Вступ в Spring Security. Hello World!

червня
27
2012
Мітки: java mvc security spring

Зміст

Цією статтею починається серія статей про Spring Security - Java-фреймворк безпеки, який широко використовується Spring-спільнотою, головним чином у веб.

Spring Security - це Java/Java EE фреймворк, що надає механізми побудови систем аутентифікації та авторизації, а також інші можливості забезпечення безпеки для промислових програм, створених за допомогою Spring Framework. Проект був розпочатий Беном Алексом (Ben Alex) в кінці 2003 року під ім'ям «Acegi Security» і був публічно представлений під ліцензією Apache License в березні 2004. Згодом був включений в Spring як офіційний дочірній проект. Вперше публічно представлений під новим ім'ям Spring Security 2.0.0 в квітні 2008 року, що включило офіційну підтримку та підготовку від SpringSource.

У першу чергу додамо залежності в pom.xml для підключення бібліотек Spring Security:


<!-- Spring Security -->
<dependency>
	<groupId>org.springframework.security</groupId>
	<artifactId>spring-security-core</artifactId>
	<version>3.1.0.RELEASE</version>
</dependency>

<dependency>
	<groupId>org.springframework.security</groupId>
	<artifactId>spring-security-web</artifactId>
	<version>3.1.0.RELEASE</version>
</dependency>

<dependency>
	<groupId>org.springframework.security</groupId>
	<artifactId>spring-security-config</artifactId>
	<version>3.1.0.RELEASE</version>
</dependency>

pom.xml

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
	xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/maven-v4_0_0.xsd">
	<modelVersion>4.0.0</modelVersion>
	<groupId>com.seostella</groupId>
	<artifactId>springsecuritybasics</artifactId>
	<name>spring-security-basics</name>
	<packaging>war</packaging>
	<version>1.0.0-BUILD-SNAPSHOT</version>
	<properties>
		<java-version>1.6</java-version>
		<org.springframework-version>3.1.0.RELEASE</org.springframework-version>
		<org.aspectj-version>1.6.9</org.aspectj-version>
		<org.slf4j-version>1.5.10</org.slf4j-version>
	</properties>
	<dependencies>
		<!-- Spring -->
		<dependency>
			<groupId>org.springframework</groupId>
			<artifactId>spring-context</artifactId>
			<version>${org.springframework-version}</version>
			<exclusions>
				<!-- Exclude Commons Logging in favor of SLF4j -->
				<exclusion>
					<groupId>commons-logging</groupId>
					<artifactId>commons-logging</artifactId>
				 </exclusion>
			</exclusions>
		</dependency>
		<dependency>
			<groupId>org.springframework</groupId>
			<artifactId>spring-webmvc</artifactId>
			<version>${org.springframework-version}</version>
		</dependency>
				
		<!-- Spring Security -->
		<dependency>
			<groupId>org.springframework.security</groupId>
			<artifactId>spring-security-core</artifactId>
			<version>${org.springframework-version}</version>
		</dependency>

		<dependency>
			<groupId>org.springframework.security</groupId>
			<artifactId>spring-security-web</artifactId>
			<version>${org.springframework-version}</version>
		</dependency>

		<dependency>
			<groupId>org.springframework.security</groupId>
			<artifactId>spring-security-config</artifactId>
			<version>${org.springframework-version}</version>
		</dependency>
		
		<!-- AspectJ -->
		<dependency>
			<groupId>org.aspectj</groupId>
			<artifactId>aspectjrt</artifactId>
			<version>${org.aspectj-version}</version>
		</dependency>	
		
		<!-- Logging -->
		<dependency>
			<groupId>org.slf4j</groupId>
			<artifactId>slf4j-api</artifactId>
			<version>${org.slf4j-version}</version>
		</dependency>
		<dependency>
			<groupId>org.slf4j</groupId>
			<artifactId>jcl-over-slf4j</artifactId>
			<version>${org.slf4j-version}</version>
			<scope>runtime</scope>
		</dependency>
		<dependency>
			<groupId>org.slf4j</groupId>
			<artifactId>slf4j-log4j12</artifactId>
			<version>${org.slf4j-version}</version>
			<scope>runtime</scope>
		</dependency>
		<dependency>
			<groupId>log4j</groupId>
			<artifactId>log4j</artifactId>
			<version>1.2.15</version>
			<exclusions>
				<exclusion>
					<groupId>javax.mail</groupId>
					<artifactId>mail</artifactId>
				</exclusion>
				<exclusion>
					<groupId>javax.jms</groupId>
					<artifactId>jms</artifactId>
				</exclusion>
				<exclusion>
					<groupId>com.sun.jdmk</groupId>
					<artifactId>jmxtools</artifactId>
				</exclusion>
				<exclusion>
					<groupId>com.sun.jmx</groupId>
					<artifactId>jmxri</artifactId>
				</exclusion>
			</exclusions>
			<scope>runtime</scope>
		</dependency>

		<!-- @Inject -->
		<dependency>
			<groupId>javax.inject</groupId>
			<artifactId>javax.inject</artifactId>
			<version>1</version>
		</dependency>
				
		<!-- Servlet -->
		<dependency>
			<groupId>javax.servlet</groupId>
			<artifactId>servlet-api</artifactId>
			<version>2.5</version>
			<scope>provided</scope>
		</dependency>
		<dependency>
			<groupId>javax.servlet.jsp</groupId>
			<artifactId>jsp-api</artifactId>
			<version>2.1</version>
			<scope>provided</scope>
		</dependency>
		<dependency>
			<groupId>javax.servlet</groupId>
			<artifactId>jstl</artifactId>
			<version>1.2</version>
		</dependency>
	
		<!-- Test -->
		<dependency>
			<groupId>junit</groupId>
			<artifactId>junit</artifactId>
			<version>4.7</version>
			<scope>test</scope>
		</dependency>        
	</dependencies>
    <build>
        <plugins>
            <plugin>
                <artifactId>maven-eclipse-plugin</artifactId>
                <version>2.9</version>
                <configuration>
                    <additionalProjectnatures>
                        <projectnature>org.springframework.ide.eclipse.core.springnature</projectnature>
                    </additionalProjectnatures>
                    <additionalBuildcommands>
                        <buildcommand>org.springframework.ide.eclipse.core.springbuilder</buildcommand>
                    </additionalBuildcommands>
                    <downloadSources>true</downloadSources>
                    <downloadJavadocs>true</downloadJavadocs>
                </configuration>
            </plugin>
            <plugin>
                <groupId>org.apache.maven.plugins</groupId>
                <artifactId>maven-compiler-plugin</artifactId>
                <version>2.3.2</version>
                <configuration>
                    <source>1.6</source>
                    <target>1.6</target>
                    <compilerArgument>-Xlint:all</compilerArgument>
                    <showWarnings>true</showWarnings>
                    <showDeprecation>true</showDeprecation>
                </configuration>
            </plugin>
            <plugin>
                <groupId>org.codehaus.mojo</groupId>
                <artifactId>exec-maven-plugin</artifactId>
                <version>1.2.1</version>
                <configuration>
                    <mainClass>org.test.int1.Main</mainClass>
                </configuration>
            </plugin>
        </plugins>
    </build>
</project>

Потім, виділимо налаштування безпеки в окремий файл application-security.xml, змінивши в web.xml наступні рядки:


<context-param>
	<param-name>contextConfigLocation</param-name>
	<param-value>
		/WEB-INF/spring/root-context.xml
		/WEB-INF/spring/application-security.xml
	</param-value>
</context-param>

Також необхідно додати фільтри Spring Security у файл web.xml:


<filter>
	<filter-name>springSecurityFilterChain</filter-name>
	<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>

<filter-mapping>
	<filter-name>springSecurityFilterChain</filter-name>
	<url-pattern>/*</url-pattern>
</filter-mapping>

web.xml

<?xml version="1.0" encoding="UTF-8"?>
<web-app version="2.5" xmlns="http://java.sun.com/xml/ns/javaee"
	xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
	xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd">

	<!-- The definition of the Root Spring Container shared by all Servlets 
		and Filters -->
	<context-param>
		<param-name>contextConfigLocation</param-name>
		<param-value>
			/WEB-INF/spring/root-context.xml
			/WEB-INF/spring/application-security.xml
		</param-value>
	</context-param>

	<!-- Creates the Spring Container shared by all Servlets and Filters -->
	<listener>
		<listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
	</listener>

	<!-- Processes application requests -->
	<servlet>
		<servlet-name>appServlet</servlet-name>
		<servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>
		<init-param>
			<param-name>contextConfigLocation</param-name>
			<param-value>/WEB-INF/spring/appServlet/servlet-context.xml</param-value>
		</init-param>
		<load-on-startup>1</load-on-startup>
	</servlet>

	<servlet-mapping>
		<servlet-name>appServlet</servlet-name>
		<url-pattern>/</url-pattern>
	</servlet-mapping>

	<filter>
		<filter-name>springSecurityFilterChain</filter-name>
		<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
	</filter>

	<filter-mapping>
		<filter-name>springSecurityFilterChain</filter-name>
		<url-pattern>/*</url-pattern>
	</filter-mapping>

</web-app>

Власне налаштування Spring Security (файл application-security.xml) виглядають наступним чином:


<?xml version="1.0" encoding="UTF-8"?>
<beans:beans xmlns="http://www.springframework.org/schema/security"
	xmlns:beans="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
	xsi:schemaLocation="http://www.springframework.org/schema/beans 
                    http://www.springframework.org/schema/beans/spring-beans-3.0.xsd
                    http://www.springframework.org/schema/security 
                    http://www.springframework.org/schema/security/spring-security-3.1.xsd">

	<http pattern="/css/**" security="none" />
	
	<http auto-config="true">
		<intercept-url pattern="/secure/**" access="ROLE_USER" />
		<intercept-url pattern="/admin/**" access="ROLE_ADMIN" />
	</http>	

	<authentication-manager>
		<authentication-provider>
			<user-service>
				<user name="admin" password="adminpassword" authorities="ROLE_USER, ROLE_ADMIN" />
				<user name="user" password="userpassword" authorities="ROLE_USER" />
			</user-service>
		</authentication-provider>
	</authentication-manager>
</beans:beans>   

Це максимально спрощений приклад. Розглянемо кожну частину цієї конфігурації.


<authentication-manager>
	<authentication-provider>
		<user-service>
			<user name="admin" password="adminpassword" authorities="ROLE_USER, ROLE_ADMIN" />
			<user name="user" password="userpassword" authorities="ROLE_USER" />
		</user-service>
	</authentication-provider>
</authentication-manager>

За допомогою коду, який представлений вище, створюється два користувачі в пам'яті: user з паролем userpassword і admin з паролем adminpassword. Також є інші способи отримання користувачів: із бази даних, з LDAP та ін Вони будуть розглянуті в наступних частинах статті.

Зверніть увагу, що користувачеві user одразу ж надається роль ROLE_USER, а користувачеві admin - дві ролі ROLE_USER і ROLE_ADMIN. В кінцевому підсумку користувачеві admin будуть доступні всі сторінки з прикладу, а користувачеві user - лише деякі.


<http auto-config="true">
	<intercept-url pattern="/secure/**" access="ROLE_USER" />
	<intercept-url pattern="/admin/**" access="ROLE_ADMIN" />
</http>

Якщо анонімний користувач спробує зайти на сторінку /secure/, він буде перенаправлений на сторінку авторизації.

Рис 1. Сторінка авторизації
Рис 1. Сторінка авторизації

Цієї сторінки немає в проекті, вона створюється Spring Security автоматично завдяки атрибуту auto-config="true" тега http. Як привести її в потрібний користувачеві вигляд буде розказано в наступних розділах.

Якщо користувач user спробує зайти на сторінку з адресою /admin/, він побачить таку сторінку:

Рис 2. HTTP Status 403 - Access is denied
Рис 2. HTTP Status 403 - Access is denied

Про те, як привести сторінку з HTTP-помилкою в привабливий вигляд розказано в статті Помилки HTTP-протоколу в Spring MVC.

Останній нерозглянутий рядок конфігурації повідомляє Spring Security, що всі ресурси, які починаються з адреси /css/ є публічними:


<http pattern="/css/**" security="none" />

Завантажити проект, що демонструє роботу прикладу зі статті, Ви можете за наступним посиланням - Завантажити spring-security-basics.zip.

Spring Security. Сторінка Login >

Коментарі (2)

hasker
23 травня 2013 р. 00:31
Большое спасибо вам за статью по Spring Security!
Побольше бы таких хороших статей в интернете...
Misha
8 грудня 2013 р. 02:30
Хорош :)) ТО, что надо.
Hasker, +1. В нете мало нормальной информации по Spring Security.
Ви повинні увійти під своїм аккаунтом щоб залишати коментарі