Spring Security - jak to działa?

By -

Postanowiłem poczytać i zaznajomić się z technologią Spring Security. Przedstawię Wam, wiedzę którą zdobyłem w sposób jaki ja bym chciał ją zdobyć. Mam nadzieję, że tym wpisem pomogę Wam zrozumieć jak działa spring security.

Co to jest Spring Security i do czego służy?

Spring Security to framework, który służy do zabezpieczenia aplikacji. Skupia się ona na warstwie samej aplikacji i zajmuje się dwoma zagadnieniami: uwierzytelnianiem (sprawdzenie kim jest użytkownik, czyli logowanie wszelkiego rodzaju) i autoryzowaniem (sprawdzeniem czy użytkownik ma prawa do zasobów (stron, plików, zapytań itd.)). Stał się bardzo popularny w rozwiązaniach biznesowych, ponieważ pozwalają na prostą i szybką konfigurację tej warstwy zabezpieczeń. Framework stale jest rozwijany i uzyskuje coraz to nowsze rozwiązania. W trakcie pisania tego wpisu posiada już kilkanaście gotowych rozwiązań. Jednocześnie umożliwia implementacje własnych rozwiązań.

Do czego używać?

Spring Security można używać do każdej aplikacji. W większości przypadków jednak używa się go do aplikacji webowych.

Jak działa?

Poznając framework można zauważyć podobieństwo do Java Persistance API. Musimy znaleźć dostawce naszego sposobu autoryzacji. Rozwiązania mogą być różne trzymanie użytkowników w pamięci, w bazie danych LDAP, Google+, facebook, jak i OpenID. Posiadając dostawcę, możemy go skonfigurować tak jak potrzebujemy. Następnie używając go możemy zweryfikować czy podane dane są prawidłowe. Ustawiamy w kontekście zabezpieczeń aplikacji uwierzytelnionego użytkownika. Następnie możemy w aplikacji weryfikować czy posiada on odpowiednią rolę w aplikacji, aby mieć dostęp do jej zasobów. Oczywiście tutaj nie posiadamy żadnych ograniczeń. Sami możemy zadecydować jaką metodą będziemy sprawdzać zakres możliwości użytkownika. Twórcy frameworka ułatwiają całą tą czynność. Udostępniają gotowe rozwiązania (np. dla aplikacji internetowych). Wystarczy napisać konfigurację (np. które zasoby mają być sprawdzane). Reszta rzeczy robi się "automagicznie".

W skrócie działa to tak:

  1. Użytkownik uwierzytelnia się,
  2. Dane zostają przekazane do funkcji uwierzytelniającej (w aplikacji webowej np. przez filtry, w samodzielnej sami przekazujemy przez kontroler itd.).
  3. Tworzymy token uwierzytelnienia i przekazujemy do dostawcy (provider) rozwiązania zabezpieczenia. Tutaj możemy mieć swoją klasę, która to robi.
  4. Dostawca zwraca nam czy użytkownik jest poprawnie zalogowany i dane o nim (np. jakie ma role w aplikacji itd.).
  5. Ustawiamy do kontekstu aplikacji dane użytkownika.
  6. Przy dostępie do jakiegoś zabezpieczonego zasobu sprawdzamy czy użytkownik ma do niego prawo i odpowiednio pozwalamy na dostęp do niego lub nie(tutaj też możemy użyć własnych rozwiązań).

Warto wiedzieć.

Występuje coś takiego jak anonimowy użytkownik. Najczęściej to on nie powinien mieć praw do żadnych strzeżonych zasobów. Osoba jest anonimowa wraz z korzystaniem z niestrzeżonych źródeł i nie będąc zalogowanym. Trzeba o tym pamiętać, gdy chcemy sprawdzić czy osoba jest uwierzytelniona. Otóż mając token anonimowego użytkownika osoba nie jest zalogowana.

Podsumowanie

Oto wszystko w moim wpisie. Mam nadzieję, że przybliżyłem Wam jak działa Spring Security. Podsumowując, framework udostępnia nam już gotowe rozwiązania zabezpieczenia aplikacji, które tylko konfigurujemy. Ułatwia to nam pisanie logiki biznesowej. Nie marnujemy przy tym naszego cennego czasu. Oczywiście, jest to tylko część funkcjonalności tego frameworku. Opisałem tylko najczęściej używany scenariusz.

Comments

Post a Comment

Popular posts from this blog

Why TDD is bad practice?

By -
Image
Did you listen that TDD is bad? What do you think about it? I have my opinion about it! TDD is bad because... We don't have time to write tests first - I think this is a good point. I sometimes don't have time for that. Why? Because I need to do quickly fix on our code and deploy it. In this case I don't have time to create test after wrote production code too. The even worse case is when we have tested this part of our code and test after change doesn't work. I don't like this, because I must read tests and thinking about repair tests for new logic. I really don't like this. I would like to create new test and remove old every time when I have that situation. What's wrong with the test first on this case? Nothing, because if you have time to write tests after create code, you have time to create test before it. Don't you think so? We know how will implement it, but we don't know how testing it - I think a lot of developers have this problem,
Read more >>

How correctly imitate dependencies?

By -
Image
This is continuous of my previous post about why we should imitate our dependencies. I did it not long ago. I though about how do it properly and when I can say that it is correct. Start from test and real dependencies I am starting from the tests. I wrote the simple tests which, I though, are correct. That was my learned about dependencies. I had the good situation that I had some prepared tests before. During the writing test I got a knowledge. A lot of time, I verified what the system return. After it, I got the full automated tests for my dependency. Now, I am sure that dependency works like I think. Like my test use it. I think this is a very good advantage. Extract the interface for communicating The implementation to communicate is implemented and tested. Our test, if you implement it like functionality test, not code test, should show us, how we want to use our dependency. We know what parameters we use, what methods. We know what we want. That is a place where we must extr
Read more >>

Software development using Angular 5 with Spring Boot

By -
Image
Hi everyone. My last the bigger post is about configuration Spring Boot and Angular 5 . After that instruction we have integrated both technology on one app. If you created it you know that development is very hard in this case. We must waiting for build a client and it isn't effective. We can use webpack-dev-server to speed up this process, so this post is just about it. Angular and webpack-dev-server I think I have to explain webpack and webpack-dev-server. The first tools let pack our angular app to one or more files. This files is bundles. It is for improve speed of our app. Why? Because one page application need all files on start by assumption. The better way is load it using only one connection and one file, because establishing connection taking time. This is a few information about webpack, but what is webpack-dev-server? This is the tool. It serve our that files which webpack compiled, but it working on memory, so we have quick result on our browser. This is a amazing
Read more >>