Spring Security
Framework complet pour gérer la sécurité de votre application :
- Authentification / gestion des utilisateurs
- Sécurisation de l'accès aux objets
- Protection anti CSRF/XSS
- Ajout de headers
Pour activer Spring Security, il suffit d'ajouter la dépendance dans maven :
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
Par défaut, toutes vos pages seront protégées par un formulaire de login.
La configuration de Spring Security se fait au travers d'une classe Java dans
votre projet qui doit hériter de la classe WebSecurityConfigurerAdapter
.
Dans cette classe, en surchargeant la méthode protected void
configure(HttpSecurity http)
vous pourrez préciser quelles sont les pages
protégées, quelles sont les pages publiques, comment l'utilisateur doit
s'authentifier, etc.
@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
// code de configuration
}
}
Pour autoriser ou interdire des URL
@Override
protected void configure(HttpSecurity http) throws Exception {
http.authorizeRequests()
.antMatchers("/", "/home").permitAll() // pages autorisées
.anyRequest().authenticated() // toutes les autres sont protégées
.and()
.formLogin() // login via un formulaire
.and()
.logout();// autoriser le logout sur /logout (en POST)
}
Pour gérer des utilisateurs et des rôles, il faut retourner un
UserDetailsService avec la configuration que vous souhaitez. Pour gérer le hash des mots de passe, il faut également déclarer un Bean implémentant l'interface PasswordEncoder
.
@Bean
public PasswordEncoder passwordEncoder() {
return new BCryptPasswordEncoder();
}
@Bean
@Override
public UserDetailsService userDetailsService() {
UserDetails user =
User.withUsername("user")
.password("$2y$10$OJ/J.leqEn/131hPMxhH3uPkoHOA08n2KgOYyr5oY/fpc7Ep./H6G")
.roles("USER")
.build();
return new InMemoryUserDetailsManager(user);
}
Pour les gérer avec une base de données (tables/colonnes à créer de votre côté avec Flyway) :
@Bean
@Override
public UserDetailsService userDetailsService() {
return new JdbcUserDetailsManager(dataSource);
}
Il faut créer une table users et authorities dans la base, avec les colonnes suivantes :
CREATE TABLE users(
username TEXT NOT NULL,
password TEXT NOT NULL,
enabled BOOLEAN NOT NULL DEFAULT TRUE,
PRIMARY KEY (username));
CREATE TABLE authorities(
username TEXT NOT NULL,
authority TEXT NOT NULL,
FOREIGN KEY (username) REFERENCES users (username));
Pour protéger des méthodes à partir du rôle (authority) de l'utilisateur, il faut activer une configuration Spring :
@Configuration
@EnableGlobalMethodSecurity(prePostEnabled = true, securedEnabled = true)
public class MethodSecurityConfig
extends GlobalMethodSecurityConfiguration {
}
Vous pouvez ensuite protéger des méthodes (publiques) avec @Secured ou @PreAuthorize :
@Secured("ADMIN")
public void methode() {
}
@PreAuthorize("hasAuthority('ADMIN') or hasAuthority('USER')")
public void autreMethode() {
}
Pour gérer plus finalement les accès aux objets, vous pouvez implémenter l'interface PermissionEvaluator et l'utiliser depuis vos controllers :
@Component
public class MyPermissionEvaluator implements PermissionEvaluator {
private Logger logger = LoggerFactory.getLogger(MyPermissionEvaluator.class);
@Override
public boolean hasPermission(Authentication authentication, Object targetDomainObject, Object permission) {
return false;
}
@Override
public boolean hasPermission(Authentication authentication, Serializable targetId, String targetType, Object permission) {
logger.info("Demande de permission pour accéder à l'objet de type {} avec l'id {} pour une opération de {} par l'utilisateur {}",
targetType,
targetId,
permission,
authentication.getName());
return false;
}
}
Une fois le PermissionEvaluator déclaré, vous pouvez utiliser l'annotation @PreAuthorize pour y faire appel, par exemple, pour vérifier qu'un utilisateur a le droit d'accéder à un article :
@GetMapping("/{id}")
@PreAuthorize("hasPermission(#id, 'ARTICLE', 'READ')")
public Article getArticleById(@PathVariable Integer id) {
La signature de hasPermission :
hasPermission(Object targetId, String targetType, Object permission)
Pour récupérer un argument de la méthode, on peut utiliser le préfixe #
comme
ici pour récupérer l'ID de l'article.
On peut ensuite faire toutes les vérifications nécessaires dans le
PermissionEvaluator et renvoyer true
si l'utilisateur a le droit, ou false
pour lui refuser le droit.
Si vous avez besoin de récupérer des informations sur l'utilisateur dans votre code Java, plusieurs solutions.
Dans un controller, vous pouvez récupérer l'authentification directement via un paramètre de méthode :
@GetMapping
public void methodeDeController(Authentication authentication) {
// login de l'utilisateur
authentication.getName();
// rôles de l'utilisateur
authentication.getAuthorities();
}
N'importe où dans le code :
// retourne un objet Authentication
SecurityContextHolder.getContext().getAuthentication();