Простой сервис аутентификации. SpringBootSecurity16.12.2023 22:00

GitLab

Напишем простой сервис аутентификации с выдачей JWToken. Для реализации будем использовать Java 17, SpringBoot 3.2.0, h2, Maven в памяти.

Cоздадим и настроим проект https://start.spring.io/

SpringInitializer

Нам понадобится:

Web
Security
JPA
H2 Database
Lombok

Настроим подключение к нашей БД которая будет находится в памяти, так же сервер будем запускать на порту 9090

application.properties

Для автоматического заполнения БД создадим пару файлов с созданием и заполнением таблиц data.sql и schema.sql.

Содержание файлов data && schema

data.sql

schema.sql

Далее нам потребуется создать сопутствующие сущности User, Role

User

Role

Закончили с базовой настройкой, переходим к основному классу WebConfiguration настройки Security. В нем мы должны настроить bean SecurityFilterChain, так же создадим bean PasswordEncoder для возможности шифрования пароля пользователя.

WebConfiguration.jav

Для шифрование пароля будем использовать BCrypt.

Далее рассмотрим SecurityFilterChain:

http.headers (headers → headers.frameOptions (HeadersConfigurer.FrameOptionsConfig: sameOrigin))
.csrf (AbstractHttpConfigurer: disable)
.cors (AbstractHttpConfigurer: disable);

В этой строчке мы отключаем CSRF && CORS так как для простого фунционала нам они не понадобятся.

В проде обязательно использовать CSRF && CORS

Т.к h2-console использует frame то для корректной работы нужно добавить header x-frame-options «SAMEORIGIN» или отключить его FrameOptionsConfig: disable

X-Frame-Options используется для предотвращения кликджекинга на сайте. Он определяет, разрешено ли браузеру отображать страницу в , , <embed> или <object> https://www.geeksforgeeks.org/http-headers-x-frame-options/ headers.frameOptions (HeadersConfigurer.FrameOptionsConfig: disable) OR headers.frameOptions (HeadersConfigurer.FrameOptionsConfig: sameOrigin) Далее разрешим доступ к консоли h2 для всех пользователей и для остальных запросов требуется аутентификация http.authorizeHttpRequests (authz → authz.requestMatchers (»/h2-console/**»).permitAll ().anyRequest ().authenticated ()); Главное действие будет происходить в фильтрации запроса http.addFilterAt (initialAuthenticationFilter, BasicAuthenticationFilter.class); Здесь мы добавляем свой фильтр в цепочку фильтрации initialAuthenticationFilter который мы inject’им в методе public SecurityFilterChain securityFilterChain (HttpSecurity http, InitialAuthenticationFilter initialAuthenticationFilter) <img src="https://habrastorage.org/r/w1560/getpro/habr/upload_files/e78/4fe/764/e784fe76455a33761c5049ad16633453.png" alt="InitialAuthenticationFilter.java" /> InitialAuthenticationFilter.java Данный класс будет расширять OncePerRequestFilter и переопределять два метода <ul><li>doFilterInternal</li><li>shouldNotFilter</li></ul> Данный фильтр проверяет header Authorization, если он пустой то проверяет передано ли в теле запроса JSON с именем и паролем для аутентификации, проверят пользователя и если все ок выдает JWToken. Рассмотрим более подробно данный класс. Для формирования JWToken и проверки пользователя создадим и заинжектим два класса private final JwtService jwtService; private final UsernamePasswordAuthenticationProvider authenticationProvider; <img src="https://habrastorage.org/r/w1560/getpro/habr/upload_files/b43/ccf/cd6/b43ccfcd6b1d8259346db2880ba85ed2.png" alt="JwtService.java" /> JwtService.java Для работы с JWT потребуются следующие библиотеки <img src="https://habrastorage.org/r/w1560/getpro/habr/upload_files/3ba/3b2/186/3ba3b218692b53c301b53812d0a2050a.png" alt="pom.xml" /> pom.xml Здесь мы будем генерировать ключ подписи и собственно сам JWT. Keys.hmacShaKeyFor (signingKey.getBytes (StandardCharsets.UTF_8)); шифруем ключ BASE64 В методе generatedJwt строим JWT. Задаем поля в payload и нагрузку, устанавливаем дату окончания действия и ключ подписи <code>payload { "role" "user_id "username" "exp" "sub" }</code> <img src="https://habrastorage.org/r/w1560/getpro/habr/upload_files/dad/ece/6aa/dadece6aa3aae56dae166bffec3f94b0.png" alt="UsernamePasswordAuthenticationProvider.java" /> UsernamePasswordAuthenticationProvider.java Данный класс проверяет наличие пользователя и корректность пароля и возвращает аутентификацию. Класс UserDetailsService возвращает пользователя если он имеется в базе <img src="https://habrastorage.org/r/w1560/getpro/habr/upload_files/82d/83e/4a9/82d83e4a906e2c901857df809b918e72.png" alt="UserService.java" /> UserService.java Вернемся к классу InitialAuthenticationFilter. Метод doFilterInternal <ul><li>из request мы извлекаем JSON с логином и паролем </li><li>проеряем пользователя Authentication authentication = new UsernamePasswordAuthentication (username, password); authentication = authenticationProvider.authenticate (authentication); </li><li>если все ок выдаем JWT в response в заголовок Authorization: Bearer ***** String jwt = jwtService.generatedJwt (authentication); response.setHeader («Authorization», HeaderValues.BEARER + jwt); </li></ul> Метод shouldNotFilter Проверка curl -v -d '{«username»: «admin», «password»:»123»}' -H «Content-Type: application/json» -X POST http://localhost:9090/login <img src="https://habrastorage.org/r/w1560/getpro/habr/upload_files/cee/5ea/7e2/cee5ea7e272b618a050da7a4cf5b4c24.png" alt="cee5ea7e272b618a050da7a4cf5b4c24.png" /> Видим, что появился header Authorization: Bearer eyJhbGciOiJIUzI1NiJ9.eyJyb2xlIjpbIlJPTEVfQURNSU4iLCJST0xFX1VTRVIiXSwidXNlcl9pZCI6IjEiLCJ1c2VybmFtZSI6ImFkbWluIiwiZXhwIjoxNzAzMTU1NzAxLCJzdWIiOiJhZG1pbiJ9.aNHtaBa-7WDXO_MMl83MG9wxTO0MnMmEwdjgzSOrh0g <img src="https://habrastorage.org/r/w1560/getpro/habr/upload_files/c64/6a2/b4e/c646a2b4ed4e471e9e5d65e09f6353af.png" alt="Содержание JWToken" /> Содержание JWToken Данный пример демонстрирует как достаточно быстро и просто поднять сервис аутентификации и выдачи JWT. Так же можно добавить проверку токена, выдача refresh token и запрос со стороннего сервиса, но это уже другая история. © <a target="_blank" rel="nofollow" href="https://habr.com/ru/articles/781066/?utm_source=habrahabr&amp;utm_medium=rss&amp;utm_campaign=781066">Habrahabr.ru</a> </div>  <div style="padding-left: 20px;"> <script async src="https://pagead2.googlesyndication.com/pagead/js/adsbygoogle.js?client=ca-pub-2514821055276660" crossorigin="anonymous"></script>  <ins class="adsbygoogle" style="display:block" data-ad-client="ca-pub-2514821055276660" data-ad-slot="1200562049" data-ad-format="auto"></ins> <script> (adsbygoogle = window.adsbygoogle || []).push({}); </script> </div>  <noindex> <div style="margin: 25px;" id="disqus_thread"></div> <script type="text/javascript"> var disqus_shortname = 'pcnewsru'; var disqus_identifier = '1337826'; var disqus_title = 'Простой сервис аутентификации. SpringBootSecurity'; var disqus_url = 'http://pcnews.ru/blogs/prostoj_servis_autentifikacii_springbootsecurity-1337826.html'; (function() { var dsq = document.createElement('script'); dsq.type = 'text/javascript'; dsq.async = true; dsq.src = '//' + disqus_shortname + '.disqus.com/embed.js'; (document.getElementsByTagName('head')[0] || document.getElementsByTagName('body')[0]).appendChild(dsq); })(); </script>   </noindex> </div> </div> <div id="footer-2nd"></div> <div id="footer"> <ul class="horz-menu"> <li class="about"><a href="/info/about.html" title="О проекте">О проекте</a></li> <li class="additional-menu"><a href="/archive.html" title="Архив материалов">Архив</a> </li> <li class="additional-menu"><a href="/info/reklama.html" title="Реклама" class="menu-item">Реклама</a> <a href="/info/partners.html" title="Партнёры" class="menu-item">Партнёры</a> <a href="/info/legal.html" title="Правовая информация" class="menu-item">Правовая информация</a> <a href="/info/contacts.html" title="Контакты" class="menu-item">Контакты</a> <a href="/feedback.html" title="Обратная связь" class="menu-item">Обратная связь</a></li> <li class="email"><a href="mailto:pcnews@pcnews.ru" title="Пишите нам на pcnews@pcnews.ru"><img src="/media/i/email.gif" alt="e-mail"/></a></li> <li style="visibility: hidden"> <noindex>  <script type="text/javascript"> var _tmr = window._tmr || (window._tmr = []); _tmr.push({id: "93125", type: "pageView", start: (new Date()).getTime()}); (function (d, w, id) { if (d.getElementById(id)) return; var ts = d.createElement("script"); ts.type = "text/javascript"; ts.async = true; ts.id = id; ts.src = (d.location.protocol == "https:" ? "https:" : "http:") + "//top-fwz1.mail.ru/js/code.js"; var f = function () { var s = d.getElementsByTagName("script")[0]; s.parentNode.insertBefore(ts, s); }; if (w.opera == "[object Opera]") { d.addEventListener("DOMContentLoaded", f, false); } else { f(); } })(document, window, "topmailru-code"); </script> <noscript> <div style="position:absolute;left:-10000px;"> <img src="//top-fwz1.mail.ru/counter?id=93125;js=na" style="border:0;" height="1" width="1" alt="Рейтинг@Mail.ru"/> </div> </noscript>  </noindex> </li> </ul> </div> <!--[if lte IE 7]> <iframe id="popup-iframe" frameborder="0" scrolling="no">