Почему не происходит авторизация в Spring security?

Question

[EgorSvinarev]

Доброго времени суток. Пишу пет-проект с использованием семейства фреймворков Spring. Наткнулся на следующую проблему при конфигурировании безопасности приложения через Spring Security: при отправке формы с шаблона, написанного на Thymeleaf, происходит редирект на страницу авторизации, указанную в конфиге, будто аутентификация и не производилась. Процесс аутентификации строится на основе учетных данных из бд.
Вот сам

конфиг

:

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

	@Bean
	public BCryptPasswordEncoder getPasswordEncoder() {
		return new BCryptPasswordEncoder();
	}
	
	@Autowired
	public AuthenticationProvider authProvider;
	
    @Override
    protected void configure(HttpSecurity security) throws Exception
    {
    	security.csrf().disable()
    		.authorizeRequests()
    			.antMatchers("/").permitAll()
    			.antMatchers("/login").permitAll()
    			.antMatchers("/register").permitAll()
    			.antMatchers("/account").hasAnyAuthority("ADMIN", "STUDENT", "TEACHER")
    			.antMatchers("/scripts/**", "/css/**", "/img/**", "/fonts/**").permitAll()
    		.anyRequest().authenticated()
    		.and()
    			.formLogin()
    			.loginPage("/auth")
    			.defaultSuccessUrl("/account")
    			.permitAll()
    		.and()
    			.logout()
    			.permitAll()
    			.logoutSuccessUrl("/");
    			
    }
    
    @Autowired
    public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
    	auth.authenticationProvider(authProvider);
    }
    
}

Прикладываю также реализация интерфейса

AuthProvider

@Component
public class AuthProviderAdapter implements AuthenticationProvider {

	@Autowired
	private BCryptPasswordEncoder encoder;
	
	@Autowired
	private UserDetailsService service;
	
	@Override
	public Authentication authenticate(Authentication authentication) throws AuthenticationException {
		String username = authentication.getName();
		String password = authentication.getCredentials().toString();
		
		System.out.println(username);
		System.out.println(password);
		
		UserDetails u = service.loadUserByUsername(username);
	
		if (!encoder.matches(u.getPassword(), password)) {
			throw new BadCredentialsException("Invalid credentials.");
		}
		
		return new UsernamePasswordAuthenticationToken(username, password, u.getAuthorities());
	}

	@Override
	public boolean supports(Class<?> authentication) {
		return authentication.equals(UsernamePasswordAuthenticationToken.class);
	}	
}

форму на thymeleaf

<form action="@{/login}" class="form_" id="auth__form" method="post">
	<div class="auth__fields">
		<input type="text" class="field" placeholder="Логин" name="login"><br>
		<input type="password" class="field" placeholder="Пароль" name="password">
	</div>
		<div class="auth__error" th:if="${errorCode}">
			<span th:text="${info}"></span>
		</div>
		<div class="auth__links">
			<a href="#toregister" class="link">Зарегистрироваться</a><br>
			<a href="#tochangepassword" class="link">Вы забыли пароль?</a><br>
		</div>
</form>

и

контроллеры

@Controller
@RequestMapping(value = "/login")
public class LoginController {

	@PostMapping
	public void login() {
		System.out.println("YES");
	}
	
}

@Controller
@RequestMapping(value = "/auth")
public class AuthPageController {

	@GetMapping
	public String getView() {
		return "auth";
	}
	
	@PostMapping
	public void abc() {
		System.out.println(1);
	}
	
}

Мне нужно, чтобы данные, указанные в форме передавались в AuthProvider, а на основе объекта Authentication возвращаемого из метода authenticate, производилась авторизация. Ответ пытался найти в книге Spring Security in Action, но, к сожалению, там представлен пример только со стандартной login-page, поставляемой с Spring security, и in-memory-authentication.
Буду рад любым советам и ссылкам.

Comments

[сергей кузьмин]

вот работающий проект https://github.com/yevheniyJ/springboot

Answer 1

[Орхан Гасанлы]

Добрый день.
Сделаю смелое предположение:

Вот, тут вы разрешили отправлять запросы на url/login

.antMatchers("/").permitAll()
    			.antMatchers("/login").permitAll()

А тут говорите, что страницей аутентификации является /auth
.loginPage("/auth")

В форме вы отправляете запрос на action="@{/auth}" А отправлять запрос на указанный урл вам просто не разрешено и вы получите 403 permission denied.
Добавьте в конфиг:
.antMatchers("/auth").permitAll()

Comments

[EgorSvinarev]

Здравствуйте. Спасибо за ваш совет, но я немного ошибся, указав url для аттрибута action. Я пытался при решении этой проблемы отправлять форму по url /auth, но я хотел обрабатывать её изначально на /login. Поправил эту неточность в вопросе.

[EgorSvinarev]

Обработку Post запроса для данного url'a я не реализовал, ибо рассчитывал хотя бы получать ошибку 405

[Орхан Гасанлы]

EgorSvinarev, еще проблема может заключаться в другом

<input type="text" class="field" placeholder="Логин" name="login"><br>
    <input type="password" class="field" placeholder="Пароль" name="password">

у вас названия инпутов login & password.
По дефолту, если вы не указываете это в конфигурации Spring ожидает на вход username & password.
Либо пропишите это в конфиге formLogin(), либо измените название login на username

[Орхан Гасанлы]

EgorSvinarev, Вот, например: (измените под себя)

.formLogin()
        .loginPage("/signin")
        .loginProcessingUrl("/signin")
        .usernameParameter("email")
        .passwordParameter("password")
        .defaultSuccessUrl("/")
        .failureUrl("/signin?authError")
        .permitAll()

[EgorSvinarev]

Орхан Гасанлы, я сейчас попробовал ваше предложение, но ничего не изменилось.
Воможно, я не указал какие-либо другие важные детали. Вот ссылка на репозиторий проекта: https://github.com/EgorSvinarev/sillenps

Дело в том, что я пробовал менять конфигурацию безопасности, указывая доступными все url в маршрутизации приложения, но при отправке формы я получал ошибку 404 без стэктрейса, что вводит еще в больше заблуждение

[Орхан Гасанлы]

Я посмотрел ваш проект:
1) th:action="@{/register}" а не action="@{/register}"
2) У вас проблемы в js при аутентификации кнопка Войти работает некорректно. (не проходит валидацию)
3) Запрос на аутентификацию из формы отправляется не на /login, а на {/login}, потому то у вас тут ошибка: action="@{/login}", а должно быть th:action="@{/login}"
4) Далее вы указали как урл для авторизации (где находится сама форма) -
.loginPage("/auth")
А вот, какой урл должен обработать запрос не указали.
.loginProcessingUrl("/login")
Потому, что форму вы отправляете именно туда:
th:action="@{/login}"
5) Далее ошибка Encoded password does not look like BCrypt

В общем, надо ваш проект основательно продебажить, так как решив одну проблему появляется другая и т.д.

[EgorSvinarev]

Спасибо большое за решение

Answer 2

[EgorSvinarev]

Нашел ошибку. В атрибуте action забыл поставить префикс от thymeleaf, и запросы отправлялись не на тот url