基本 Spring security 快速入門

-

基本 Spring security 快速入門

最近學了 spring security 遇到一些 6 版和舊版的一些差異,所以想說寫一下快速入門,但有些前情提要:

  1. 這個入門不包含 spring security 的使用概念,關於這部分相當推薦閱讀 spring security 實戰這本書
  2. 本快速入門不包含 OAuth2 和權限控管,只會使用 Basic 驗證,但建議先學會入門之後再加深.
  3. 由於個人專案有使用到 swagge ,因此也會有相對的教學

主要使用到的 spring security 元件:

  • org.springframework.security.authentication.AuthenticationProvider
  • org.springframework.security.crypto.password.PasswordEncoder
  • org.springframework.security.core.userdetails.UserDetailsService
  • org.springframework.security.core.userdetails.UserDetails

撰寫 UserDetailsService

首先先在 service 新增 class 並且 implements UserDetailsService
實作的時候會發現需要實作:

UserDetails loadUserByUsername(String username) throws UsernameNotFoundException;

依照 function name 可以知道要實現的功能是去 DB 或 redis 之類的地方取得使用者資訊,並且將資料放進 UserDetails 後 return 出去,因此在開始寫 loadUserByUsername 方法之前需要先實作 UserDetails

實作 UserDetails

實作的時候會發現我們需要實作 getAuthorities getPassword getUsername isAccountNonExpired isAccountNonLocked isCredentialsNonExpired isEnabled 基本上依照 function name 和 java doc 可以理解用途.
由於我們只是要快速入門,因此我們暫時先將isAccountNonExpired isAccountNonLocked isCredentialsNonExpired isEnabled 寫死直接 return true;
接下來我們先新增 username 和 password 跟 grantedAuthorities 全域變數,並且建立一個建構函數,函數內容主要是 set 剛剛提到的username, password, grantedAuthorities ,完成之後就算是完成 UserDetails 了,詳細可以閱讀這邊

撰寫 UserDetailsService

新增 class 並且實作 UserDetailsService 由於這邊後續需要使用 AutoWrite ,因此我們幫他掛上 @Service ,之所以會需要使用 @Service ,是因為我們需要透過這個 service 去 dao 取得使用者資料.
接下來我們需要實作 loadUserByUsername 方法,實作方法相當簡單,就是透過 dao 取得資料之後透過我們剛剛寫的建構函數 return 出去,需要特別說明的是 UserDetails 的 grantedAuthorities ,由於我們目前沒有需要使用到權限控管,因此我們直接使用

List.of(new SimpleGrantedAuthority("admin")))

就可以了,想要看範例程式的話可以看這邊

撰寫 AuthenticationProvider

完成 UserDetailsService 之後可以撰寫 AuthenticationProvider
其實可以不撰寫 AuthenticationProvider ,但考慮到後續可能會有多個驗證方式,比如 SSO 或 OAuth 或我們這次的 Basic 驗證,因此為了後續擴充,我們在入門就先使用 AuthenticationProvider 在將來需要新增驗證手段時會更加方便.
實作 AuthenticationProvider 之後會發現我們需要實作 authenticatesupports 接下來就依照順序說明.

實作 authenticate

首先先新增 PasswordEncoder UserDetailsService 全域變數,並且 Autowired,接下來我們直接看程式碼來看要怎麼寫:

@Override
public Authentication authenticate(Authentication authentication) throws AuthenticationException {
    try {
        var username = authentication.getName(); //取得 username
        var password = authentication.getCredentials().toString(); //由於這邊使用 Basic ,因此getCredentials()會取得密碼
        if (StringUtils.isBlank(username) || StringUtils.isBlank(password)) {
            throw new AuthenticationServiceException("Username or password is missing"); //如果為空就代表資料有問題,丟出錯誤
        }
        var userData = userDetailsService.loadUserByUsername(username); //去剛剛的 service 取得對應的 user 資料
        if (!passwordEncoder.matches(password, userData.getPassword())) { //透過 passwordEncoder 檢查密碼是否正確,為何要使用 passwordEncoder 後續會說明
            throw new AuthenticationServiceException("Invalid password"); //如果發現不同就拋錯出去
        }
        return new UsernamePasswordAuthenticationToken(username, password, userData.getAuthorities());
    } catch (Exception e) {
        log.error("authentication failed", e);
        throw new AuthenticationServiceException(e.getMessage());
    }
}

passwordEncoder 的用途補充說明

由於我們通常不會在資料庫存使用者原始密碼,通常會存無法還原成原始密碼的字串,因此我們需要透過 passwordEncoder 的 match 判斷 DB 密碼與取得的密碼是否相同.

support 方法

support 主要用於告知 spring security 這個 provider 是否用於當前 request 的驗證,那由於這個 provider 只有要用於驗證 Basic 而已,因此只要照下面的寫法就好了:

    @Override
    public boolean supports(Class<?> authentication) {
        return UsernamePasswordAuthenticationToken.class.isAssignableFrom(authentication);
    }

config

最後的最後,所有演員都到齊了,只需要在 spring boot 設定好相對應的 Bean 就可以使用了.
先新增一個 class 並掛上 @Configuration@EnableWebSecurity
接下來透過程式碼和註解說明如何使用.

/**
 * authorizeHttpRequests 在 http.authorizeRequests() 中使用,主要用於定義哪些 URL 需要被保護,以及它們需要的權限等。
 * 它是基於 HttpServletRequest 使用的。
 * 當使用 requestMatchers 方法時,你在該方法中定義的所有路徑都需要符合對應的安全要求或角色。
 * @param http
 * @param authenticationProvider
 * @return
 * @throws Exception
 */
@Bean
public SecurityFilterChain securityFilterChain(HttpSecurity http, AuthenticationProvider authenticationProvider)
        throws Exception {
    var providerManager = new ProviderManager(Collections.singletonList(authenticationProvider));//建立 ProviderManager 將我們寫的 provider 放入
    return http
            .authorizeHttpRequests((requests) -> requests
                    .anyRequest().authenticated() //宣告所有 request 都需要驗證
            ).httpBasic(withDefaults()) //宣告使用 httpBasic
            .csrf(AbstractHttpConfigurer::disable) //禁用 csrf ,如果要走前後端分離的話可以考慮 disable
            .authenticationManager(providerManager) //放入 ProviderManager
            .build();
}

/**
 * 主要用於完全繞過 Spring Security 的所有過濾器鏈,對某些靜態資源如 CSS,JavaScript 檔案等使用。
 * 由於有用到 swagger ,因此關於 swagger 的部分需要放入,另外還有放入註冊帳號的 URI
 * @return
 */
@Bean
public WebSecurityCustomizer webSecurityCustomizer() {
    return (web) -> web.ignoring().requestMatchers("/js/**", "/css/**", "/accountController/account",
            "swagger-ui/**", "/swagger-ui.html", "open-api/**", "/v3/api-docs/**");
}

/**
 * 註冊用於 passwordEncoder 的 bean
 */
@Bean
public PasswordEncoder passwordEncoder() {
    return new BCryptPasswordEncoder();
}

最後的最後

由於我有需要在 swagger 使用驗證,因此需要多為 swagger 做設定,因此需要加入下列程式碼:

@SecurityScheme(
        type = SecuritySchemeType.HTTP,
        name = "basicAuth",
        scheme = "basic")

加入之後再到需要使用到的 controller 加上:@SecurityRequirement(name = "basicAuth"),此時打開 swagger 可以看到下方圖片的 Authorize:



只要在該位置輸入帳號密碼登入後下方的 request header 都會加入 Authorization 讓 spring security 驗證

留言

張貼留言

這個網誌中的熱門文章

記帳專案說明

-
圖片
新專案說明 最近開新的專案,目前專案的系統架構和後端處理的差不多了,剩下前端的部分正在一邊學 react 一邊完成中,考慮到最近要開始找工作了,所以想說寫個部落格一邊介紹目前專案的架構與紀錄目前的狀態。 專案整體架構 在開始之前我們先發一張架構圖吧,接下來請把架構圖當成地圖開始冒險吧。 這次的專案主要是走雲原生的概念,下述我們分成基礎設施、前端、後端來聊吧 基礎建置 雲端服務廠商選擇: AWS 這個專案從剛開始設計就是預計上雲且使用的是 aws,主要有兩個點 我們家並沒有固定 IP ,如果要走地端的話勢必要使用到 DDNS ,那牽涉的範圍就會更廣了,因此決定直接上雲 根據網路上查到的資料,目前 aws 市佔 33% ,考慮到將來要找工作與方便尋找資料因此決定直接使用 aws 用到的 AWS 服務 接下來先概覽一下用到的服務與相關功能,下面會以使用者接觸到服務的順序來說明: 服務名稱 用途 router53 DNS, 用於將 domain 轉換成 IP, 我的 domain 也是在該服務購買的 彈性 IP 當我們租了 AWS 的伺服器時是沒有對外 IP 的,因此我們需要透過彈性 IP 申請並且綁定到我們的 EC2 安全群組 連到伺服器的防火牆,可以設定每個 port 是否要開啟,並且設定白名單等 EC2 這個就是我租伺服器的本體,所有的服務與反向代理等都是放在這裡 EC2 建置了哪些服務 這邊會講一下我安裝與使用到哪些非我開發的服務 資料庫: 資料庫的部分我使用的是 mariaDB, 會選擇 mariaDB 的原因除了他是 MySQL 的分支之外,他的社群很活躍、穩定性也很高 catch: catch 的部分我使用 redis ,主要適用於處理會需要經常取得資料或者不需要持久化的資料,目前我主要用於記錄使用者登入後的 token,由於採取的是前後端分離的架構,後端會需要頻繁的驗證 token 和透過 token 取得用者資訊,因此這部分得資料就放在 redis,更詳細的使用邏輯將會在後面提到後端的時候說明。 SSL: 這個專案的 SSL 主要用於 https 連線,這部分是使用 Let's Encrypt 家的憑證。 會用 Let's Encrypt 的原因最主要是免費和自動化申請,如果考慮到...
閱讀完整內容

Hana Project 介紹 第三集 - Hana 引擎後端架構(二)

-
圖片
Hana Front: 前端 Resource: 圖片音樂文字等資源 接下來會依序講解: Hana Back Hana 引擎的後端,本身是 spring boot服務,透過rest API 與Hana Front 溝通。 目前 Hana Back 主要處理兩份工作,分別是 Hana 語言解析跟存讀檔。 Hana 語言解析 由於Hana腳本語言會有一定數量的指令,當發現該行是指令後會繼續讀取下一行,直到非指令為止。 讀取完之後會將內容轉換成Json傳遞給 Hana Front。 原先想要一個 Json 就代表一個畫面,但最終考量到 restful 應該是無狀態的,不應該因為之前呼叫過哪些行數而改變傳遞內容;如果是每次都從開頭讀取 Hana 腳本語言而組成 Json 的話,在面對大量交換場景的部分可能會導致物件內容的大量重新 new 與拋棄,因此最終決定就忠實傳遞 Hana 腳本的內容就好了。 Hana Save System 目前尚未實作完成。 本體是使用內嵌的 H2DB搭配 MyBatis,雖然有部分資料不建議使用H2DB在生產環境中。但實際考量 galgame 本身並不會大量的 CRUD,因此就放心地使用了。 會在 Hana 引擎啟動的時候透過 spring boot 自動去尋找是否有建立 DB 跟 table。如果沒有的話將會自動建立;但目前尚未實作存讀檔,因此會建立DB跟table但不會有資料在裡面。 將來 Hana 引擎完成後會考慮搭配可視化工具讓開發者可以簡單去觀看資料。 Hana Front Hana 引擎的前端,透過 Libgdx 框架完成。 原先預計透過 JavaFx 瀏覽器配合 spring boot 用網頁的形式來實作,但後來因為想要讓專案完全都用 Java 因此改用 Libgdx,但因為 Libgdx 可以透過 GWT 轉成網頁遊戲,因此"或許"可以繞回去也說不定。 Hana Front 主要繪有四個畫面,分別是主畫面,對話,存讀檔跟設定頁面。 由於 主畫面 主畫面從背景到按鈕都是圖片。 目前會使用的圖片檔名是寫死的,將來會參考 spring boot 的作法: 提供預設值,但也提供設定可以修改。 下面是檔名要求: 背景: mainMenuCg.png new game: newGameFo...
閱讀完整內容