Tomcat으로 Spring Boot를 시작할 때 사용자 이름과 비밀번호는 무엇입니까?


147

Spring Boot를 통해 Spring 응용 프로그램을 배포하고 액세스 할 localhost:8080때 인증해야하지만 사용자 이름과 비밀번호는 무엇입니까? 이 tomcat-users파일을 파일 에 추가하려고 시도했지만 작동하지 않았습니다.

<role rolename="manager-gui"/>
    <user username="admin" password="admin" roles="manager-gui"/>

이것이 응용 프로그램의 시작점입니다.

@SpringBootApplication
public class Application extends SpringBootServletInitializer {

    public static void main(String[] args) {
        SpringApplication.run(Application.class, args);
    }

    @Override
    protected SpringApplicationBuilder configure(SpringApplicationBuilder application) {
        return application.sources(Application.class);
    }
}

그리고 이것은 Tomcat 의존성입니다.

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-tomcat</artifactId>
    <scope>provided</scope>
</dependency>

인증은 어떻게합니까 localhost:8080?



인증이 필요합니다 = 인증을 원하십니까? spring-boot-starter-tomcat / -web에는 인증이나 사용자 이름 및 비밀번호가 없으므로 8080 : 당신은 일부를 볼 경우에 다른 응용 프로그램 아마
zapl

2
그리고 시작시 콘솔에 인쇄됩니다.
chrylis-신중하게 낙관적-5

답변:


297

클래스 경로에 스프링 보안이 있고 스프링 보안이 자동으로 기본 사용자 및 생성 된 비밀번호로 구성되어 있다고 생각합니다.

pom.xml 파일에서 다음을 찾으십시오.

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

Pom에 다음과 같은 로그 콘솔 메시지가 있어야합니다.

Using default security password: ce6c3d39-8f20-4a41-8e01-803166bb99b6

그리고 브라우저 프롬프트 user에서 콘솔에 인쇄 된 사용자 와 비밀번호를 가져옵니다 .

또는 스프링 보안을 구성하려면 스프링 부트 보안 예제를 살펴보십시오.

보안 섹션 의 Spring Boot Reference 문서 에 설명되어 있으며 다음을 나타냅니다.

The default AuthenticationManager has a single user (‘user username and random password, printed at `INFO` level when the application starts up)

Using default security password: 78fa095d-3f4c-48b1-ad50-e24c31d5cf35

23
로깅 구성을 미세 조정하는 경우 org.springframework.boot.autoconfigure.security카테고리가 INFO 메시지를 로깅하도록 설정되어 있는지 확인하십시오 . 그렇지 않으면 기본 비밀번호가 인쇄되지 않습니다.
Zeeshan

아름다운. 모든 것이 기본으로 설정되었습니다. 양날의 칼.
Sachin Sharma

1
내 경우 (스프링 부팅 대 : 2.0.4) 콘솔은 "생성 된 보안 암호 사용 : eb7a9e02-b9cc-484d-9dec-a295b96d94ee"
Amir

이것은 나에게도 해당됩니다. 나는 그것에 대해 질문하기 시작했다.
Dmitriy Ryabin 2014

@Marcel 클래스 경로에 스프링 보안을 추가하고 생성 된 비밀번호를 볼 수 있지만 postman을 통해 사용자 이름으로 사용자 이름으로 기본 인증을 사용하고 생성 된 비밀번호로 비밀번호를 사용합니다. 승인받지 못했습니다.
Lokesh Pandey

50

경우 spring-security항아리가 클래스 경로에 추가되고이 경우에도 spring-boot응용 프로그램이 모든 HTTP 엔드 포인트는 기본 보안 구성 클래스에 의해 보호됩니다SecurityAutoConfiguration

이로 인해 브라우저 팝업에서 자격 증명을 요구합니다.

각 응용 프로그램의 암호가 다시 시작되고 콘솔에서 찾을 수 있습니다.

Using default security password: 78fa095d-3f4c-48b1-ad50-e24c31d5cf35

기본값 앞에 자신의 응용 프로그램 보안 계층을 추가하려면

@EnableWebSecurity
public class SecurityConfig {

    @Autowired
    public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
        auth
            .inMemoryAuthentication()
                .withUser("user").password("password").roles("USER");
    }
}

또는 비밀번호를 변경하려는 경우 기본값을 무시하고

application.xml

security.user.password = new_password

또는

application.properties

spring.security.user.name=<>
spring.security.user.password=<>

방금 spring.security.user.name = <> spring.security.user.password = <>를 application.properties 파일에 추가했습니다. 나는 다른 일을하지 않았다. 여전히 효과가있었습니다.
Barani r

xml 예제에서 속성 이름이 잘못되었습니다. spring.security.user.password = xxx .yml 파일을 사용할 때 XML 형식이 확실하지 않습니다
davidfrancis

사용하는 경우 inMemoryAuthentication에는 오히려와 비밀번호를 앞에 {무 조작} 당신은 오류가 나타나면There is no PasswordEncoder mapped for the id “null”
마틴 밴 Wingerden

SecurityConfig 클래스에 이것을 추가하십시오. @Bean public PasswordEncoder passwordEncoder () {return NoOpPasswordEncoder.getInstance (); } 수정 가능 ID "null"에 대한 PasswordEncoder가 매핑되어 있지 않음
apss1943

9

재정의 할 때

spring.security.user.name=
spring.security.user.password=

application.properties , 당신은 필요가 없습니다 "주위에 "username"단지 사용 username. 또 다른 요점은 원시 비밀번호 를 저장하는 대신 bcrypt / scrypt로 암호화하여 다음과 같이 저장합니다.

spring.security.user.password={bcrypt}encryptedPassword

3

기본 답변을 가리키는 다른 답변을 기반으로 비밀번호를 찾을 수없는 경우 최근 버전의 로그 메시지 문구가

Using generated security password: <some UUID>

2

또한 사용자에게 자격 증명을 요청하고 서버가 시작되면 동적으로 설정할 수 있습니다 (고객 환경에 솔루션을 게시해야 할 때 매우 효과적 임).

@EnableWebSecurity
public class SecurityConfig {

    private static final Logger log = LogManager.getLogger();

    @Autowired
    public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
        log.info("Setting in-memory security using the user input...");

        Scanner scanner = new Scanner(System.in);
        String inputUser = null;
        String inputPassword = null;
        System.out.println("\nPlease set the admin credentials for this web application");
        while (true) {
            System.out.print("user: ");
            inputUser = scanner.nextLine();
            System.out.print("password: ");
            inputPassword = scanner.nextLine();
            System.out.print("confirm password: ");
            String inputPasswordConfirm = scanner.nextLine();

            if (inputUser.isEmpty()) {
                System.out.println("Error: user must be set - please try again");
            } else if (inputPassword.isEmpty()) {
                System.out.println("Error: password must be set - please try again");
            } else if (!inputPassword.equals(inputPasswordConfirm)) {
                System.out.println("Error: password and password confirm do not match - please try again");
            } else {
                log.info("Setting the in-memory security using the provided credentials...");
                break;
            }
            System.out.println("");
        }
        scanner.close();

        if (inputUser != null && inputPassword != null) {
             auth.inMemoryAuthentication()
                .withUser(inputUser)
                .password(inputPassword)
                .roles("USER");
        }
    }
}

(2018 년 5 월) 업데이트-스프링 부트 2.x에서 작동합니다.

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    private static final Logger log = LogManager.getLogger();

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        // Note: 
        // Use this to enable the tomcat basic authentication (tomcat popup rather than spring login page)
        // Note that the CSRf token is disabled for all requests
        log.info("Disabling CSRF, enabling basic authentication...");
        http
        .authorizeRequests()
            .antMatchers("/**").authenticated() // These urls are allowed by any authenticated user
        .and()
            .httpBasic();
        http.csrf().disable();
    }

    @Bean
    public UserDetailsService userDetailsService() {
        log.info("Setting in-memory security using the user input...");

        String username = null;
        String password = null;

        System.out.println("\nPlease set the admin credentials for this web application (will be required when browsing to the web application)");
        Console console = System.console();

        // Read the credentials from the user console: 
        // Note: 
        // Console supports password masking, but is not supported in IDEs such as eclipse; 
        // thus if in IDE (where console == null) use scanner instead:
        if (console == null) {
            // Use scanner:
            Scanner scanner = new Scanner(System.in);
            while (true) {
                System.out.print("Username: ");
                username = scanner.nextLine();
                System.out.print("Password: ");
                password = scanner.nextLine();
                System.out.print("Confirm Password: ");
                String inputPasswordConfirm = scanner.nextLine();

                if (username.isEmpty()) {
                    System.out.println("Error: user must be set - please try again");
                } else if (password.isEmpty()) {
                    System.out.println("Error: password must be set - please try again");
                } else if (!password.equals(inputPasswordConfirm)) {
                    System.out.println("Error: password and password confirm do not match - please try again");
                } else {
                    log.info("Setting the in-memory security using the provided credentials...");
                    break;
                }
                System.out.println("");
            }
            scanner.close();
        } else {
            // Use Console
            while (true) {
                username = console.readLine("Username: ");
                char[] passwordChars = console.readPassword("Password: ");
                password = String.valueOf(passwordChars);
                char[] passwordConfirmChars = console.readPassword("Confirm Password: ");
                String passwordConfirm = String.valueOf(passwordConfirmChars);

                if (username.isEmpty()) {
                    System.out.println("Error: Username must be set - please try again");
                } else if (password.isEmpty()) {
                    System.out.println("Error: Password must be set - please try again");
                } else if (!password.equals(passwordConfirm)) {
                    System.out.println("Error: Password and Password Confirm do not match - please try again");
                } else {
                    log.info("Setting the in-memory security using the provided credentials...");
                    break;
                }
                System.out.println("");
            }
        }

        // Set the inMemoryAuthentication object with the given credentials:
        InMemoryUserDetailsManager manager = new InMemoryUserDetailsManager();
        if (username != null && password != null) {
            String encodedPassword = passwordEncoder().encode(password);
            manager.createUser(User.withUsername(username).password(encodedPassword).roles("USER").build());
        }
        return manager;
    }

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }
}

2

허용 된 답변에 추가-

로그에 비밀번호가 없으면 "org.springframework.boot.autoconfigure.security"로그를 활성화하십시오.

로깅 구성을 미세 조정하는 경우 org.springframework.boot.autoconfigure.security 범주가 INFO 메시지를 로그하도록 설정되어 있는지 확인하십시오. 그렇지 않으면 기본 비밀번호가 인쇄되지 않습니다.

https://docs.spring.io/spring-boot/docs/1.4.0.RELEASE/reference/htmlsingle/#boot-features-security


0

Spring Security를 ​​배우기 시작했을 때 아래 코드 스 니펫과 같이 userDetailsService () 메소드를 재정의했습니다 .

@Configuration
@EnableWebSecurity
public class ApplicationSecurityConfiguration extends WebSecurityConfigurerAdapter{

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
                .csrf().disable()
                .authorizeRequests()
                .antMatchers("/", "/index").permitAll()
                .anyRequest().authenticated()
                .and()
                .httpBasic();
    }

    @Override
    @Bean
    public UserDetailsService userDetailsService() {
        List<UserDetails> users= new ArrayList<UserDetails>();
        users.add(User.withDefaultPasswordEncoder().username("admin").password("nimda").roles("USER","ADMIN").build());
        users.add(User.withDefaultPasswordEncoder().username("Spring").password("Security").roles("USER").build());
        return new InMemoryUserDetailsManager(users);
    }
}

따라서 위에서 언급 한 자격 증명을 사용하여 응용 프로그램에 로그인 할 수 있습니다. (예 : admin / nimda)

참고 : 프로덕션 환경에서는 사용하지 않아야합니다.


0

프로젝트의 아래 코드 스 니펫에서 사용자 이름과 비밀번호를 가져 와서 로그인하고 이것이 작동하기를 바랍니다.

@Override
    @Bean
    public UserDetailsService userDetailsService() {
        List<UserDetails> users= new ArrayList<UserDetails>();
        users.add(User.withDefaultPasswordEncoder().username("admin").password("admin").roles("USER","ADMIN").build());
        users.add(User.withDefaultPasswordEncoder().username("spring").password("spring").roles("USER").build());
        return new UserDetailsManager(users);
    }
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.