Authentification avec Oracle 11g xe, org.springframework.security.authentication.BadCredentialsException: Bad

Version imprimable

Salut tout le monde,

je suis en train de développer une application sur spring boot avec le sgbd oracle 11g xe, tout marchait bien avec l'authentification jusqu'à ce que je me trouve avec cette erreur

Citation:

org.springframework.security.authentication.BadCredentialsException: Bad credentials

après quelques recherches sur google, j'ai eu l'impression que le problème venait de PasswordEncoder sauf que depuis j'ai tout modifié avec des changements total sans succès et j'ai besoin de votre aide. Ci-dessous quelques fragment de mon code.

1- fichier de configuration de sécurité

Code:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
package com.probip.spring;
 
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.authentication.dao.DaoAuthenticationProvider;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.builders.WebSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.core.session.SessionRegistry;
import org.springframework.security.core.session.SessionRegistryImpl;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.web.authentication.AuthenticationFailureHandler;
import org.springframework.security.web.authentication.RememberMeServices;
import org.springframework.security.web.authentication.rememberme.InMemoryTokenRepositoryImpl;
import org.springframework.security.web.util.matcher.AntPathRequestMatcher;
 
import com.probip.security.CustomRememberMeServices;
import com.probip.security.MyAgentDetailsService;
 
 
@Configuration
@EnableWebSecurity
public class SecSecurityConfig extends WebSecurityConfigurerAdapter {
 
	/** Public URLs. */
	private static final String[] PUBLIC_MATCHERS = {
 
			"/login*", "/logout*", "/webjars/**", "/forgerpassword", "/registrationConfirm*", "/expiredAccount*",
			"/badUser*", "/user/resendRegistrationToken*", "/forgetPassword*", "/user/resetPassword*",
			"/user/changePassword*", "/emailError*", "/", "/error/**/*", "/error", "/images/**", "/css/**", "/js/**", "/district/create" };
 
	@Autowired
	private MyAgentDetailsService myAgentDetailsService;
 
	@Autowired
    private AuthenticationFailureHandler authenticationFailureHandler;
 
 
	public SecSecurityConfig() {
		super();
	}
 
    @Bean
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }
 
    @Override
    protected void configure(final AuthenticationManagerBuilder auth) throws Exception {
        auth.authenticationProvider(authProvider());
    }
 
 
    @Override
    public void configure(final WebSecurity web) throws Exception {
        web.ignoring().antMatchers("/resources/**");
    }
 
	@Override
	protected void configure(HttpSecurity http) throws Exception {
		// @formatter:off
		http.csrf().disable()
				.authorizeRequests().antMatchers(PUBLIC_MATCHERS).permitAll()
				.antMatchers("/invalidSession*").anonymous()
				.antMatchers("/user/updatePassword*", "/user/savePassword*", "/updatePassword*")
				.hasAuthority("CHANGE_PASSWORD_PRIVILEGE").anyRequest().hasAuthority("READ_PRIVILEGE").and().formLogin()
				.failureUrl("/login?error=true").defaultSuccessUrl("/home").loginPage("/login").permitAll()
				// .successHandler(myAuthenticationSuccessHandler)
				//.failureHandler(authenticationFailureHandler)
				// .authenticationDetailsSource(authenticationDetailsSource)
				.permitAll().and().sessionManagement().invalidSessionUrl("/invalidsession").maximumSessions(1)
				.sessionRegistry(sessionRegistry()).and().sessionFixation().none().and().logout()
				.logoutRequestMatcher(new AntPathRequestMatcher("/logout")).logoutSuccessUrl("/?logout")
				.deleteCookies("JSESSIONID").permitAll().deleteCookies("JSESSIONID").permitAll().and().rememberMe()
				.rememberMeServices(rememberMeServices()).key("theKey");
	}
 
	@Bean
    public DaoAuthenticationProvider authProvider() {
        final DaoAuthenticationProvider authProvider = new DaoAuthenticationProvider();
        authProvider.setUserDetailsService(myAgentDetailsService);
        authProvider.setPasswordEncoder(encoder());
        return authProvider;
    }
 
	@Bean
    public PasswordEncoder encoder() {
        return new BCryptPasswordEncoder(12);
    }
 
    @Bean
    public SessionRegistry sessionRegistry() {
        return new SessionRegistryImpl();
    }
 
    @Bean
    public RememberMeServices rememberMeServices() {
        CustomRememberMeServices rememberMeServices = new CustomRememberMeServices("theKey", myAgentDetailsService, new InMemoryTokenRepositoryImpl());
        return rememberMeServices;
    }
}

fichier de extension de loadUsername

Code:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
package com.probip.security;
 
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Service;
import org.springframework.transaction.annotation.Transactional;
 
import com.probip.persistence.entities.Agents;
import com.probip.persistence.repositories.AgentsRepository;
 
@Service
@Transactional
public class MyAgentDetailsService implements UserDetailsService {
 
	@Autowired
	private AgentsRepository agentsRepository;
 
 
	public MyAgentDetailsService() {
		super();
	}
 
	@Override
	public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
 
		try {
			final Agents agent = agentsRepository.findByUsername(username);
 
			if (agent == null) {
				throw new UsernameNotFoundException("No user found with username: " + username);
			}
 
			return new  User(agent.getUsername(), agent.getPassword(),agent.isEnabled(), true,true,true,agent.getAuthorities());
		} catch (final Exception e) {
			throw new RuntimeException(e);
		}
	}
}

et mon fichier html

Code:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
<form class="form-signin" name='f' th:action="@{/login}" method="post"
		onsubmit="return validate();">
		<img class="mb-4" th:src="@{images/login.png}" width="72" height="72" />
		<h1 class="h3 mb-3 font-weight-normal" th:text="#{login.login.text}">Please
			sign in</h1>
		<label for="inputEmail" class="sr-only"
			th:text="#{login.username.text}">Email address</label> <input
			type="text" id="username" name="username" 
			required="required" class="form-control" placeholder="Username"
			autofocus> <label for="password" class="sr-only"
			th:text="#{login.password.text}">Password</label> <input
			type="password" id="password" class="form-control"
			placeholder="Password" required>
		<div class="checkbox mb-3">
			<label> <input type="checkbox" value="remember-me"> <span
				th:text="#{label.form.rememberMe}"></span>
			</label> 
			<a th:href="@{/forgerpassword}" th:text="#{message.resetPassword}">reset</a>
 
		</div>
		<button class="btn btn-sm btn-outline-info btn-block" type="submit"
			th:value="#{navbar.login.text}">Sign in</button>
	</form>

et mon fichier de CommanderRunner

Code:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
private final Agents createUserIfNotFound(final int id, final String nom, final String prenom, final Character sexe,
			final String username, final String email, final String photo, final String dob, final String lieudob,
			final String password, final int natid, final Collection<Groupes> superRole) {
		Agents user = null;
		if (agentsRepository.findByAgentemail(email) == null) {
 
			Nationalities nat = nationalityService.findByNationalityid(natid);
 
			user = new Agents();
			user.setAgentid(id);
			user.setAgentnom(nom);
			user.setAgentprenom(prenom);
			user.setAgentemail(email);
			user.setAgentlieuxdob(lieudob);
			user.setAgentsexe(sexe);
			user.setAgentsexe(sexe);
			user.setNationalitiesNationalityid(nat);
			user.setUsername(username);
			try {
				user.setAgentdob(dateformat.parse(dob.replace("-", "/")));
			} catch (ParseException e) {
				e.printStackTrace();
			}
			user.setPassword(passwordEncoder.encode(password));
			user.setGroupesList(superRole);
			user.setEnabled(true);
			user = agentsRepository.save(user);
		}
		return user;
	}
 
 
	@Override
	public void run(String... args) throws Exception {
		// == create initial user
		createUserIfNotFound(1, "KANA", "Patrick", 'H', "fokana", "my@yahoo.fr", "1.png", "2999/05/05",
				"Bamendou", "password", 7, new ArrayList<Groupes>(Arrays.asList(superRole, adminRole, agentRole)));
		alreadySetup = true;
 
		// == Create Init Nationality
 
	}

SVP j'ai besoin de votre aide pour résoudre mon problème

En passant je rappelle que je n'ai pas d'erreur dans la console.

Bien cordialement

Bonjour,

Citation:

En passant je rappelle que je n'ai pas d'erreur dans la console.

C'est normal, ton erreur est remontée par spring-security. Si tu n'a pas activé spécifiquement les logs pour ça, tu ne le verras pas. En général, cette erreur est inutile car c'est un problème de droit d'accès et tu ne souhaites pas voir ton fichier de logs spammé d'erreur d'accès. Ces logs peuvent être activés via le fichier application.properties (si tu l'utilises) mais je ne connais plus la configuration.

Citation:

org.springframework.security.authentication.BadCredentialsException: Bad credentials

Les autorisations de l'utilisateur ne sont pas suffisantes pour accéder à la ressource. Ton problème vient d'un "hasAuthority" mal configuré ou d'un rôle manquant.
Code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 @Override protected void configure(HttpSecurity http) throws Exception { // @formatter:off http.csrf().disable() .authorizeRequests().antMatchers(PUBLIC_MATCHERS).permitAll() .antMatchers("/invalidSession*").anonymous() .antMatchers("/user/updatePassword*", "/user/savePassword*", "/updatePassword*") .hasAuthority("CHANGE_PASSWORD_PRIVILEGE").anyRequest().hasAuthority("READ_PRIVILEGE").and().formLogin() .failureUrl("/login?error=true").defaultSuccessUrl("/home").loginPage("/login").permitAll() // .successHandler(myAuthenticationSuccessHandler) //.failureHandler(authenticationFailureHandler) // .authenticationDetailsSource(authenticationDetailsSource) .permitAll().and().sessionManagement().invalidSessionUrl("/invalidsession").maximumSessions(1) .sessionRegistry(sessionRegistry()).and().sessionFixation().none().and().logout() .logoutRequestMatcher(new AntPathRequestMatcher("/logout")).logoutSuccessUrl("/?logout") .deleteCookies("JSESSIONID").permitAll().deleteCookies("JSESSIONID").permitAll().and().rememberMe() .rememberMeServices(rememberMeServices()).key("theKey"); }
Tout ça me paraît bien gros et est source de confusion. Ça ne coûte rien de découper ta configuration en bloc (de recommencer depuis http).
D'ailleurs, je vois 2 "permitAll" de suite dû aux lignes commentées.
Et mieux vaut une configuration simpliste quand tu as des erreurs, cela te permet de voir ce qui est en cause.

Un rapide coup d’œil et je vois

Code:

.anyRequest().hasAuthority("READ_PRIVILEGE")

après

Code:

.antMatchers(PUBLIC_MATCHERS).permitAll()

Ce qui me fait penser que tu as besoin de l'autorité "READ_PRIVILEGE" même si tu n'es pas encore identifié.

Petit plus : je te conseillerais de passer par un outil comme Postman pour tester tes webservices. Les pages HTML peuvent brouiller la compréhension des erreurs et du cheminement nécessaire.

Bonjour et Merci pour votre réponse
j ai essaye de mettre de l ordre à ce niveau

Code:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
 
	@Override
	protected void configure(HttpSecurity http) throws Exception {
		// @formatter:off
		http.csrf().disable()
				.authorizeRequests().antMatchers(PUBLIC_MATCHERS).permitAll()
				.antMatchers("/invalidSession*").anonymous()
				.antMatchers("/user/updatePassword*", "/user/savePassword*", "/updatePassword*").hasAuthority("CHANGE_PASSWORD_PRIVILEGE")
				.anyRequest().hasAuthority("READ_PRIVILEGE")
				.and()
				.formLogin()
				.failureUrl("/login?error=true").defaultSuccessUrl("/home").loginPage("/login").permitAll()
				.failureHandler(authenticationFailureHandler)
				.permitAll()
				.and()
				.sessionManagement()
				.invalidSessionUrl("/invalidsession")
				.maximumSessions(1)
				.sessionRegistry(sessionRegistry())
				.and()
				.sessionFixation()
				.none()
				.and()
				.logout()
				.logoutRequestMatcher(new AntPathRequestMatcher("/logout"))
				.logoutSuccessUrl("/?logout")
				.deleteCookies("JSESSIONID").permitAll()
				.and().rememberMe()
				.rememberMeServices(rememberMeServices()).key("theKey");
	}

et j ai active le logging de spring security dans le fichier properties avec la ligne de code suivante :

Code:

logging.level.org.springframework.security = DEBUG

bien que l erreur persiste j'ai maintenant des traces au niveau de la console

Code:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
 
[2m2019-10-01 07:40:36.278[0;39m [32mDEBUG[0;39m [35m2596[0;39m [2m---[0;39m [2m[nio-8082-exec-8][0;39m [36mo.s.s.w.a.i.FilterSecurityInterceptor   [0;39m [2m:[0;39m Secure object: FilterInvocation: URL: /images/login.png; Attributes: [permitAll]
[2m2019-10-01 07:40:36.278[0;39m [32mDEBUG[0;39m [35m2596[0;39m [2m---[0;39m [2m[nio-8082-exec-8][0;39m [36mo.s.s.w.a.i.FilterSecurityInterceptor   [0;39m [2m:[0;39m Previously Authenticated: org.springframework.security.authentication.AnonymousAuthenticationToken@26b9c5e9: Principal: anonymousUser; Credentials: [PROTECTED]; Authenticated: true; Details: org.springframework.security.web.authentication.WebAuthenticationDetails@166c8: RemoteIpAddress: 0:0:0:0:0:0:0:1; SessionId: 51918BFED39434E157F9524C62D22566; Granted Authorities: ROLE_ANONYMOUS
[2m2019-10-01 07:40:36.279[0;39m [32mDEBUG[0;39m [35m2596[0;39m [2m---[0;39m [2m[nio-8082-exec-8][0;39m [36mo.s.s.access.vote.AffirmativeBased      [0;39m [2m:[0;39m Voter: org.springframework.security.web.access.expression.WebExpressionVoter@5ada7ae8, returned: 1
[2m2019-10-01 07:40:36.279[0;39m [32mDEBUG[0;39m [35m2596[0;39m [2m---[0;39m [2m[nio-8082-exec-8][0;39m [36mo.s.s.w.a.i.FilterSecurityInterceptor   [0;39m [2m:[0;39m Authorization successful
[2m2019-10-01 07:40:36.279[0;39m [32mDEBUG[0;39m [35m2596[0;39m [2m---[0;39m [2m[nio-8082-exec-8][0;39m [36mo.s.s.w.a.i.FilterSecurityInterceptor   [0;39m [2m:[0;39m RunAsManager did not change Authentication object
[2m2019-10-01 07:40:36.279[0;39m [32mDEBUG[0;39m [35m2596[0;39m [2m---[0;39m [2m[nio-8082-exec-8][0;39m [36mo.s.security.web.FilterChainProxy       [0;39m [2m:[0;39m /images/login.png reached end of additional filter chain; proceeding with original chain
[2m2019-10-01 07:40:36.290[0;39m [32mDEBUG[0;39m [35m2596[0;39m [2m---[0;39m [2m[nio-8082-exec-8][0;39m [36mo.s.s.w.header.writers.HstsHeaderWriter [0;39m [2m:[0;39m Not injecting HSTS header since it did not match the requestMatcher org.springframework.security.web.header.writers.HstsHeaderWriter$SecureRequestMatcher@7e17745e
[2m2019-10-01 07:40:36.290[0;39m [32mDEBUG[0;39m [35m2596[0;39m [2m---[0;39m [2m[nio-8082-exec-8][0;39m [36mw.c.HttpSessionSecurityContextRepository[0;39m [2m:[0;39m SecurityContext is empty or contents are anonymous - context will not be stored in HttpSession.
[2m2019-10-01 07:40:36.292[0;39m [32mDEBUG[0;39m [35m2596[0;39m [2m---[0;39m [2m[nio-8082-exec-8][0;39m [36mo.s.s.w.a.ExceptionTranslationFilter    [0;39m [2m:[0;39m Chain processed normally
[2m2019-10-01 07:40:36.292[0;39m [32mDEBUG[0;39m [35m2596[0;39m [2m---[0;39m [2m[nio-8082-exec-8][0;39m [36ms.s.w.c.SecurityContextPersistenceFilter[0;39m [2m:[0;39m SecurityContextHolder now cleared, as request processing completed
[2m2019-10-01 07:40:36.300[0;39m [32mDEBUG[0;39m [35m2596[0;39m [2m---[0;39m [2m[nio-8082-exec-4][0;39m [36mo.s.s.w.header.writers.HstsHeaderWriter [0;39m [2m:[0;39m Not injecting HSTS header since it did not match the requestMatcher org.springframework.security.web.header.writers.HstsHeaderWriter$SecureRequestMatcher@7e17745e
[2m2019-10-01 07:40:36.301[0;39m [32mDEBUG[0;39m [35m2596[0;39m [2m---[0;39m [2m[nio-8082-exec-4][0;39m [36mw.c.HttpSessionSecurityContextRepository[0;39m [2m:[0;39m SecurityContext is empty or contents are anonymous - context will not be stored in HttpSession.
[2m2019-10-01 07:40:36.304[0;39m [32mDEBUG[0;39m [35m2596[0;39m [2m---[0;39m [2m[nio-8082-exec-4][0;39m [36mo.s.s.w.a.ExceptionTranslationFilter    [0;39m [2m:[0;39m Chain processed normally
[2m2019-10-01 07:40:36.304[0;39m [32mDEBUG[0;39m [35m2596[0;39m [2m---[0;39m [2m[nio-8082-exec-4][0;39m [36ms.s.w.c.SecurityContextPersistenceFilter[0;39m [2m:[0;39m SecurityContextHolder now cleared, as request processing completed

et la j ai encore besoin d'aide pour une bonne compréhension de ce qu'il me faut faire pour que ça marche. car je constat juste le système me voir comme un utilisateur anonymes depuis

cordialement

Les logs que tu nous donnes correspondent à la demande d'accès à l'image login.png

A ce moment, tu n'es pas encore sensé être identifié (il s'agit de l'affichage de ta page de login). Tu apparais donc en temps qu'utilisateur anonyme, ce qui ne pose pas problème à mes yeux.

Par contre, je constate des éléments qui me paraissent incorrectes dans la configuration de ton formLogin. Sur le site de Bealdung (bon, c'est anglophone mais ça reste une des meilleurs référence sur Spring), je trouve cette configuration :
Code:

1 2 3 4 5 6 7 8 @Override protected void configure(HttpSecurity http) throws Exception { http.formLogin() .loginPage("/login.html") .loginProcessingUrl("/perform_login") .defaultSuccessUrl("/homepage.html",true) .failureUrl("/login.html?error=true") }
Le loginPage doit être l'url depuis laquelle tu souhaites te connecter (le fichier html que tu as mis en exemple).
Le loginProcessingUrl doit être l'url vers lequel ton formulaire doit pointer (attention à ce qu'il soit bien dans ton PUBLIC_MATCHER).

Je ne retrouve pas ça dans ta configuration
Code:

1 2 .formLogin() .failureUrl("/login?error=true").defaultSuccessUrl("/home").loginPage("/login").permitAll()

01/10/2019, 11h36
fokaana

Baeldung utilise directement les fichiers html or moi j ai défini les contrôleurs pour accéder au page d ou les urls.