定義。 OAuth2ClientProperties(spring.security.oauth
Spring Security から認可サーバサポートが無くなる、というのは取り敢えず見直されています
1 min read
世の中に認可サーバー製品がたくさんあるので、Spring Securityではサポートしないことを決定しました — Spring Security OAuth2はあと数年でサ
Spring SecurityのOAuth2.0関連の歴史を調査し実装してみた
4 min read
Qiita に昔(2019年中頃)書いていた資料を転記し忘れていたので構成を見直してアップロードし直します。 2020年現在の状況はまた更新されています
Spring Security OAuth 2.0 Client(OAuth 2.0 Login)でトークンの管理をしているのはOAuth2AuthorizedClientService
1 min read
私も今回の質問(本文末参照)を見たとき少しの間勘違いしてしまったのですが、OAuth2.0のクライアントがどこで各リソースオーナーのトークン
So many UserDetailsService samples considered harmful for beginners
17 min read
やっぱり一発目の Spring Security やってみたで UserDetailsService 使うのは止めようず。So many UserDetailsService samples considered harmful for beginners. はじめに ちょっと待って!その UserDetails、本当に必要ですか
UserDetailsServiceは誤解されている
2 min read
サンプルコード等だけを見ていると UserDetailsService を利用することがSpring Securityの唯一の認証処理実現方法だと誤解しがちですが、 UserDetailsService はむしろユーテ
Spring Bootは、セキュリティフィルタBeanを作っている分だけ、無料で認証できちまうんだ
1 min read
要約 78.10 Add a Servlet, Filter, or Listener to an Application曰く。 any Servlet or Filter beans are registered with the servlet container automatically. Spring Security 使った自前の認証フィルタを @Component 付けて作ったりなんかした際に意図し
spring-boot-starter-security を入れたら認証画面が!
1 min read
WebSecurityConfigurerAdapter#configure(HttpSecurity) で form 認証を有効化しているのでこれをディスる。 WebSecurityConfigurerAdapterを継承した Spring コンポーネントをスキャン対
ちょっと待って!そのUserDetails、本当に必要ですか?
2 min read
概要 Spring Boot の認証を実装してみた系のサンプルでよく UserDetails や UserDetailsService が用いられているが、必然性が不明なものがほとんどである。 (おそらく当の実装者も理解してい