Spring Security - jak skonfigurować?

By -

W poprzednim wpisie opisałem jak działa Spring Security. Przedstawię Wam teraz jak wygląda implementacja tych rzeczy. W przykładach używam Java Configuration. Aplikacja, która zostaje zabezpieczona jest aplikacją internetową. Wybrałem taką, ponieważ to do takich aplikacji najczęściej jest ten framework używany.

Inicjatory

Klasy, które rozpoczynają pracę z aplikacjami internetowymi. Serwer aplikacyjny inicjuje kontekst oraz inne z tym związane rzeczy właśnie przez takiego rodzaju klasy. Jest to alternatywa dla web.xml. U mnie takim inicjatorem jest poniższa klasa:

Ona sama w sobie nic nie robi. Jednakże rozszerza ona klasę abstrakcyjną AbstractSecurityWebApplicationInitializer. Klasa bazowa robi za nas całą konfigurację, którą potrzebujemy aby rozpocząć pracę z Spring Security dla aplikacji webowych. Tworzy ona kontekst aplikacji, jeżeli użyliśmy konstruktora klasy bazowej z argumentem klas konfiguracyjnych (np. wywołując ją w konstruktorze klasy podrzędnej) oraz dodaje filtr do zapytań aplikacji, który będzie wywoływał nasze zabezpieczenie.

Mamy więc już uruchomione filtrowanie zapytań. Musimy teraz przekazać aplikacji jak ma weryfikować użytkownika. Robimy to w pliku konfiguracyjny. U mnie to oczywiście Java Configuration wylądający tak:

Zacznijmy od początku tej klasy. Rozszerza ona klasę WebSecurityConfigurerAdapter, która posiada podstawową konfigurację webowego spring security. A jest ona następująca:

  • Uwierzytelniaj i autoryzuj na każdym adresie. Używaj do tego podstawowej wersji formularza logowania.
  • Ustawia możliwość wylogowania się, weryfikację csrf tokena, ustawia filtr weryfikujący oraz inne obiekty tj. header, sessionManager, securityContext, requestCache, anonymous, servletApi.

Znamy już podstawową konfigurację, trzeba teraz zmodyfikować ją do swoich potrzeb. Tworzymy więc metodę w której zdefiniujemy jak będzie weryfikowany użytkownik. W przedstawionej wcześniej klasie konfigurujemy weryfikacje na podstawie bazy danych. Nad metodą musimy dodać adnotacje @Autowired, która w trakcie tworzenia obiektu, uruchomi tą funkcję z stworzonym wcześniej AuthenticationManagerBuilder'em. My tylko dodamy dodatkową naszą konfigurację. To samo jest z uzyskaniem dostępu do dataSource. Tutaj też używamy tej adnotacji. A więc co robi następujący kod?

auth.jdbcAuthentication().dataSource(dataSource).passwordEncoder(passwordEncoder())
    .usersByUsernameQuery(
        "select username, password, enabled from users where username=?")
    .authoritiesByUsernameQuery(
        "select u.username, r.name from user_roles ur, users u, roles r where u.username=? and u.user_id = ur.user_id and ur.role_id = r.role_id");

Tutaj przydałby się opis kreacyjnego wzorca projektowego Builder. W skrócie mogę powiedzieć, że celem tego wzorca jest zbudowanie obiektu wykorzystując ciąg funkcji. Na samym końcu używa się funkcji zatwierdzającej (w StringBuilder jest to toString(), a w AuthenticationManagerBuilder jest to metoda build()).

Dodajemy tutaj właśnie do naszego ciągu kolejne wartości lub funkcjonalności dla AuthenticationManager'a. Na początku zaznaczamy, że chcemy skorzystać z Java DataBase Connectivity do uwierzytelniania. Po wywołaniu tej funkcji otrzymujemy następnego budowniczego dla konfiguracji JDBC. U w nim stawiamy źródło danych, koder, zapytanie weryfikujące użytkownika oraz zapytanie sprawdzające role, które użytkownik posiada.

Posiadamy, więc już konfigurację sprawdzania użytkownika. Oczywiście w bazie potrzebujemy takich tabel oraz danych w tych tabelach, aby się zalogować.

Przedstawimy teraz jakie adresy oraz jak ma weryfikować nasz filtr:

http.authorizeRequests()
    .antMatchers("/resources/**").permitAll() 
        .anyRequest().authenticated()
        .and()
    .formLogin()
        .loginPage("/login")
        .permitAll()
        .and()
    .logout()                                    
        .permitAll().and().rememberMe().
            tokenValiditySeconds(1209600).and().csrf().disable();

Przekazujemy modułowi zabezpieczeń, że resources są dostępne dla wszystkich. Następnie dla wszystkich innych adresów ma być użytkownik zalogowany. Do logowania korzystamy z strony pod adresem /login, do której mają dostęp wszyscy i analogicznie do wylogowania. Ustawiamy potem opcję zapamiętania zalogowanego użytkownika poprzez token na 2 tygodnie. Wyłączamy zabezpieczenie przed csrf, bo aktualnie nam nie jest potrzebny.

Po tym wszystkim pamiętamy o umieszczeniu adnotacji @EnableWebSecurity nad klasą konfiguracyjną.

Ciekawostka - jak zweryfikować czy jest zalogowany jakiś użytkownik?

Wspominałem w poprzednim wpisie, że anonimowy użytkownik też posiada swój token uwierzytelniający. Aby sprawdzić czy użytkownik jest zalogowany i nie jest użytkownikiem anonimowych wystarczy taki kod:

/**
* Checking user is not anonymous
* @return {@code true} if is not anonymous
*/
private boolean isNotAnonymousUser(){
    Authentication auth = SecurityContextHolder.getContext().getAuthentication();
    return !(auth == null || auth instanceof AnonymousAuthenticationToken);
}

Podsumowanie

Jak widać konfiguracja prostego i działającego modułu zabezpieczającego nie należy do trudnych spraw. Wystarczy użyć kilka gotowych klas oraz nadpisać dwie metody i zaczyna nam to jakoś działać. Oczywiście moduł security pozwala na bardziej skomplikowane rzeczy. Zapraszam do zapoznania się z teorią związaną z Spring Security, która na pewno rozjaśni kilka rzeczy z nim związanych. Rozwijający się moduł security jest umieszczony na platformie github.

Comments

Post a Comment

Popular posts from this blog

Why TDD is bad practice?

By -
Image
Did you listen that TDD is bad? What do you think about it? I have my opinion about it! TDD is bad because... We don't have time to write tests first - I think this is a good point. I sometimes don't have time for that. Why? Because I need to do quickly fix on our code and deploy it. In this case I don't have time to create test after wrote production code too. The even worse case is when we have tested this part of our code and test after change doesn't work. I don't like this, because I must read tests and thinking about repair tests for new logic. I really don't like this. I would like to create new test and remove old every time when I have that situation. What's wrong with the test first on this case? Nothing, because if you have time to write tests after create code, you have time to create test before it. Don't you think so? We know how will implement it, but we don't know how testing it - I think a lot of developers have this problem,
Read more >>

How correctly imitate dependencies?

By -
Image
This is continuous of my previous post about why we should imitate our dependencies. I did it not long ago. I though about how do it properly and when I can say that it is correct. Start from test and real dependencies I am starting from the tests. I wrote the simple tests which, I though, are correct. That was my learned about dependencies. I had the good situation that I had some prepared tests before. During the writing test I got a knowledge. A lot of time, I verified what the system return. After it, I got the full automated tests for my dependency. Now, I am sure that dependency works like I think. Like my test use it. I think this is a very good advantage. Extract the interface for communicating The implementation to communicate is implemented and tested. Our test, if you implement it like functionality test, not code test, should show us, how we want to use our dependency. We know what parameters we use, what methods. We know what we want. That is a place where we must extr
Read more >>

Software development using Angular 5 with Spring Boot

By -
Image
Hi everyone. My last the bigger post is about configuration Spring Boot and Angular 5 . After that instruction we have integrated both technology on one app. If you created it you know that development is very hard in this case. We must waiting for build a client and it isn't effective. We can use webpack-dev-server to speed up this process, so this post is just about it. Angular and webpack-dev-server I think I have to explain webpack and webpack-dev-server. The first tools let pack our angular app to one or more files. This files is bundles. It is for improve speed of our app. Why? Because one page application need all files on start by assumption. The better way is load it using only one connection and one file, because establishing connection taking time. This is a few information about webpack, but what is webpack-dev-server? This is the tool. It serve our that files which webpack compiled, but it working on memory, so we have quick result on our browser. This is a amazing
Read more >>