Spring Security. Простая конфигурация

При разработке вэб приложения рано или поздно необходимо решать задачу безопасности. В этом вопросе Spring Security предоставляет комплексные решения безопасности, аутентификации и авторизации. Построенный на основе Spring Framework, Spring Security имеет все преимущества Dependecy Injection и AOP

Конфигурация Spring Security начинается со следующих моментов:

  package spitter.config;
  import org.springframework.context.annotation.Configuration;
  import org.springframework.security.config.annotation.web.
  configuration.WebSecurityConfigurerAdapter;
  import org.springframework.security.config.annotation.web.servlet.
  configuration.EnableWebMvcSecurity;

  @Configuration//1
  @EnableWebMvcSecurity//2
  public class SecurityConfig 
   extends WebSecurityConfigurerAdapter { //3
  }

Важно обратить внимание на

• 1 - обозначить наш класс как спринг конфигурацию
• 2 - аннотация @EnableWebMvcSecurity, которая "включает" Spring Security
• 3 - @EnableWebMvcSecurity не будет работать, если наш класс не наследует WebSecurityConfigurerAdapter или WebSecurityConfigurerAdapter как в нашем примере

Сама конфигурация происходит через переопределение одного из методов configure:

• configure(WebSecurity)
• configure(HttpSecurity)
• configure(AuthenticationManagerBuilder)

Вот пример самой простой конфигурации (через http basic):

  @Override
  protected void configure(HttpSecurity http) throws Exception {
   http
    .authorizeRequests()
     .anyRequest().authenticated()
     .and()
    .httpBasic();
  }

Этот пример нам говорит о том, что все http запросы к нашему приложению должны быть аутентифицированы(authorizeRequests().anyRequest().authenticated()) и логин происходит через преконфигуренную логин форму и логин страницу(formLogin()).

Следующий шаг конфигурации - это подготовка хранилища юзеров для аутентификации, специализировать моменты, где нужна аутентификация, а где - нет, предоставить свою логин пейджу

Самый простой способо воспользоваться "in-memory" хранищем:

      @Override
      protected void configure(AuthenticationManagerBuilder auth) throws Exception {
          auth.inMemoryAuthentication()
                  .withUser("user").password("password").roles("USER").and()
                  .withUser("admin").password("password").roles("USER", "ADMIN");

      }

Можно провести аутентификацию через базу данных:

      @Override
      protected void configure(AuthenticationManagerBuilder auth) throws Exception {
          auth.jdbcAuthentication().dataSource(dataSource)
                  .usersByUsernameQuery(
                          "select name, password_hash, true from users where name=?")
                  .authoritiesByUsernameQuery(
                          "SELECT name, id"
                                  + "  FROM roles where id in "
                                  + "(SELECT role_id FROM jt_roles where user_id in "
                                  + "(SELECT id FROM users where name = ?) )")
                  .passwordEncoder(new BCryptPasswordEncoder());
      }

Конфигурем логин пейджу

 registry.addViewController("/login").setViewName("admin/login");

Eсли у нашего приложения есть админка и мы хотим обезопасить доступ только к этой админке(1, путь - /admin/**) и наша собственная логин страница(2) :

      @Override
      protected void configure(HttpSecurity http) throws Exception {
          http
                  .authorizeRequests()
                  .antMatchers("/admin/**").authenticated()//1
                      .and()
                  .formLogin().loginPage("/login").failureUrl("/login?error"); //2
      }

Если кроме юзеров и ролей вам нужно еще выбрать пермишены и у вас более сложная настройко, то удобно делать конфигурацию через UserDetailsService. Для этого нам нужно реализовать интрефейс с одним методом, который должен вернуть объект типа UserDetails:

public interface UserDetailsService {
UserDetails loadUserByUsername(String username) throws UsernameNotFoundException;
}

В моем примере это выглядит так:

@Component("userDetailsService")
public class PermissionCentricUserDetailsService implements UserDetailsService {

    private final Logger log = LoggerFactory.getLogger(this.getClass());

    @Autowired
    private UserRepository userRepository;

    @Override
    public UserDetails loadUserByUsername(final String login) {
        log.debug("Authenticating {}", login);
        String lcLogin = login.toLowerCase();
        Optional dbUser = userRepository.findOneByName(lcLogin);
        return dbUser
            .map(u -> {
                List grantedRoles = u.getRoles().stream()
                    .map(role -> new SimpleGrantedAuthority(role.getName()))
                    .collect(Collectors.toList());
                return new PermissionCentricUserDetails(lcLogin, u.getId(), u.getPasswordHash(),
                                                        grantedRoles, u.getRoles());
            })
            .orElseThrow(() -> new UsernameNotFoundException("No such user: " + lcLogin));
    }
}

....

public class PermissionCentricUserDetails extends User {
...
}
//User реализует интерфейс UserDetails

Это все базовые моменты, которые касаются конфигурацией на уровне web. Дальше рассмотрим секьюрити на уровне методов. Базовые настройки:

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)//1
@ComponentScan(basePackages = {"com.getman.security"})
public class SecurityConfig extends WebSecurityConfigurerAdapter {
...
}

Мы исользуем аннотацию(1) @EnableGlobalMethodSecurity чтобы секьюрити через методы стало доступным. Указываем какого именно типа аннотоция должна стать доступна. В данном случае @PreAuthorize. Можно использовать следуюшие типы аннотаций:

• @Secured - базовая спринговая аннотация, если мы просим доступ к аннотированному методу, но проходим аутентификацию, получаем - исключение Spring Security
• @RolesAllowed - то же самое, что и @Secured, только стандартная java аннотация(JSR-250)
• @PreAuthorize, @PostAuthorize - выбросим исключение, если не пройдем авторизацию, но в первом случае метод не будет вызван, во втором будет(на основе выражения, переданного аннотации)
• @PostFilter, @PreFilter - в первом случае фильтруем результат, во втором - входные параметры на основе выражения, которое передаем аннотации

Имеем 4 аннотации, которые принимают SpEL(Spring Expression language) выражения - @PreAuthorize, @PostAuthorize, @PostFilter, @PreFilter. В моем примере можно увидеть:

    @PreAuthorize("@securityUtils.hasPermission('VIEW_CUSTOMERS')")
    @RequestMapping(value = "/customerRecord",method = RequestMethod.GET)
    public String viewCustomerRecord(Model model, @RequestParam Optional id) {
        if (id.isPresent()) {
            customer = customerRepository.findOne(id.get());
            Iterable orderByCustomer =
                    customerOrderRepository.findByCustomer(customer);
            Iterator iterator = orderByCustomer.iterator();
            order = iterator.hasNext() ? iterator.next() : null;
        }
        model.addAttribute("customerRecord", customer);
        model.addAttribute("order", order);
        return "admin/index";
    }

    ...

@Component
public final class SecurityUtils {

 ...

    /**
     * Checks currently authenticated user for having specified {@link Permission} among roles.
     *
     * @param permission toString() representation of {@link Permission}
     * @return true if the specified permission is found in any of the user's roles, false otherwise.
     */
    public static boolean hasPermission(String permission) {
        return hasPermission(Permission.valueOf(permission));
    }

    /**
     * Checks currently authenticated user for having specified {@link Permission} among roles.
     *
     * @param permission {@link Permission} instance.
     * @return true if the specified permission is found in any of the user's roles, false otherwise.
     */
    public static boolean hasPermission(Permission permission) {

        Authentication authentication = SecurityContextHolder.getContext().getAuthentication();

        if (permission != null && authentication != null) {
            Object principal = authentication.getPrincipal();
            if (principal instanceof PermissionCentricUserDetails) {
                return
                        ((PermissionCentricUserDetails) principal)
                                .getPermissions()
                                .contains(permission);
            }
        }
        return false;
    }
}    

На мой взгяд это удобно для рест сервиса, а для обычного веб приложения хватит обычное web аутентификация. В целом фреймворк очень удобный как с точки зрения быстрой настройки секьюрити, так и с точки зрения более продвинутых фич. Вот мой код с двумя модулями: initial (без секьюрити) и base-security(защищенное)