Прелесть данного туториала в том, что он не слишком сложный и не слишком простой. То есть, это не банальный 'hello world', который не понятно как применять в реальном проекте. Также это не перегруженный проект в котором сложно разобраться. Золотая середина! Очень классно рассказал о Spring Security. Какие компоненты за что отвечают. Наконец-то стало ясно как оно работает и как настраивать. П.с. Надеюсь ты уже улучшил свои скилы работы с Optional.

Очень полезное видео! Спасибо! Еще и тему DTO зацепил - вообще Красавчик!

Спасибо за видео. Не пропадайте, очень интересно!

Очень крутое видео! Спасибо. Единственное полное видео по этой теме, которое смог найти.

Все работает, спасибо больше за видео. Было бы круто добавить походу больше пояснений про внутреннее устройство spring security и почему сделано так а не иначе вместо надиктовывания строчек кода.

Спасибо за отличный урок🔥🔥🔥

Спасибо, не пропадайте больше!)

Спасибо большое! Не смотря на длительность было очень интересно смотреть)

Большущее тебе спасибо, бро! Доходчиво, понятно, супер. Очень сильно жизнь облегчило, как раз пишу дипломный по курсах...

Евгений, спасибо за видео урок. Как можно реализовать refresh token на базе этого rest api?? буду очень благодарен

Не мог не отписать. Очень грамотно сделано и подано. Спасибо.

Спасибо большое за объяснение столь важной темы)

Все отлично, есть несколько пожеланий: 1. Autowired над конструктором можно не вешать, т.к. других конструкторов нет и при создании бина Spring сам поймет что инжектить. 2. Аннотация @AllArgsConstructor, как уже писали - сильно поможет. 3. В имплементации UserDetails сильно нужны @AllArgsConstructor и @Data, т.к. отвлекает генерация геттеров\сеттеров. 4. Публичный конструктор без параметров в фабрике не нужен, javac сам подсунет если не найдет. 5. Было бы неплохо добавить вариант ограничения доступа через аннотации, типа @RolesAllowed/@Secured

Спасибо вам большое за ваш труд. Лучшей материал на KZbin по этой теме СУПЕР.

Не слишком сложно и не слишком легко. То, что нужно!

Отлично объясняешь, видео очень помогло, большое человеческое тебе, друг)

Очень круто. Ты красава!!!!

Подскажите, почему не используете DI для JwtTokenFilter и JwtTokenProvider, а создаете их вручную? Можно ли так же аннотировать эти классы через @Component и заменить все new на инжект через DI?

Спасибо большое за видеоурок. Он мне очень помог. Не пропадайте ;)

Отличный выпуск) спасибо за ваш труд)

Очень классное виде! Очень жаль, что таких больше не выпускаете

Нашел хорошее видео на ту же тематику, но уши кровоточат от чудовищного каверканья английских терминов. Как же приятно слушать Евгения

Как это все сделать с решрештокеном?

@ Eugene Suleimanov Огромное спасибо за данный урок! Подскажите каким образом можно токен сделать недействительным, выполнив logout. Как я понял можно создать сущность "чёрный список" для JWT токенов, но как правильно реализовать до меня не доходит. Или для этого и существует Auth 2.0 и работа с ним? Накиньте пожалуйста мыслей!

Евгений, у вас лучшие ролики, доходчиво и без воды, жаль что видео приходится ждать месяцами :( Также мне очень хотелось бы увидеть продолжение данного ролика с использованием mapstruct

Субъективно, Flyway по удобней будет для миграции, и понятный sql, а не xml.

Превосходное видео и объяснения. Было бы здорово для полноты катрины добавить регистрацию пользователя в этом же проекте. Если есть такое видео, то поделитесь пожалуйста ссылкой

Здравствуйте ) А как интегрировать liquibase в Spring MVC, чтобы при запуске приложения создавались таблицы в БД? Я пытаюсь сконфигурировать плагин со всеми настройками и там указать путь к файлу changelog.xml. Но таблицы не создаются.

Спасибо за урок мне очень понравилось

Спасибо , как всегда круто)

А зачем вручную создавать таблицы,если jpa автоматически создаст их?

Рекомендую вам в дальнейшем использовать Lombok, удобная тула для того чтобы избавиться от явной прописи конструкторов геттеров и сеттеров (если вкратце)

Очень долго пытался разбраться почему не работает jwtTokenProvider так и не смог. Постоянно получаю различные исключения при разных ситуациях. Так и не могу ни как заставить его работать

@50:14 Очень понравился материал. Однако, не разумнее затолкать инициализацию бина passwordEncoder в корень конфигурации проекта, а не в отдельном (пусть и магистральном) компоненте JwtTokenProvider?

Добрый день! Как отправить POST запрос для создания нового пользователя и сохранения его в базе, если еще никакой пользователь не авторизован?

спасибо вам, очень круто

Шикарный видос!

С возвращением!)

Попробовал сделать такую же авторизацию на тестовом проекте и столкнулся с тем, что отсутствует WebSecurityConfigurerAdapter. В последних версиях Spring Security его нет. Целый день пытаюсь адаптировать пример из видео под использование без адаптера. Будет ли подобное видео с новой версией секьюрити или разбор что изменилось и как теперь с этим работать?

Круто.

Большое спасибо!

"toor" Молодец Женя😁

Все хорошо, конечно, слов нет, большое спасибо! Но было бы совсем замечательно, если бы Евгений каждый момент, который он называет "ну, тут все понятно", хотя бы в двух словах пояснял. Потому что, если я пришел смотреть такое длинное видео, значит я просто не знаю, как в принципе реализовать Security на Spring с JWT. Приходится гуглить все не пояснённые моменты типа что такое grantedauthority и simplegrantedauthority и еще несколько вещей. А тем кому все эти моменты понятны, он точно не будет тратить 1,5 часа на видео. Я ничего против сказать не хочу, абсолютно весь материл Евгения просто бестселлер, браво! Поэтому когда я искал в youtube как реализовать Spring Security with JWT и увидел Евгения, с радостью начал смотреть, так как уже знаком с высоким профессионализмом этого замечательного человека и программиста, а данный комментарий -- просто рекомендация.

Спасибо большое! Сделайте, пожалуйста, курс по микросервисам, докеру)

32:35 Хорошо) мой перфекционист в душе: ну что же тут хорошего, где передаваемый параметр? 😁

Евгений спасибо большое за ваши видео. В них всегда можно чему то научиться. Такой вопрос: у вас есть опыт работы с чем то реактивным spring web flux или просто rxjava? Было бы супер увидеть от вас видео на такую тему.

Евгений, спасибо за урок! Вопрос: если мы маппим юзеров и роли через @ManyToMany, то в итоге получаем три таблички (users, roles, users_roles), однако, если мы сделаем @ManyToOne, то у нас будет только две таблицы (users, user_role(Id, user_id, role) и нужно указать уникальную связку user_id+role). Есть ли между этими подходами принципиальная разница и, если есть, то какой лучше?

very good tutorial!

При отсутствии в заголовке токена необходимо возвращать 401 Unauthorized, а не 403 Forbidden. В данной имплементации, к сожалению, всегда 403.

Спасибо

А почему классам User и Role нельзя сразу имплементировать интерфейсы UserDetails и GrantedAuthority соответственно?

Прохожу аутентификацию, получаю токен. У get запроса в header "Authorization" помещаю Bearer_токен. Посылаю запрос. Получаю ответ 403 Forbidden. Как искать ошибку? По точкам останова никуда не попадаю.

1:10:15 При вводе неправильного пароля "throw new BadCredentialsException("Invalid username or password");" кажется не сработал? Не вижу этого сообщения в json response.

Спасибо за урок! Когда истекает срок jwt token-а spring возвращает html страницу, а надо ведь json, пробовал ControllerAdvice, результата нет, пока ищу ответ. Как можно это решить?

спасибо за шикарный видос) даже код есть, мечта))) чуть бы код покрупнее.

А как можно совместить авторизацию с вводом пароля и логина + csrf токен(стандартную для спринг секьюрити) и jwt для подальшего использования (после авторизации) при отправке запросов на сервер? Подскажите.

Евгений, спасибо огромное за Ваш труд! Спустя годы контент все равно остается полезным и актуальным! Проясните пожалуйста несколько вопросов по видео: 1) 38:58 А зачем все-таки этому классу пустой конструктор по умолчанию? И можно здесь же пояснить зачем именно сделали класс final (т.е. в чем будет проблема если он будет не final)? 2) 42:15 почему User.roles нужно копировать в new ArrayList перед конвертацией в GrantedAuthorities (строка 26)? 3) 57:12 Зачем переопределять метод authenticationManagerBean ничего не меняя по сути в имплементации, а только вызывая super (т.е. он и без этого будет создан спрингом и вести будет себя точно так же)?

Спасибо большое за видео! Подскажите, пожалуйста, а если у нас LDAP авторизация, подход остается тот же?

Лайк ещё до просмотра)

Офигенно

если уже используешь ломбок, то можно юзать аннотации @RequiredArgsConstructor, чтобы не писать конструктор

Сделай пожалуйста еще видео о создании фронтенда на реакте для этого проекта.

Спасибо за Урок, лучшая объяснения)) Вопрос, можешь снимать урок где добавляешь возможность logout и remember me???)

Спасибо за отличный урок! Просьба разъяснить насколько это хороший тон или насколько это актуальный подход, что при каждом REST запросе идет обращение в базу для получения данных пользователя. Разве не требуется поместить эти данные в claims? Спасибо!

Четко!

Добрый день! Проясните, пожалуйста, такой момент. В методе контроллера login вызывается authenticationManager.authenticate(new UsernamePasswordAuthenticationToken(username, requestDto.getPassword())); При этом, насколько я понял, используется дефолтный AuthenticationManagerDelegator в качестве реализации. Если так, то в каким образом он понимает, как валидировать пароль при логине? То есть как связаны конкретно ваша таблица с паролями и сущность authenticationManager?

Спасибо за видео! Делаю по вашему примеру и возникла проблема: при отправке невалидного токена JwtAuthenticationException возвращает HTML вместо JSON. AuthenticationEntryPoint перехватывает эту ошибку, только в случае пустого токена, при каких либо данных в токене возвращается HTML. Подскажите, как это можно обработать, а то уже который день над этим бьюсь) Заранее спасибо :)

В данной реализации при каждом обращении пользователя фильтр JwtTokenFilter через jwtTokenProvider обращается к базе данных, и тем самым, сводит преимущества JWT токенов на нет. Чтобы это исправить, нужно переписать метод getAuthentication так, чтобы он собирал объект Authentication на основе тех данных, которые есть в самом токене (Claims). Поправьте меня, если ошибаюсь. А так большое спасибо за Ваш видео урок!

Евгений, Доброго дня вам. Может у вас будет секундочка, поделиться вашим опытом. При версии выше java 8 TextCodec.BASE64.decode нужного класса не находит, т.к. он из Java EE как я понял, но все же добавить библиотеку jaxb-api не сложно и все работает. Если вы делали подобное на версиях выше Java 8, есть ли какой-то другой подход ? Какие-то новые технологии ? Если кому-то требуется чтобы работало выше чем на Java 8, добавьте в POM dependency javax.xml.bind jaxb-api 2.3.0 com.sun.xml.bind jaxb-impl 2.3.0 com.sun.xml.bind jaxb-core 2.3.0 javax.activation activation 1.1.1

Евгений спасибо за ролик по нём написал свой первый jwt для своего проекта. Но мне не совсем ясно зачем админу давали роль и админа и юзера ? Для ендпоинта админа дали роль админа для всех остальных запросов у нас authenticated же есть.

Спасибо за видео, очень наглядно и полезно. Возник такой вопрос: как можно перехватить JwtAuthenticationException, чтоб на условный фронт возвращался не код 500, а можно было вернуть 401 или 403?

Добрый день! Проясните, пожалуйста, такой момент. В методе контроллера login вызывается authenticationManager.authenticate(new UsernamePasswordAuthenticationToken(username, requestDto.getPassword())); Какая реализация используеться для authenticationManager? Каким образом он понимает, как валидировать пароль и логин? Спасибо заранее!

а где реализация RoleRepository и UserRepository? это же только интерфейсы. Может я что то упустил конечно ... Там нет бинов для этих объектов. При запуске проекта ошибка вылетает

Добрый день. Отличная работа, очень благодарен. Но возникает один вопрос. Как данный сервис использовать между всеми докеризированными микросервисами? Не создавать же отдельный jwt server для каждого. Должно быть решение.

спасибо!

zdrastvuy uvajaemi Eugene , spasibo bolshoe chto delishsya svoim opitom i znaniem s nami) prosto malenkaya prosba k tebe, font size nemnojko uvelichivay

Добрый день, Евгений, все больше углубляюсь в понимание Spring Security, и почитав много документации и разобрав Ваш пример, у меня возник вопрос: Исхожу из посыла, что токен придуман для общения между серверами, чем между пользователями и сервером, чтобы постоянно не брать аутентификацию из сесии ,а там из контекста. и как я понял фронт может обойтись без файлов куки. Тем самым токен позволяет не использовать сессии и как я понял использовать аутентификацию только 1 раз если у пользователя нету токена, чтобы его выдать, а в дальнейшем только проверять токен и тем самым ускорять работу. Само собой, если кто-то украдет токен, и без лишней проверки на аутентификацию, то будет серверу плохо. Но все же, 1. Вопрос. Почему в классе JwtTokenFilter в методе doFilter вы проверяете токен , и если с токеном все хорошо, вы создаете аутентификацию, опять проверяя существует ли юзер в базе данных? но прибегая к обычному UserDetails , если вы используете до этого JwtUser который имплементирует userdetails.Возможно в JwtTokenProvider должен был инжектиться не UserDetailsService, а JwtUserDetailsService? 2. Вопрос Вместо проверки Аутентификации в сесии, мы в том же методете ее устанавливаем каждый раз после проверки токена. Зачем мы это делаем если с токеном все впорядке? почему мы не может пропустить данный пункт(если это еще один пособ проверки, то вопрос исчерпан), и там же мы проводим проверку на null, как аутентификация может быть null, если валидный токен к нам пришел ? 3. Вопрос В контольлере , /login Вы проводите аутентификацию с помощью AuthenficationManager, и если она проходит, то соответственно Вы выдаете токен. Насколько я понял аутентификация происходит автоматически, в остальных методах вы проверку не проводите в ручную, а так же вы не проводите проверку токена, это мне тоже совсем не понятно. Я понял что вы добавили новый фильтр перед аентентификацией, но как его пройти, если токена нету ? Фильтр первый увидел токена нету, включает следующий UsernamePasswordAuthenticationFilter ? Меня не покидает ощущение что нужно было заоверайдить AuthMeneger на новый провайдер, который связан с JwtTokenProvider и JwtUserDetailsService, или нельзя базовую аентентификацию переписывать на JWTToken? поясните этот момент, пожалуйста. Извините, если плохо изложил свои мысли, но данные моменты не дают покоя моей голове, если я что-то не правильно понял о процессе security, разъясните пожалуйста, или дайте ссылку на понимания данного момента.

а как с помощью сервиса авторизации получать доступ к другим сервисами, которые находятся вне сервиса авторизации?

Спасибо! Но , сложновато , конечно ... долго писали базу и модель , в итоге , что касается security , видимо, автор подустал и пошла спешка

С транзакционными методами в сервисах падает: org.springframework.beans.factory.UnsatisfiedDependencyException: Error creating bean with name 'springSecurityConfig': Unsatisfied dependency expressed through field 'jwtTokenProvider'; nested exception is org.springframework.beans.factory.NoSuchBeanDefinitionException: No qualifying bean of type 'com.security.jwt.JwtTokenProvider' available: expected at least 1 bean which qualifies as autowire candidate. Dependency annotations: {@org.springframework.beans.factory.annotation.Autowired(required=true), @org.springframework.beans.factory.annotation.Qualifier("jwtTokenProviderImpl")}

Спасибо Вам! В ру сегменте очень не хватает качественных уроков! Будет ли ещё видео, так как от Вас год ждал видео))

Спасибо огромное за видео! Возник вопрос: когда пишу в AuthenticationRestControllerV1 аннотацию Autowired у конструктора, то authenticationManager подсвечивается красным и пишет: No beans of "AuthenticationManager" type not found. В чём может быть причина?

Ролики супер, огромное спасибо, но запускайте свои проекты пожалуйста перед Push'ем на гит , а то со скаченного проекта с гитхаба выходит карусель при создании бинов, я конечно ее решил, и тем самым понял ваш урок еще лучше, может быть вы так и планировали ?)))

Механизм JWT буквально кричит о том, что не нужно ходить в базу при каждом запросе на сервер. Он хранит информацию о пользователе в самом себе. ..........

Здравствуйте, Евгений. Возможо, где то просмотрел, но не могу найти связть между hasRole("Admin") и записью ROLE_ADMIN, которую мы добавили в базу. Как происходит проверка на админа, как спринг узнает, что этот пользователь админ? Спасибо.

Еще хотелось бы узнать ответ на такие вопросы: В BaseEntity.java класс должен быть abstract ? (У вас просто public class BaseEntity)

@Eugene Suleimanov: Благодаря Вашим видео учусь писать правильно код. Спасибо за это огромное. Вопрос: В чем смысл аннотации @Table @Column если имя совпадает с названием таблицы/столбца ?

Что-бы юзеру фабрику не городить можно в userDetailIml просто положить полем appUser и с него уже выдать все поля геттерами

Евгений, уроки отличные. Но надо сделать хороший звук (здесь он глухой и не заднем плане где-то) и картинку с кодом крупнее.

Благодарю за видео! разбираю сейчас данную тему. не могу понять в каком месте spring security сверяется с базой данных? у меня BadCredentialsException на строчке authenticationManager.authenticate.. база данных postge

Евгений спасибо большое за видео. На текущий момент это единственное видео, которое мне помогло добавить авторизацию с jwt. У меня есть небольшой пет проект с Spring Boot и Angular, где я успешно внедрил данную технологию, но так же у меня остались вопросы в частности о том как создавать refresh токен и как с ним работать. Но больше всего мне интересно как работать с Oauth2 и как совместить его с jwt. Как бы я не старался, у меня не получается совместить их вместе из-за очевидной нехватки знаний и опыта в этих технологиях. Как сделать так, что при запросе с сервера Angular по REST пришел запрос на сервер Spring и Spring обратился к внешнему серверу(Facebook, Google etc, на которых у меня заранее установлено приложение и известны все данные в виде секретного ключа и так далее) и получил от них ответ в виде данных пользователя, который потом передаст по REST другому серверу(Angular). Такая же схема работы с jwt и по сути они отличаются только тем, что от внешнего сервера(Angular) в случае авторизации через Oauth2 запрос приходит с пустым телом(т.к. нет ни пароля ни логина, они вводятся на стороннем 3м сервере). В конченом итоге я хочу реализовать авторизацию пользователя на выбор: или через внутреннюю самого сайта, или через внешнюю(Facebook, Google etc). Все эти сведения только лишь теоретические. Как это реализовать? Куда смотреть-хотя бы на каких ресурсах внятно это объясняется или я не так понимаю, ибо чем больше я ищу информации про REST авторизацию с Oauth2, тем больше у меня возникает вопросов. В идеале хотелось бы увидеть Ваше видеоруководство на подобии текущего, где будет освещенная данная проблема, т.к. я считаю данный вопрос не является каким то частным случаем, на каждом современном веб-ресурсе присутствует авторизация двумя вышеперечисленными способами. Даже на украинском гос.сайте по оплате ЖКХ услуг есть авторизация через гитхаб.

Здравствуйте, Евгений! Может подскажите как перехватывать исключения внутри пакета jwt. ControllerAdvice - перехватывает только все то находится на уровне контроллеров =(. А вот фильтрация происходит раньше, и вот как перехватить исключения ума не приложу Может сталкивались с этим?

Здравствуйте, очень хочется узнать Ваше мнение по поводу построение большого REST приложения по правилам хорошего тона. Есть ли смысл и правильно ли использовать использовать entitiy класы и для бизнес логики и для представления, или же последнее заменять так званными проекциями в spring фреймворке? Как я понимаю entity классы отвечают за представление таблицы базы данных, и использовать эти классы в качестве представление не есть хорошо. Хотелось бы узнать это от более опытного разработчика.

Женя у меня не находит authenticationManager бина.( в AuthenticationRestController в конструкторе есть, автоваред стоит.((

Спасибо! А есть ли пример для микросервисов?

Правильно ли будет сохранять jwt в БД?

А зачем мы используем Liquibase ченджсеты, если при запуске приложения хибернейт и так создает все необходимые таблицы под сущности?

Подскажите пожалуйста, столкнулся с проблемой, делал реализацию jwt в спринге по полному подобию, всегда получаю 403 статус, то есть токен я получил, запихнул в headers, но получаю Access.DENIED. просто написал тоже на спринг бут и все работает, может для простого спринга нужны какие нибудь дополнительные конфиги? Буду благодарен за любой совет

Может быть подскажете, как сделать фильтрацию с динамическим количеством параметров на бэкэнде(restful).

В dto (как и в model) пихать конвертеры так себе идея. Имхо использовать org.springframework.core.convert.converter.Converter было бы правильнее. @Autowired аннотация перед конструктором в используемой версии Spring Core необязательна.