viernes, 23 de octubre de 2015

Configurar la pagina de login. En Spring security

Uno de los primeros pasos que tenemos que hacer una vez tenemos configurado spring security. Es crear nuestra propia pagina de login.

Creamos la pagina de login:

Lo primero que tenemos que hacer es crear la JSP, que vamos a utilizar como pagina de login.
<c:url value="/" var="contexto" />
<c:url value="/login" var="loginUrl"/>
<head>
 <link href="${contexto}resources/bootstrap/css/bootstrap.min.css" rel="stylesheet">
 <link href="${contexto}resources/bootstrap/css/bootstrap-theme.min.css" rel="stylesheet">
 <link href="${contexto}resources/css/login.css" rel="stylesheet">
</head>
<body>

    <div class="container">
<form action="${loginUrl}" method="post" class="form-signin">   
 <h2 class="form-signin-heading">Login</h2>    

  <label for="username">Usuario</label>
  <input type="text" id="username" name="username" class="form-control"/> 

  <label for="password">Contraseña</label>
  <input type="password" id="password" name="password" class="form-control"/> 

 <input type="hidden"                        
  name="${_csrf.parameterName}"
  value="${_csrf.token}"/>
 <button type="submit" class="btn btn-lg btn-primary btn-block">Conectarse</button>
</div>
</form>

Creamos el mapeo a la pagina de login

Lo siguiente que tenemos que hacer es crear un mapeo a la pagina de login, como en este caso no es necesario crear un controlador, vamos a establecerlo en la configuración de los controladores, como una vista.

@Override
public void addViewControllers(ViewControllerRegistry registry) {
    super.addViewControllers(registry);
    registry.addViewController("/login").setViewName("login");
    registry.setOrder(Ordered.HIGHEST_PRECEDENCE);  
}

Le indicamos a Spring security donde buscar la nueva pagina.

En el post anterior, teníamos puesta la configuración por defecto que es la siguiente: 
http
    .authorizeRequests()
        .anyRequest().authenticated()
        .and()
    .formLogin().and()
    .httpBasic();
Ahora lo que vamos hacer es sobrecribir el método de configure y indicar a spring security donde encontrar, la pagina web, en nuestro caso vamos a extender la configuración del formLogin:
  • Indicar donde se encuentra la pagina de login (loginPage)
  • Le damos todos los permisos asociados a loginPage.
@Override
protected void configure(HttpSecurity http) throws Exception {
    super.configure(http);
    http.authorizeRequests()    // Le indicamos que la autorizacion va a ser a nivel de request.
        .anyRequest().authenticated()  // Le indicamos que cada solicitud requiere que el usuario de autentique.
        .and()
    .formLogin()    // Configurar el formato de login.
        .loginPage("/login") // aqui le indicamos donde se encuentra la pagina de login.
        .permitAll();// Aqui le indicamos que la pagina de login es publica.*/
}

Maquetar la pagina login.

Ya que tenemos una pagina de login, la vamos a maquetar con nuestra css para que tengamos una pagina de login acorde con la maquetación de nuestra aplicación. Para este ejemplo he utilizado la siguiente pagina http://getbootstrap.com/examples/signin/ que podéis encontrar en bootstrap.

Permitir que las css de la maquetación, se pueda visualizar.

Para lo siguiente vamos a quitar de la seguridad, la ruta de los /resources/**, para que nuestra pagina de login tenga acceso a ellos:

@Override
 public void configure(WebSecurity web) throws Exception {
     web
      .ignoring()
      .antMatchers("/resources/**");
  super.configure(web);
 }

Con este cambio ya podemos visualizar el login, con su maquetación.
Publicado por en No hay comentarios:
Etiquetas: , , , ,

martes, 6 de octubre de 2015

Configurar Spring 4.1 + Spring security


En los artículos anteriores, hemos visto como crear un proyecto web con spring, activar jackson, como establecer diferentes entornos y los contenidos estáticos. Ahora lo que vamos hacer es  configurar la librería de seguridad, para controlar el acceso a nuestra aplicación.
Con la versión actual, al menos por lo que pone la documentación hay que utilizar las dependencias de spring 4.1.6 o podemos tener problemas con el classpath.
En la siguiente URL podeis accedr al ejemplo del articulo: https://github.com/blancoparis-tfc/SpringSeguridad

Añadir la dependencia de spring security.

En este caso vamos a ir a la pagina del proyecto de spring security, para ver a día de hoy cual es la ultima versión, estable, que en nuestro caso sera la versión 4.0.2.REALEASE, podemos observar que es independiente de la versión del core de spring. Esto es debido a que son proyecto independientes en su desarrollo.
Editaremos el fichero de build.gradle y le pondremos la dependencia que nos han pasado. 
compile 'org.springframework.security:spring-security-web:4.0.2.RELEASE'
compile 'org.springframework.security:spring-security-config:4.0.2.RELEASE'

Una vez puesta la dependencia podemos observar que el proyecto sigue funcionando, como antes. Ya que por defecto no activa ninguna configuración se seguridad.

Configuración de seguridad.

En este ejemplo vamos a realizar una configuración estándar, que va a consistir en:
  • Toda la web va a ser privada.
  • Los usuarios los vamos a poner en memoria, para realizar las pruebas. (Lo normal es que en producción estén en una B.D o LDAP, y en desarrollo en memoria).
  • Nos logaremos por una pagina web estándar.

Configuración de seguridad.

Para simplificarnos el trabajos y dar claridad a las configuraciones, vamos a crear la configuración de seguridad en una clase separada. 

Para este ejemplo la configuración va a ser bastante simple, ya que solamente vamos a tener que activar la configuración (@EnableWebSecurity) que herede de la clase WebSecurityConfigurerAdapter y por ultimo le vamos a indicar cual es el usuario en memoria para realizar la configuración.
package org.dbp.conf;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

@EnableWebSecurity
public class SeguridadConfig extends WebSecurityConfigurerAdapter  {

 @Autowired
 public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
  auth
   .inMemoryAuthentication()
    .withUser("user").password("password").roles("USER");
 }
 
}

Ya tenemos establecida nuestra configuración de seguridad, pero o sorpresa si arrancamos el proyecto, sigue sin funcionar la seguridad. Esto es debido a que nos falta por poner un filtro, que para que funcione necesitamos que el contexto este compartido, para lo cual tenemos que establecerlo en un filtro para que lo compartan todos. (Nos lo va a indicar cuando activemos el filtro).

Ojo: En los ejemplos básico de internet, esta destalle no lo vamos a ver ya que va a estar todo en la misma configuración.

Configurar el contexto compartido


Para poder tener el contexto compartido tenemos que realizar los siguientes cambios, en el web.xml.
  • Configurar el listener: ContextLoaderListener
  • Trasladar el fichero de configuración al listener y quitarlo del servlet. (Poniendo una cadena vacía en contextConfigLocation.
  
   <context-param>
      <param-name>contextClass</param-name>
      <param-value>
         org.springframework.web.context.support.AnnotationConfigWebApplicationContext
      </param-value>
   </context-param>
   <context-param>
      <param-name>contextConfigLocation</param-name>
      <param-value>org.dbp.conf.WebConfig</param-value>
   </context-param>
  <listener>
     <listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
 </listener>

Ahora vemos en el servlet, como quitar le fichero de configuración. 
   <init-param>
   <param-name>contextConfigLocation</param-name>
   <param-value></param-value>
  </init-param>
Ya tenemos configurado el contexto, a nivel del contenedor, para que el filtro de seguridad pueda acceder a el.

Ojo con servlet estas configuraciones también se pueden hacer desde clases java tambien.

Configuramos el filtro de seguridad

Aquí simplemente tenemos que crear una clase que herede de AbstractSecurityWebApplicationInitializer. Esta clase si observamos no es un filtro si no un inicializador del contexto de aplicación, que se engancha a nuestro contexto compartido que hemos establecido en el apartado anterior. (Pero al final lo que se configura es un filtro (springSecurityFilterChain) para los temas de la seguridad).
  

package org.dbp.conf;

import org.springframework.security.web.context.AbstractSecurityWebApplicationInitializer;

public class SecurityWebApplicationInitializer extends AbstractSecurityWebApplicationInitializer  {

}

Enganchar la configuración de seguridad, a la de nuestra aplicación

En este caso es muy fácil simplemente tenemos que establecer, la importación de la configuración. @Import(SeguridadConfig.class) 

Resultado

Una vez realizados los siguientes cambios, que ademas se adaptan adecuadamente a los artículos anteriores, el sistema nos pondrá una pagina de login estándar sin maquetación, para logarse. Aparte según la documentación de spring tendremos las siguiente configuraciones por defecto.

  • Requiere autenticación, por cada URL.
  • Crear el formulario de login.
  • tiene un logout.
  • Prevención de los ataques CSRF-
  • Protecion a (Session Fixation).
  • Integración de la seguridad con la cabecera....
  • Se integran métedo del api Servlet.
    • getRemoteUser.
    • getUserPrincipal
    • isUserInRole
    • login
    • logout

Publicado por en No hay comentarios:
Etiquetas: , , ,
Suscribirse a: Comentarios (Atom)