Différences

Ci-dessous, les différences entre deux révisions de la page.

--- web:framework:spring:security [2023/12/05 10:34] – [UserDetailsService] jcheron
+++ web:framework:spring:security [2023/12/05 12:12] (Version actuelle) – [Déclaration du service] jcheron
@@ Ligne 221: / Ligne 221: @@
 Ne pas oublier de hasher le password User avant création :
-<sxh kotlin;title:InitController;highlight:19>
+<sxh java;title:DbUserService>
-@Controller
+@Service
-class InitController {
+public class UserService implements UserDetailsService {
-    @Autowired
-    lateinit var dbUserService: UserDetailsService
-    @Autowired
+    ...
-    lateinit var userRepository: UserRepository
-    @Autowired
-    lateinit var roleRepository: RoleRepository
-    @RequestMapping("/init/{username}")
+    public User createUser(String login, String password) {
-    fun createUser(@PathVariable username:String):String {
+        User user = new User();
-        val user=User()
+        user.setLogin(login);
-        user.username=username
+        user.setPassword(password);
-        user.email=username.lowercase()+"@gmail.com"
+        encodePassword(user);
-        user.role="ROLE_MANAGER"
+        user.setRole(getRole("ROLE_USER"));
-        user.password="1234"
+        return uRepo.save(user);
-        (dbUserService as DbUserService).encodePassword(user)
-        userRepository.save(user)
-        return "redirect:/"
     }
 }
 </sxh>
+=== Récupération Utilisateur connecté ===
+Récupération de l'utilisateur connecté en tant que **ModelAttribute** pour utilisation dans les vues :
+<sxh java>
+@ControllerAdvice
+public class MainAdvice {
+    @ModelAttribute("activeUser")
+    public User activeUser(Authentication auth) {
+        return (auth == null) ? null : (User) auth.getPrincipal();
+    }
+}
+</sxh>
 ==== Login form personnalisée ====
@@ Ligne 260: / Ligne 263: @@
 Ajouter une route pour le **login**
-<sxh kotlin:AppConfig>
+<sxh java:AppConfig>
-class AppConfig  : WebMvcConfigurer {
+@Configuration
-    override fun addViewControllers(registry: ViewControllerRegistry) {
+public class WebConfiguration implements WebMvcConfigurer {
-        registry.addViewController("/login").setViewName("loginForm")
+    @Override
+    public void addViewControllers(ViewControllerRegistry registry) {
+    	registry.addViewController("/login").setViewName("/forms/loginForm");
     }
 }
@@ Ligne 270: / Ligne 276: @@
 Modifier la configuration dans **WebSecurityConfig** :
-<sxh kotlin;title:WebSecurityConfig>
+<sxh java;title:WebSecurityConfiguration>
 @Configuration
 @EnableWebSecurity
-@EnableMethodSecurity(
-        prePostEnabled = true, proxyTargetClass = true
-)
 public class WebSecurityConfiguration {
@@ Ligne 332: / Ligne 335: @@
     static RoleHierarchy roleHierarchy() {
         RoleHierarchyImpl hierarchy = new RoleHierarchyImpl();
-        hierarchy.setHierarchy("ROLE_ADMIN > ROLE_USER");
+        hierarchy.setHierarchy("ROLE_ADMIN > ROLE_REDACTOR\n ROLE_REDACTOR > ROLE_USER");
         return hierarchy;
     }
@@ Ligne 372: / Ligne 375: @@
                                     )
                                     .permitAll();
-                            req.requestMatchers(AntPathRequestMatcher.antMatcher("/admin/**")).hasRole("ROLE_ADMIN"); // (2)
+                            req.requestMatchers(AntPathRequestMatcher.antMatcher("/admin/**")).hasRole("ADMIN"); // (2)
                             req.requestMatchers(AntPathRequestMatcher.antMatcher("/user/**")).hasAuthority("USER"); // (3)
                             req.requestMatchers(AntPathRequestMatcher.antMatcher("/staff/**")).hasAnyAuthority("USER", "ADMIN", "MANAGER"); // (4)
@@ Ligne 385: / Ligne 388: @@
 ^Méthode ^ Description ^
 | 1 - **permitAll** | Pas de sécurisation sur les urls commençant par **/css**, **/assets**, **/login**. |
-| 2 - **hasRole** | Les utilisateurs ayant le rôle **ROLE_ADMIN** peuvent accéder aux urls commençant par **/admin**. |
+| 2 - **hasRole** | Les utilisateurs ayant le rôle **ADMIN** peuvent accéder aux urls commençant par **/admin**. |
 | 3 - **hasAuthority** | Les utilisateurs ayant l'authority **USER** peuvent accéder aux urls commençant par **/user**. |
 | 4 - **hasAnyAuthority** | Les utilisateurs ayant l'une des authorities **USER**, **ADMIN** ou **MANAGER** peuvent accéder aux urls commençant par **/staff**. |
@@ Ligne 482: / Ligne 485: @@
 La protection csrf est activée par défaut dans **Spring security**
 </wrap>
+Mettre éventuellement une exception pour la console H2 (mais la console H2 n'a aucune raison d'être activée en production) :
+<sxh java;gutter:false>
+req.csrf(csrf->csrf.ignoringRequestMatchers(toH2Console()))
+</sxh>
 === Intégration dans les vues ===
@@ Ligne 503: / Ligne 512: @@
 </form>
 </sxh>
+<wrap important>Attention à la route **/logout**, elle devra être accédée uniquement via un POST, qui devra inclure le token CSRF.</wrap>