Différences

Ci-dessous, les différences entre deux révisions de la page.

--- web:framework:spring:security [2023/12/05 10:35] – [Déclaration du service] jcheron
+++ web:framework:spring:security [2023/12/05 11:11] – [Hiérarchie des authorities] jcheron
@@ Ligne 251: / Ligne 251: @@
 Ajouter une route pour le **login**
-<sxh kotlin:AppConfig>
+<sxh java:AppConfig>
-class AppConfig  : WebMvcConfigurer {
+@Configuration
-    override fun addViewControllers(registry: ViewControllerRegistry) {
+public class WebConfiguration implements WebMvcConfigurer {
-        registry.addViewController("/login").setViewName("loginForm")
+    @Override
+    public void addViewControllers(ViewControllerRegistry registry) {
+    	registry.addViewController("/login").setViewName("/forms/loginForm");
     }
 }
@@ Ligne 261: / Ligne 264: @@
 Modifier la configuration dans **WebSecurityConfig** :
-<sxh kotlin;title:WebSecurityConfig>
+<sxh java;title:WebSecurityConfiguration>
 @Configuration
 @EnableWebSecurity
-@EnableMethodSecurity(
-        prePostEnabled = true, proxyTargetClass = true
-)
 public class WebSecurityConfiguration {
@@ Ligne 323: / Ligne 323: @@
     static RoleHierarchy roleHierarchy() {
         RoleHierarchyImpl hierarchy = new RoleHierarchyImpl();
-        hierarchy.setHierarchy("ROLE_ADMIN > ROLE_USER");
+        hierarchy.setHierarchy("ROLE_ADMIN > ROLE_REDACTOR\n ROLE_REDACTOR > ROLE_USER");
         return hierarchy;
     }
@@ Ligne 473: / Ligne 473: @@
 La protection csrf est activée par défaut dans **Spring security**
 </wrap>
+Mettre éventuellement une exception pour la console H2 (mais la console H2 n'a aucune raison d'être activée en production) :
+<sxh java;gutter:false>
+req.csrf(csrf->csrf.ignoringRequestMatchers(toH2Console()))
+</sxh>
 === Intégration dans les vues ===
@@ Ligne 494: / Ligne 500: @@
 </form>
 </sxh>
+<wrap important>Attention à la route **/logout**, elle devra être accédée uniquement via un POST, qui devra inclure le token CSRF.</wrap>