RSS

JavaEE: SpringSecurity

16 Jul

La siguiente demo que vamos a hacer, es una pequeñita demostración con Spring Security. Además, vamos a hacerla con nuestros credenciales almacenados en un XML y no en la BBDD como sería lo más normal para dar soporte a un gran sistema con multitud de usuarios y roles.

Como en veces anteriores, vamos a crear nuestro proyecto en Eclipse con maven y sin arquetipo, tras esto, rellenaremos el fichero pom.xml con el siguiente contenido:

pom.xml

<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
        xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
        <modelVersion>4.0.0</modelVersion>
        <groupId>com.wordpress.infow</groupId>
        <artifactId>springSecurity</artifactId>
        <version>1.0</version>
        <packaging>war</packaging>
        <name>springSecurity</name>
        <url>http://www.infow.wordpress.com</url>

        <properties>
                <spring.version>3.2.3.RELEASE</spring.version>
                <spring.security.version>3.1.4.RELEASE</spring.security.version>
        </properties>

        <dependencies>
                <!-- Spring 3 -->
                <dependency>
                        <groupId>org.springframework</groupId>
                        <artifactId>spring-core</artifactId>
                        <version>${spring.version}</version>
                </dependency>

                <dependency>
                        <groupId>org.springframework</groupId>
                        <artifactId>spring-web</artifactId>
                        <version>${spring.version}</version>
                </dependency>

                <dependency>
                        <groupId>org.springframework</groupId>
                        <artifactId>spring-webmvc</artifactId>
                        <version>${spring.version}</version>
                </dependency>

                <!-- Spring Security -->
                <dependency>
                        <groupId>org.springframework.security</groupId>
                        <artifactId>spring-security-core</artifactId>
                        <version>${spring.security.version}</version>
                </dependency>

                <dependency>
                        <groupId>org.springframework.security</groupId>
                        <artifactId>spring-security-web</artifactId>
                        <version>${spring.security.version}</version>
                </dependency>

                <dependency>
                        <groupId>org.springframework.security</groupId>
                        <artifactId>spring-security-config</artifactId>
                        <version>${spring.security.version}</version>
                </dependency>

                <!-- jstl -->
                <dependency>
                        <groupId>javax.servlet</groupId>
                        <artifactId>jstl</artifactId>
                        <version>1.2</version>
                </dependency>
        </dependencies>

        <build>
                <finalName>SpringSec</finalName>
                <plugins>
                        <plugin>
                                <groupId>org.apache.maven.plugins</groupId>
                                <artifactId>maven-compiler-plugin</artifactId>
                                <version>3.1</version>
                                <configuration>
                                        <source>1.7</source>
                                        <target>1.7</target>
                                </configuration>
                        </plugin>
                </plugins>
        </build>
</project>

Una vez añadido esto, vamos a proceder a rellenar los ficheros de configuración que estarán contenidos en webapp/WEB-INF/. Estos serán: mvc-dispatcher-servlet.xml con la configuración de nuestras páginas, el spring-security.xml con la configuración relativa a la seguridad y, en este caso, nuestros credenciales de acceso, y el web.xml que, como en veces anteriores, contendrá nuestra configuración general.

mvc-dispatcher-servlet.xml

<beans xmlns="http://www.springframework.org/schema/beans"
        xmlns:context="http://www.springframework.org/schema/context"
        xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
        xsi:schemaLocation="
        http://www.springframework.org/schema/beans
        http://www.springframework.org/schema/beans/spring-beans-3.0.xsd
        http://www.springframework.org/schema/context
        http://www.springframework.org/schema/context/spring-context-3.0.xsd">

        <context:component-scan base-package="com.wordpress.infow.controller" />

        <bean
                class="org.springframework.web.servlet.view.InternalResourceViewResolver">
                <property name="prefix">
                        <value>/WEB-INF/pages/</value>
                </property>
                <property name="suffix">
                        <value>.jsp</value>
                </property>
        </bean>

</beans>

spring-security.xml

<beans:beans xmlns="http://www.springframework.org/schema/security"
        xmlns:beans="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
        xsi:schemaLocation="http://www.springframework.org/schema/beans
        http://www.springframework.org/schema/beans/spring-beans-3.0.xsd
        http://www.springframework.org/schema/security
        http://www.springframework.org/schema/security/spring-security-3.1.xsd">

        <http auto-config="true">
                <intercept-url pattern="/welcome*" access="ROLE_USER" />
                <form-login login-page="/login" default-target-url="/welcome"
                        authentication-failure-url="/loginfailed" />
                <logout logout-success-url="/logout" />
        </http>

        <authentication-manager>
                <authentication-provider>
                        <password-encoder hash="sha" />
                        <user-service>
                                <user name="svoboda" password="f2b14f68eb995facb3a1c35287b778d5bd785511"
                                        authorities="ROLE_USER" />
                        </user-service>
                </authentication-provider>
        </authentication-manager>

</beans:beans>

En este fichero vemos un par de cosas a tener en cuenta y que merece la pena pararse a nombrar. Bajo el elemento http del XML, podemos ver la configuración de acceso y de solicitud de nuestros credenciales. Los nodos dentro de esta sección son bastante autoexplicativos, así que no entraré en detalle. También podemos ver otra sección con el nombre de authentication-manager, esta sección contrendraá nuestros credenciales de acceso ya sea en texto plano, o como en este caso, cifrados mediante sha.

web.xml

<web-app id="WebApp_ID" version="2.4"
        xmlns="http://java.sun.com/xml/ns/j2ee" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
        xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee
        http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd">

        <display-name>Spring Security Example</display-name>

        <!-- Spring MVC -->
        <servlet>
                <servlet-name>mvc-dispatcher</servlet-name>
                <servlet-class>
                        org.springframework.web.servlet.DispatcherServlet
                </servlet-class>
                <load-on-startup>1</load-on-startup>
        </servlet>
        <servlet-mapping>
                <servlet-name>mvc-dispatcher</servlet-name>
                <url-pattern>/</url-pattern>
        </servlet-mapping>

        <listener>
                <listener-class>
                        org.springframework.web.context.ContextLoaderListener
                </listener-class>
        </listener>

        <context-param>
                <param-name>contextConfigLocation</param-name>
                <param-value>
                        /WEB-INF/mvc-dispatcher-servlet.xml,
                        /WEB-INF/spring-security.xml
                </param-value>
        </context-param>

        <!-- Spring Security -->
        <filter>
                <filter-name>springSecurityFilterChain</filter-name>
                <filter-class>
                        org.springframework.web.filter.DelegatingFilterProxy
                </filter-class>
        </filter>

        <filter-mapping>
                <filter-name>springSecurityFilterChain</filter-name>
                <url-pattern>/*</url-pattern>
        </filter-mapping>

</web-app>

A parte de las configuraciones habituales, también podemos observar que tiene una sección para Spring Security con un filtro para la intercepción de peticiones y posterior muestra del login antes de servir las diferentes páginas.

Tras esto, vamos a implementar el controller para gestionar las distintas URLs asociadas a nuestro login (las definidas en el spring-security.xml). El contenido de este controller será el siguiente:

LoginController.java

@Controller
public class LoginController {

        @RequestMapping(value = "/welcome", method = RequestMethod.GET)
        public String printWelcome(ModelMap model, Principal principal) {

                String name = principal.getName();
                model.addAttribute("username", name);
                model.addAttribute("message", "Welcome to Spring Security World!");
                return "hello";

        }

        @RequestMapping(value = "/login", method = RequestMethod.GET)
        public String login(ModelMap model) {

                return "login";

        }

        @RequestMapping(value = "/loginfailed", method = RequestMethod.GET)
        public String loginerror(ModelMap model) {

                model.addAttribute("error", "true");
                return "login";

        }

        @RequestMapping(value = "/logout", method = RequestMethod.GET)
        public String logout(ModelMap model) {

                return "login";

        }
}

No creo que en esta ocasión haya que entrar en detalle sobre las anotaciones, ya que son comunes al resto de ejemplos de Spring que hemos hecho anteriormenre y no hay inguna nueva a la que merezca la pena hacer referencia.

Y finalmente, vamos a hacer las página JSP con el formulario en el que introducir nuestros credenciales y la página donde recibiremos el mensaje habitual en todos los ejmplos hasta ahora.

login.jsp

<%@ taglib prefix="c" uri="http://java.sun.com/jsp/jstl/core"%>
<html>
        <head>
                <title>Login Page</title>
                <style>
                        .errorblock {
                                color: #ff0000;
                                background-color: #ffEEEE;
                                border: 3px solid #ff0000;
                                padding: 8px;
                                margin: 16px;
                        }
                </style>
        </head>
        <body onload='document.f.j_username.focus();'>
                <h3>Login with Username and Password (Custom Page)</h3>

                <c:if test="${not empty error}">
                        <div class="errorblock">
                                Your login attempt was not successful, try again.<br /> Caused :
                                ${sessionScope["SPRING_SECURITY_LAST_EXCEPTION"].message}
                        </div>
                </c:if>

                <form name='f' action="<c:url value='j_spring_security_check' />"
                        method='POST'>

                        <table>
                                <tr>
                                        <td>User:</td>
                                        <td><input type='text' name='j_username' value=''></td>
                                </tr>
                                <tr>
                                        <td>Password:</td>
                                        <td><input type='password' name='j_password' /></td>
                                </tr>
                                <tr>
                                        <td><input name="submit" type="submit" value="Log in" /></td>
                                        <td><input name="reset" type="reset" value="Clean form"/></td>
                                </tr>
                        </table>

                </form>
        </body>
</html>

hello.jsp

<%@ taglib prefix="c" uri="http://java.sun.com/jsp/jstl/core"%>
<html>
        <head>
                <title>Message - Spring Security</title>
        </head>
        <body>
                <h3>Message : ${message}</h3>
                <h3>Username : ${username}</h3>

                <a href="<c:url value="/j_spring_security_logout" />" > Logout</a>

        </body>
</html>

Con esto ya tendríamos nuestro ejemplo en Spring Security funcionando. Como siempre, os dejo el código para que podáis echarle una ojeada y ejecutarlo en vuestros servidores.

Código SpringSecurity Hello World: SpringSecurity

Si tenéis alguna duda, animaos y preguntad. Nos vemos.

Anuncios
 
Deja un comentario

Publicado por en 16 julio, 2013 en JavaEE

 

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

 
A %d blogueros les gusta esto: