Este es el cuarto artículo de la serie sobre Spring Boot que comenzamos el mes de Febrero. Estos son los anteriores:
El proyecto con el que estamos trabajando esta en GitHub, esa es su URL: https://github.com/tecnificados/boot
Hoy vamos a empezar a trabajar con Spring Security a nivel muy básico.
Los cambios que vamos a comentar se corresponden con algunos commits del 28 de Marzo de 2021:
Hasta ahora hemos tocado la seguridad muy de refilón, solo hemos dicho que las páginas que hemos ido creando no requerían ningún tipo de seguridad.
Ahora vamos a crear una página que sí requiera estar identificado, y para realizar esa autenticación vamos a crear una página simple de login.
Una de las características que trae de serie Spring Security es protección contra CSRF: entre otras cosas nos garantiza que nadie nos manipula el código de nuestras páginas cuando estamos trabajando con un formulario (algo muy fácil de hacer gracias a las herramientas de depuración de los navegadores).
A continuación vamos repasar los cambios mas importantes en los commits:
Usuario Tecnificado (Commit 69e7131)
Por defecto la configuración de usuarios se encuentra en memoria (más adelante lo cambiaremos para que utilice la base de datos para persistir esta información). En este commit lo que hacemos es añadir al usuario "Tecnificado" con password "iroman" a la lista de usuarios. Lo hacemos con estas líneas en la clase WebSecurityConfig:
@Bean @Override public UserDetailsService userDetailsService() { UserDetails user = User.withDefaultPasswordEncoder() .username("Tecnificado") .password("ironman") .roles("USER") .build(); return new InMemoryUserDetailsManager(user); }
Página de login y Lógica (Commit 2615f63)
En este commit hemos hecho dos cambios importantes:
En el primero, configuramos que nuevas vistas vamos a añadir y sus URLs. Lo hacemos en la clase MvcConfig:
public void addViewControllers(ViewControllerRegistry registry) { registry.addViewController("/hello").setViewName("hello"); registry.addViewController("/login").setViewName("login"); }
En la aplicación ya está configurado que la página de login es "login", así que no hay que hacer nada.
Toda la lógica de la página de login, tampoco la necesitamos implementar, Spring sabe lo que tiene que hacer.
Y para acabar añadimos la JSP, una hoja de estilos y el logo.
Lo más importante de estos cambios es el "input hidden" del formulario, ya que sin esto Spring Security no permitirá identificarnos:
<form class="form-signin" action="<c:url value='/login' />" method="post"> <input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}" />
Esto hay que añadirlo dentro de todos los formularios que se utilicen en la aplicación.
Página Hello y retoques (Commit 38fea25)
Aquí terminamos añadiendo el código de la página que requiere la autenticación: un HTML simple que recupera el nombre del usuario y nos lo muestra en pantalla.
También he añadido un botón desconectar (con formulario) que nos devuelve a la página de login.
En la página inicial (index) he añadido un enlace a la nueva pagina en la parte superior, si pulsamos en ella nos aparecerá la página de login para poder acceder:
En este punto ya tenemos nuestra aplicación trabajando con una seguridad básica. Ya podemos plantearnos empezar con las pantallas del CRUD y trabajar más en serio con la Base de Datos, aunque a lo mejor hacemos algún cambio antes de continuar.
Nos vemos pronto.