Différences

Ci-dessous, les différences entre deux révisions de la page.

--- web:framework:spring:security [2023/12/05 10:29] – [Configuration des rôles] jcheron
+++ web:framework:spring:security [2025/12/15 09:18] (Version actuelle) – [Déclaration du service] jcheron
@@ Ligne 7: / Ligne 7: @@
 ===== Intégration =====
-Ajouter les dépendances suivantes à **pom.xml** :
+Ajouter la dépendance suivante à **pom.xml** :
 <sxh xml;title:pom.xml>
-		<dependency>
+<dependency>
-		    <groupId>org.springframework.security</groupId>
+    <groupId>org.springframework.boot</groupId>
-		    <artifactId>spring-security-web</artifactId>
+    <artifactId>spring-boot-starter-security</artifactId>
-		</dependency>
+</dependency>
-		<dependency>
-		    <groupId>org.springframework.security</groupId>
-		    <artifactId>spring-security-test</artifactId>
-		    <scope>test</scope>
-		</dependency>
-		<dependency>
-		    <groupId>org.springframework.security</groupId>
-		    <artifactId>spring-security-config</artifactId>
-		</dependency>
 </sxh>
@@ Ligne 50: / Ligne 39: @@
 @Configuration
 @EnableWebSecurity
-public class WebSecurityConfiguration {
+public class SecurityConfig {
     @Bean
     public SecurityFilterChain configure(HttpSecurity http) throws Exception {
         http.csrf(AbstractHttpConfigurer::disable).authorizeHttpRequests(
                         (req) -> req.requestMatchers(
-                                        AntPathRequestMatcher.antMatcher("/"),
+                        		PathPatternRequestMatcher.withDefaults().matcher("/"),
-                                        AntPathRequestMatcher.antMatcher("/css/**"),
+                        		PathPatternRequestMatcher.withDefaults().matcher("/css/**"),
-                                        AntPathRequestMatcher.antMatcher("/js/**"),
+                        		PathPatternRequestMatcher.withDefaults().matcher("/js/**"),
-                                        AntPathRequestMatcher.antMatcher("/img/**"),
+                        		PathPatternRequestMatcher.withDefaults().matcher("/img/**"),
-                                        AntPathRequestMatcher.antMatcher("/register/**")
+                        		PathPatternRequestMatcher.withDefaults().matcher("/register/**")
                                 )
                                 .permitAll()
                                 .anyRequest()
                                 .authenticated()
-                ).formLogin();
+                );
         return http.build();
     }
@@ Ligne 167: / Ligne 156: @@
     public void encodePassword(User user) {
         user.setPassword(pEncoder.encode(user.getPassword()));
-    }
-    public User createUser(String login, String password) {
-        User user = new User();
-        user.setLogin(login);
-        user.setPassword(password);
-        encodePassword(user);
-        user.setRole(getRole("USER"));
-        return uRepo.save(user);
     }
 }
@@ Ligne 218: / Ligne 198: @@
     @Bean
     public DaoAuthenticationProvider authenticationProvider(UserDetailsService userService) {
-        DaoAuthenticationProvider auth = new DaoAuthenticationProvider();
+        DaoAuthenticationProvider auth = new DaoAuthenticationProvider(userService);
-        auth.setUserDetailsService(userService);
         auth.setPasswordEncoder(getPasswordEncoder());
         return auth;
@@ Ligne 230: / Ligne 209: @@
 Ne pas oublier de hasher le password User avant création :
-<sxh kotlin;title:InitController;highlight:19>
+<sxh java;title:DbUserService>
-@Controller
+@Service
-class InitController {
+public class UserService implements UserDetailsService {
-    @Autowired
-    lateinit var dbUserService: UserDetailsService
-    @Autowired
+    ...
-    lateinit var userRepository: UserRepository
-    @Autowired
-    lateinit var roleRepository: RoleRepository
-    @RequestMapping("/init/{username}")
+    public User createUser(String login, String password) {
-    fun createUser(@PathVariable username:String):String {
+        User user = new User();
-        val user=User()
+        user.setLogin(login);
-        user.username=username
+        user.setPassword(password);
-        user.email=username.lowercase()+"@gmail.com"
+        encodePassword(user);
-        user.role="ROLE_MANAGER"
+        user.setRole(getRole("ROLE_USER"));
-        user.password="1234"
+        return uRepo.save(user);
-        (dbUserService as DbUserService).encodePassword(user)
-        userRepository.save(user)
-        return "redirect:/"
     }
 }
 </sxh>
+=== Récupération Utilisateur connecté ===
+Récupération de l'utilisateur connecté en tant que **ModelAttribute** pour utilisation dans les vues :
+<sxh java>
+@ControllerAdvice
+public class MainAdvice {
+    @ModelAttribute("activeUser")
+    public User activeUser(Authentication auth) {
+        return (auth == null) ? null : (User) auth.getPrincipal();
+    }
+}
+</sxh>
 ==== Login form personnalisée ====
@@ Ligne 269: / Ligne 251: @@
 Ajouter une route pour le **login**
-<sxh kotlin:AppConfig>
+<sxh java:AppConfig>
-class AppConfig  : WebMvcConfigurer {
+@Configuration
-    override fun addViewControllers(registry: ViewControllerRegistry) {
+public class WebConfiguration implements WebMvcConfigurer {
-        registry.addViewController("/login").setViewName("loginForm")
+    @Override
+    public void addViewControllers(ViewControllerRegistry registry) {
+    	registry.addViewController("/login").setViewName("/forms/loginForm");
     }
 }
@@ Ligne 279: / Ligne 264: @@
 Modifier la configuration dans **WebSecurityConfig** :
-<sxh kotlin;title:WebSecurityConfig>
+<sxh java;title:WebSecurityConfiguration>
 @Configuration
 @EnableWebSecurity
-@EnableMethodSecurity(
-        prePostEnabled = true, proxyTargetClass = true
-)
 public class WebSecurityConfiguration {
@@ Ligne 313: / Ligne 295: @@
         http.csrf(AbstractHttpConfigurer::disable).authorizeHttpRequests(   // (1)
                         (req) -> req.requestMatchers(
-                                        AntPathRequestMatcher.antMatcher("/h2-console/**"),   // (2)
+                                        PathRequest.toH2Console(),   // (2)
                                         ...
                                 )
@@ Ligne 341: / Ligne 323: @@
     static RoleHierarchy roleHierarchy() {
         RoleHierarchyImpl hierarchy = new RoleHierarchyImpl();
-        hierarchy.setHierarchy("ROLE_ADMIN > ROLE_USER");
+        hierarchy.setHierarchy("ROLE_ADMIN > ROLE_REDACTOR\n ROLE_REDACTOR > ROLE_USER");
         return hierarchy;
     }
@@ Ligne 381: / Ligne 363: @@
                                     )
                                     .permitAll();
-                            req.requestMatchers(AntPathRequestMatcher.antMatcher("/admin/**")).hasRole("ROLE_ADMIN"); // (2)
+                            req.requestMatchers(AntPathRequestMatcher.antMatcher("/admin/**")).hasRole("ADMIN"); // (2)
                             req.requestMatchers(AntPathRequestMatcher.antMatcher("/user/**")).hasAuthority("USER"); // (3)
                             req.requestMatchers(AntPathRequestMatcher.antMatcher("/staff/**")).hasAnyAuthority("USER", "ADMIN", "MANAGER"); // (4)
@@ Ligne 394: / Ligne 376: @@
 ^Méthode ^ Description ^
 | 1 - **permitAll** | Pas de sécurisation sur les urls commençant par **/css**, **/assets**, **/login**. |
-| 2 - **hasRole** | Les utilisateurs ayant le rôle **ROLE_ADMIN** peuvent accéder aux urls commençant par **/admin**. |
+| 2 - **hasRole** | Les utilisateurs ayant le rôle **ADMIN** peuvent accéder aux urls commençant par **/admin**. |
 | 3 - **hasAuthority** | Les utilisateurs ayant l'authority **USER** peuvent accéder aux urls commençant par **/user**. |
 | 4 - **hasAnyAuthority** | Les utilisateurs ayant l'une des authorities **USER**, **ADMIN** ou **MANAGER** peuvent accéder aux urls commençant par **/staff**. |
@@ Ligne 404: / Ligne 386: @@
 === Activation ===
-<sxh kotlin;title:WebSecurityConfig;highlight:[3-7]>
+<sxh java;title:WebSecurityConfig;highlight:[3-7]>
 @Configuration
 @EnableWebSecurity
@@ Ligne 412: / Ligne 394: @@
     jsr250Enabled = true
 )
-class WebSecurityConfig {
+public class WebSecurityConfiguration {
     ...
 }
@@ Ligne 426: / Ligne 408: @@
 == @Secured ==
-<sxh kotlin>
+<sxh java>
     @Secured("ROLE_ADMIN")
-    fun adminOnly():String {
+    public String adminOnly() {
-        return "admin"
+        return "admin";
     }
 </sxh>
 == @RolesAllowed ==
-<sxh kotlin>
+<sxh java>
     @RolesAllowed(value = [ "ROLE_USER", "ROLE_MANAGER"])
-    fun userOrManager():String {
+    public String userOrManager() {
-        return "userOrManager"
+        return "userOrManager";
     }
 </sxh>
@@ Ligne 447: / Ligne 429: @@
   * En testant éventuellement les paramètres passés.
-<sxh kotlin>
+<sxh java>
     @PreAuthorize("has_role('ROLE_VIEWER')")
-    fun getUsernameInUpperCase():String=getUserName().upperCase()
+    public String getUsernameInUpperCase() {
+        return getUserName().upperCase();
+    }
 </sxh>
@@ Ligne 456: / Ligne 440: @@
 <sxh kotlin>
     @PreAuthorize("#username == authentication.principal.username")
-    fun getRoles(username:String):List<String> {
+    public List<String> getRoles(username:String) {
         ...
     }
@@ Ligne 469: / Ligne 453: @@
 <sxh kotlin>
     @PostAuthorize("returnObject.username == authentication.principal.nickName")
-    fun loadUserDetail(username:String):CustomUser {
+    public CustomUser loadUserDetail(String username) {
-        return userRoleRepository.loadUserByUserName(username)
+        return userRoleRepository.loadUserByUserName(username);
     }
 </sxh>
@@ Ligne 489: / Ligne 473: @@
 La protection csrf est activée par défaut dans **Spring security**
 </wrap>
+Mettre éventuellement une exception pour la console H2 (mais la console H2 n'a aucune raison d'être activée en production) :
+<sxh java;gutter:false>
+req.csrf(csrf->csrf.ignoringRequestMatchers(toH2Console()))
+</sxh>
 === Intégration dans les vues ===
@@ Ligne 510: / Ligne 500: @@
 </form>
 </sxh>
+<wrap important>Attention à la route **/logout**, elle devra être accédée uniquement via un POST, qui devra inclure le token CSRF.</wrap>