ปกติตัว Spring เองจะมี Module / Lib ที่ช่วยจัดการด้าน Security ให้ง่ายขึ้น เวลาใช้งานเอา Config มาแปะใน pom.xml ตามนี้ครับ
<dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> <version>3.2.4</version> </dependency>
ลอง build ใหม่ครับ โดยพอเมื่อใส่เข้ามาแล้ว มันจะ Default ครอบทุก API เลย โดยจะมีหน้า Login ง่ายๆ ตามนี้
แล้วเราใช้ user อะไร หละ ? ถ้าไปดูใน doc มันจะบอกว่า
- username:
user
- password: ระบบมันจะ Auto Generate ให้ หาจาก Log / Console แนวๆนี้ Keyword Using generated security password ...
Using generated security password: a6aad302-8a87-450a-813c-dbd65029afe8 This generated password is for development use only. Your security configuration must be updated before running your application in production. 2024-07-18T15:51:51.976+07:00 WARN 26736 --- [store-backend] [ restartedMain] .s.s.UserDetailsServiceAutoConfiguration : ... Using generated security password: a6aad302-8a87-450a-813c-dbd65029afe8 This generated password is for development use only. Your security configuration must be updated before running your application in production. ... 2024-07-18T15:51:51.994+07:00 INFO 26736 --- [store-backend] [ restartedMain] r$InitializeUserDetailsManagerConfigurer : Global AuthenticationManager configured with UserDetailsService bean with name inMemoryUserDetailsManager
แล้วทีนี้ ถ้าให้มันไป Run โผล่ลอย หรือ ไปเขียนใน Log มันดูจะไม่ดี ใน Blog นี้จะมาสรุปวิธีซ่อน Log / Console นี้ครับ
ถ้าจะเอาออก มีท่าไหนบ้าง ?
- Disable logging of the password - ปิดมันซะ
ตัว UserDetailsServiceAutoConfiguration มันมีช่องทางให้ Debug จะมีหลาย Level แนะนำให้ OFF จะซ่อนไว้ แต่จริงๆต้องดูตาม Doc
- V2.2.x ต้อง INFO ถึง Print (Ref: Spring Security 2.2.x (spring.io))
- V3.3 ต้องเป็น WARN ถึง Print ข้อมูลส่วนนี้ (Ref: Spring Security 3.3.x :: Spring Boot
logging.level.org.springframework.boot.autoconfigure.security.servlet.UserDetailsServiceAutoConfiguration=OFF
- Override credentials ใน Properties -ไม่ให้มัน Gen ใหม่
ยัดเอาไว้ในไฟล์ appilication.properties
spring.security.user.name=<username> spring.security.user.password=<password>
- Override credentials ใน Code
ปรับ Code ตามนี้ได้ครับ
@Bean public InMemoryUserDetailsManager userDetailsService(PasswordEncoder passwordEncoder) { UserDetails user = User.withUsername("user") .password(passwordEncoder.encode("P@ssW0rd")) .roles("USER") .build(); UserDetails admin = User.withUsername("admin") .password(passwordEncoder.encode("P@ssW0rdAdm")) .roles("USER", "ADMIN") .build(); return new InMemoryUserDetailsManager(user, admin); }
- Exclude UserDetailsServiceAutoConfiguration.class
พอไม่ Inject UserDetailsServiceAutoConfiguration พอข้อมูล Default User / Pass จะไม่ถูกสร้างขึ้นมาครับ
@SpringBootApplication(exclude = {UserDetailsServiceAutoConfiguration.class}) public class MyApplication { public static void main(String[] args) { SpringApplication.run(MyApplication.class, args); } }ja
- WebSecurityConfigurerAdapter
@Configuration @EnableWebSecurity public class MySecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(AuthenticationManagerBuilder authManager) throws Exception { // This is the code you usually have to configure your authentication manager. // This configuration will be used by authenticationManagerBean() below. } @Bean public AuthenticationManager authenticationManagerBean() throws Exception { // ALTHOUGH THIS SEEMS LIKE USELESS CODE, // IT'S REQUIRED TO PREVENT SPRING BOOT AUTO-CONFIGURATION return super.authenticationManagerBean(); } }
หลังจาก Spring Security 5.7.0-M2 ตัว WebSecurityConfigurerAdapter จะถูก deprecated ต้องมาใช้ตัว component-based security configuration ตัว Code จะประมาณนี้
@Configuration @EnableWebSecurity public class SecurityConfig { @Bean public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception { http .authorizeRequests(authorizeRequests -> authorizeRequests .antMatchers("/public/**").permitAll() .anyRequest().authenticated() ) .httpBasic(withDefaults()); return http.build(); } //..... @Bean public AuthenticationManager authenticationManager(AuthenticationConfiguration authenticationConfiguration) throws Exception { return authenticationConfiguration.getAuthenticationManager(); } }
Reference
- Spring Security :: Spring Boot
- Disabling the logging of Spring Security's Default Security Password · Jamie Tanna | Software Engineer (jvt.me)
- java - Remove "Using default security password" on Spring Boot - Stack Overflow
Discover more from naiwaen@DebuggingSoft
Subscribe to get the latest posts sent to your email.