Spring Security con Base de Datos

Un tutorial más de la serie Spring Security, seguiremos trabajando con el proyecto que hemos utilizado desde el principio del curso, esta vez nos enfocaremos en la tarea de integración de una base de datos en donde se almacenarán los usuarios registrados, usando estos datos realizaremos la autenticación y autorización requeridos para poder acceder a nuestro sitio web protegido.

Estudiaremos dos enfoques, primero utilizando JDBC y luego con JPA Hibernate, para la base de datos utilizaremos el motor HSQLDB, aunque fácilmente puede cambiar a MYSQL, SQL Server, o cualquier otro.

La BD que utilicemos deberá tener como mínimo las siguientes tablas, en USERS almacenamos el nombre de usuario, contraseña, y un booleano que indica si el usuario está activo o no, en la tabla AUTHORITIES guardamos los roles de cada usuario, el esquema básico es el siguiente:

image

Lo primero que requerimos es agregar las dependencias spring-jdbc y hsqldb.

<dependency>
    <groupId>org.springframework</groupId>
    <artifactId>spring-jdbc</artifactId>
    <version>${spring.version}</version>
</dependency>

<dependency>
    <groupId>org.hsqldb</groupId>
    <artifactId>hsqldb</artifactId>
    <version>2.3.3</version>
</dependency>

Luego debemos configurar el origen de datos, puedes profundizar viendo los tutoriales: acceso a datos con spring-jdbc, bases datos con hibernate-jpa, la configuración es simple:

@Configuration
public class WebDataConfig {

    @Bean
    public DataSource dataSource() {
        return new EmbeddedDatabaseBuilder()
                .setType(EmbeddedDatabaseType.HSQL)
                .addScript("classpath:schema.sql")
                .addScript("classpath:data.sql")
                .generateUniqueName(true)
                .build();
    }
}

Para que esta configuración sea utilizada por nuestro proyecto debemos indicarle a la clase WebAppInitializer que debe utilizar la misma, del mismo modo como lo hacemos con la clase de configuración de seguridad.

public class WebAppInitializer extends AbstractAnnotationConfigDispatcherServletInitializer {

    @Override
    protected Class<?>[] getRootConfigClasses() {
        return new Class[]{WebSecConfig.class, WebDataConfig.class};
    }

    @Override
    protected Class<?>[] getServletConfigClasses() {
        return new Class[]{WebAppConfig.class};
    }

    @Override
    protected String[] getServletMappings() {
        return new String[]{"/"};
    }
}

El archivo schema.sql es el encargado de crear las tablas.

CREATE TABLE USERS(
    USERNAME VARCHAR_IGNORECASE(50) NOT NULL PRIMARY KEY,
    PASSWORD VARCHAR_IGNORECASE(50) NOT NULL,
    ENABLED BOOLEAN NOT NULL
);

CREATE TABLE AUTHORITIES(
    USERNAME VARCHAR_IGNORECASE(50) NOT NULL,
    AUTHORITY VARCHAR_IGNORECASE(50) NOT NULL,
    CONSTRAINT FK_AUTHORITIES_USERS
    FOREIGN KEY(USERNAME) REFERENCES USERS(USERNAME)
);

El archivo data.sql agrega datos a las tablas previamente creadas.

INSERT INTO USERS VALUES('user', '123', true);
INSERT INTO AUTHORITIES VALUES('user', 'USER_ROLE');

INSERT INTO USERS VALUES('carmelo', '010101', true);
INSERT INTO AUTHORITIES VALUES('carmelo', 'ADMIN_ROLE');
INSERT INTO AUTHORITIES VALUES('carmelo', 'USER_ROLE');

Tenemos lo siguiente:

image

Para finalizar solo requerimos cambiar el proveedor de autenticación, lo hacemos en la clase WebSecConfig, de la siguiente manera:

@Configuration
@EnableWebSecurity
public class WebSecConfig extends WebSecurityConfigurerAdapter {
 
    @Autowired
    private DataSource dataSource;
    
    @Autowired
    public void configureAuth(AuthenticationManagerBuilder auth) throws Exception {
        auth
                .jdbcAuthentication()
                .dataSource(dataSource);
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
         // ...
    }
}

Si ejecutamos la aplicación y iniciamos sesión con las credenciales: carmelo y 010101, si entramos todo está correcto.

image

Usar una base de datos existente

En el caso de que tengamos una base de datos cuyos nombres no concuerden con el esquema utilizado por Spring Security tenemos la posibilidad de escribir las consultas SQL que se adapten a nuestra base de datos, de este modo integramos la seguridad a una BD propia.

Para nuestra demostración cambiaremos el nombre de alguna de las tablas y columnas de la BD, luego ingresaremos las correspondientes consultas SQL.

/*************** schema.sql *************************/

CREATE TABLE USUARIOS (
    NOMBRE VARCHAR_IGNORECASE(50) NOT NULL PRIMARY KEY,
    PASSWORD VARCHAR_IGNORECASE(50) NOT NULL,
    CORREO VARCHAR_IGNORECASE(50) NOT NULL
);

CREATE TABLE AUTHORITIES (
    NOMBRE VARCHAR_IGNORECASE(50) NOT NULL,
    AUTHORITY VARCHAR_IGNORECASE(50) NOT NULL,
    CONSTRAINT FK_AUTHORITIES_USERS
    FOREIGN KEY(NOMBRE) REFERENCES USUARIOS(NOMBRE)
);


/*************** data.sql *************************/

INSERT INTO USUARIOS VALUES('user', '123', 'user@correo.com');
INSERT INTO AUTHORITIES VALUES('user', 'USER_ROLE');

INSERT INTO USUARIOS VALUES('carmelo', '010101', 'carmelo@tutor.com');
INSERT INTO AUTHORITIES VALUES('carmelo', 'ADMIN_ROLE');
INSERT INTO AUTHORITIES VALUES('carmelo', 'USER_ROLE');

La configuración de la seguridad para usar esta nueva base de datos es la siguiente:

@Configuration
@EnableWebSecurity
public class WebSecConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private DataSource dataSource;

    @Autowired
    public void configureAuth(AuthenticationManagerBuilder auth) throws Exception {
        auth
                .jdbcAuthentication()
                .dataSource(dataSource)
                .usersByUsernameQuery("SELECT nombre, password, true FROM usuarios WHERE nombre = ?")
                .authoritiesByUsernameQuery("SELECT nombre, authority FROM authorities WHERE nombre = ?");
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
          // ...
    }
}

El método usersByUsernameQuery() define la consulta usada para obtener las credenciales del usuario, la misma debe devolver tres columnas, nombre, contraseña y el booleano que indica si el usuario está habilitado, en este ejemplo esta última columna siempre es true ya que la base de datos que diseñamos no almacena dicho valor.

Por medio de authoritiesByUsernameQuery() agregamos la consulta que obtiene los roles correspondientes al usuario, para este caso la consulta debe retornar dos columnas, una con el nombre y otra con los roles.

Descargar proyecto java: springsecurity-basedatos.zip

Categorías:

Comentarios

  1. EdFH1925 de noviembre de 2019, 18:50

    que pasa si tengo por ejemplo una tabla que maneja los estados de los usuarios? como la implemento dentro del contexto de spring security?

    ResponderEliminar
    Respuestas
    1. Tutor de programación26 de noviembre de 2019, 5:03

      Solo debes adecuar la consulta para que devuelva los datos que requiere Spring, la estructura de las tablas puede variar.

      Eliminar

Publicar un comentario

Temas relacionados

Entradas populares de este blog

tkinter Grid

Imagen
El método grid nos permite posicionar los widgets en una celda en especifico, indicamos la celda usando el índice de fila y columna correspondiente, el ancho y la altura de cada celda son configurables, además un widget puede ocupar varias celdas si lo deseamos, usando grid podemos crear fácilmente interfaces gráficas de usuario tipo formulario.
SIGUE LEYENDO

Controles y Contenedores JavaFX 8 - I

Imagen
Javafx cuenta con gran cantidad de controles que podemos usar en el diseño de la interfaz gráfica de usuario correspondiente, además tenemos la posibilidad de personalizar los controles ya existentes, descargar paquetes de controles de terceros o diseñar nuestros propios controles; En esta sección veremos los controles de uso común y algunos paneles contenedores que nos facilitan la ubicación y organización de los mismos.
SIGUE LEYENDO

Conectar SQL Server con Java

Imagen
Conectar Java con SQL Server : una vez hayamos creado nuestra base de datos, seguramente necesitamos conectarla con una aplicación que realizaremos en un lenguaje de nuestra preferencia, si elegimos Java para conectar la base de datos debemos hacer lo siguientes pasos para conectarnos a la base de datos: Para realizar la conexión con una base de datos MySQL visita: Conectar Java con MySQL . Conectar Java con SQL Server Primero descargamos el controlador JDBC para SQL Server, nos dirigimos al siguiente enlace: descargar JDBC . Una vez ingresemos a la página indicada, tenemos dos versiones para descargar, una .exe y otro .tar.gz , ambos son iguales solo que el archivo .exe se extraerá automáticamente al darle doble clic. Una vez lo tengamos descargado, los descomprimimos y guardamos en una carpeta de nuestra preferencia. Creamos nuestra aplicación Java, en mi caso usaré el IDE Netbeans 8.x. Para conectarnos necesitaremos en siguiente código java: DB_Name es el nombre de la base de d
Sigue leyendo

tkinter Canvas

Imagen
El widget canvas en tkinter nos brinda una superficie sobre la que podemos dibujar distintas figuras, imágenes, texto, etc., para cada uno de ellos tenemos un método de la forma: canvas.create_* , por ejemplo para dibujar una línea tenemos: canvas.create_line o canvas.create_image para dibujar una imagen en el canvas.
SIGUE LEYENDO