Uwierzytelnianie i autoryzacja z użyciem JWT, Angulara i Spring Boota [część 1]


Uwierzytelnianie i autoryzacja z użyciem JWT, Angulara i Spring Boota [część 1]

Z tego wpisu dowiesz się w jaki sposób zaprojektować uwierzytelnianie (autentykacje) i autoryzację z użyciem tokena JWT i Angulara. Jest to polskie opracowanie oryginalnego wpisu który znajduje się tutaj: https://bezkoder.com/angular-jwt-authentication/. Odnośnie samego tokena JWT odsyłam do wpisu: https://javaleader.pl/2019/10/31/jwt-json-web-token-w-spring-boot/. Tworzymy nowy projekt Spring Boota – plik pom.xml – niezbędne zależności:

<dependencies>
	<dependency>
		<groupId>org.springframework.boot</groupId>
		<artifactId>spring-boot-starter-data-jpa</artifactId>
	</dependency>
 
	<dependency>
		<groupId>org.springframework.boot</groupId>
		<artifactId>spring-boot-starter-security</artifactId>
	</dependency>
 
	<dependency>
		<groupId>org.springframework.boot</groupId>
		<artifactId>spring-boot-starter-web</artifactId>
	</dependency>
 
	<dependency>
		<groupId>org.postgresql</groupId>
		<artifactId>postgresql</artifactId>
		<scope>runtime</scope>
	</dependency>
 
	<dependency>
		<groupId>mysql</groupId>
		<artifactId>mysql-connector-java</artifactId>
		<scope>runtime</scope>
	</dependency>
 
	<dependency>
		<groupId>io.jsonwebtoken</groupId>
		<artifactId>jjwt</artifactId>
		<version>0.9.1</version>
	</dependency>
 
	<dependency>
		<groupId>org.springframework.boot</groupId>
		<artifactId>spring-boot-starter-test</artifactId>
		<scope>test</scope>
	</dependency>
 
	<dependency>
		<groupId>org.springframework.security</groupId>
		<artifactId>spring-security-test</artifactId>
		<scope>test</scope>
	</dependency>
 
	<dependency>
		<groupId>org.projectlombok</groupId>
		<artifactId>lombok</artifactId>
		<version>1.18.12</version>
		<scope>provided</scope>
	</dependency>
 
</dependencies>

Konfiguracja Spring Security:

Klasa WebSecurityConfig:

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(
		// securedEnabled = true,
		// jsr250Enabled = true,
		prePostEnabled = true)
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
	@Autowired
	UserDetailsServiceImpl userDetailsService;
 
	@Autowired
	private AuthEntryPointJwt unauthorizedHandler;
 
	@Bean
	public AuthTokenFilter authenticationJwtTokenFilter() {
		return new AuthTokenFilter();
	}
 
	@Override
	public void configure(AuthenticationManagerBuilder authenticationManagerBuilder) throws Exception {
		authenticationManagerBuilder.userDetailsService(userDetailsService).passwordEncoder(passwordEncoder());
	}
 
	@Bean
	@Override
	public AuthenticationManager authenticationManagerBean() throws Exception {
		return super.authenticationManagerBean();
	}
 
	@Bean
	public PasswordEncoder passwordEncoder() {
		return new BCryptPasswordEncoder();
	}
 
	@Override
	protected void configure(HttpSecurity http) throws Exception {
		http.cors().and().csrf().disable()
			.exceptionHandling().authenticationEntryPoint(unauthorizedHandler).and()
			.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS).and()
			.authorizeRequests().antMatchers("/api/auth/**").permitAll()
			.antMatchers("/api/test/**").permitAll()
			.anyRequest().authenticated();
 
		http.addFilterBefore(authenticationJwtTokenFilter(), UsernamePasswordAuthenticationFilter.class);
	}
}

wyjątki uwierzytelniania rejestrowane są poprzez:

.exceptionHandling().authenticationEntryPoint(unauthorizedHandler).and()

gdzie unauthorizedHandler:

@Component
public class AuthEntryPointJwt implements AuthenticationEntryPoint {
 
	private static final Logger logger = LoggerFactory.getLogger(AuthEntryPointJwt.class);
 
	@Override
	public void commence(HttpServletRequest request, HttpServletResponse response,
			AuthenticationException authException) throws IOException, ServletException {
		logger.error("Unauthorized error: {}", authException.getMessage());
		response.sendError(HttpServletResponse.SC_UNAUTHORIZED, "Error: Unauthorized");
	}
}

czyli jeśli użytkownik wpisze błędny login lub hasło to wyświetli się na konsoli:

 c.b.s.security.jwt.AuthEntryPointJwt : Unauthorized error: Bad credentials

oraz zobaczymy komunikat w przeglądarce:

Error: Unauthorized

wpis:

.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS).and()

oznacza, że nie będzie tworzona żadna sesja z użyciem Spring Security – autentykacja odbywać się będzie poprzez wywołanie filtra weryfikującego każde żądanie. Kolejne wpisy oznaczają, że każdy odwiedzający ma dostęp do endpointów:

  • /api/auth/**
  • /api/test/**

inne requesty będą weryfikowane tokenem JWT. Przed wykonaniem domyślnego filtra – UsernamePasswordAuthenticationFilter – który jest odpowiedzialny za odczyt danych z formularza wykonujemy filtr AuthTokenFilter (filtr ten wykonywany jest zawsze przed każdym żądaniem do zasobu, ale przed UsernamePasswordAuthenticationFilter który wykonywany jest tylko kiedy użytkownik wyśle formularz dostępny pod domyślnym adresem /login).

http.addFilterBefore(authenticationJwtTokenFilter(), UsernamePasswordAuthenticationFilter.class);

żeby zweryfikować czy żądanie które jest wysyłane do API zawiera w nagłówku token JWT:

public class AuthTokenFilter extends OncePerRequestFilter {
	@Autowired
	private JwtUtils jwtUtils;
 
	@Autowired
	private UserDetailsServiceImpl userDetailsService;
 
	private static final Logger logger = LoggerFactory.getLogger(AuthTokenFilter.class);
 
	@Override
	protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain)
			throws ServletException, IOException {
		try {
			String jwt = parseJwt(request);
			if (jwt != null && jwtUtils.validateJwtToken(jwt)) {
				String username = jwtUtils.getUserNameFromJwtToken(jwt);
 
				UserDetails userDetails = userDetailsService.loadUserByUsername(username);
				UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken(
						userDetails, null, userDetails.getAuthorities());
				SecurityContextHolder.getContext().setAuthentication(authentication);
			}
		} catch (Exception e) {
			logger.error("Cannot set user authentication: {}", e);
		}
 
		filterChain.doFilter(request, response);
	}
 
	private String parseJwt(HttpServletRequest request) {
		String headerAuth = request.getHeader("Authorization");
 
		if (StringUtils.hasText(headerAuth) && headerAuth.startsWith("Bearer ")) {
			return headerAuth.substring(7, headerAuth.length());
		}
		return null;
	}
}

Autentykacja do API:

Użytkownik wysyła formularz na adres ./login który zawiera w żądaniu login i hasło. Żądanie to trafia do kontrolera – /api/auth/signin który zawiera metodę:

@PostMapping("/signin")
public ResponseEntity<?> authenticateUser(@Valid @RequestBody LoginRequest loginRequest) {
 
	Authentication authentication = authenticationManager.authenticate(
			new UsernamePasswordAuthenticationToken(loginRequest.getUsername(), loginRequest.getPassword()));
 
	SecurityContextHolder.getContext().setAuthentication(authentication);
	String jwt = jwtUtils.generateJwtToken(authentication);
 
	UserDetailsImpl userDetails = (UserDetailsImpl) authentication.getPrincipal();		
	List<String> roles = userDetails.getAuthorities().stream()
			.map(item -> item.getAuthority())
			.collect(Collectors.toList());
 
	return ResponseEntity.ok(new JwtResponse(jwt,
               userDetails.getId(), userDetails.getUsername(), userDetails.getEmail(), roles));
}

AuthenticationManager to klasa która używa DaoAuthenticationProvider gdzie przy wykorzystaniu UserDetailsService dokonuje walidacji danych (loginu i hasła) przekazanych do konstruktora klasy UsernamePasswordAuthenticationToken. Autentykacja odbywa się na zasadzie porównania danych przekazanych przez użytkownika z formularza z tymi które zapisane są w bazie danych:

@Service
public class UserDetailsServiceImpl implements UserDetailsService {
	@Autowired
	UserRepository userRepository;
 
	@Override
	@Transactional
	public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
		User user = userRepository.findByUsername(username)
				.orElseThrow(() -> new UsernameNotFoundException("User Not Found with username: " + username));
 
		return UserDetailsImpl.build(user);
	}
}

pobierany jest użytkowik z bazy danych – jeżeli istnieje to obiekt klasy UserDetails jest zwracany. W przeciwnym wypadku zwracany jest wyjątek – “user not found“. Dane zawarte w obiekcie UserDetails porównywane są z tymi które użytkownik przekazał. Jeśli te dane są prawidłowe następuje autentykacja użytkownika i zwrócenie tokena JWT który zawiera niezbędne dane – id, username, email, role.

return ResponseEntity.ok(new JwtResponse(jwt,userDetails.getId(),userDetails.getUsername(),userDetails.getEmail(),roles));

gdzie parametr jwt:

public String generateJwtToken(Authentication authentication) {
 
	UserDetailsImpl userPrincipal = (UserDetailsImpl) authentication.getPrincipal();
 
	return Jwts.builder()
			.setSubject((userPrincipal.getUsername()))
			.setIssuedAt(new Date())
			.setExpiration(new Date((new Date()).getTime() + jwtExpirationMs))
			.signWith(SignatureAlgorithm.HS512, jwtSecret)
			.compact();
}

Autoryzacja do API:

Aby przeglądać zasoby API należy dokonać autentykacji oraz autoryzacji. Zasoby wymagają różnych uprawnień. Kiedy użytkownik wysyła żądanie do zasobu wykonywany jest filtr AuthTokenFilter. Jest to filtr który dziedziczy po klasie OncePerRequestFilter.

public class AuthTokenFilter extends OncePerRequestFilter {
...

Klasa testowa z różnymi zasobami do których dostęp przydzielany jest według uprawnień. Użycie adnotacji @PreAuthorize możliwe jest dzięki zdefiniowaniu w klasie konfiguracyjnej Spring Security adnotacji EnableGlobalMethodSecurity:

@CrossOrigin(origins = "*", maxAge = 3600)
@RestController
@RequestMapping("/api/test")
public class TestController {
	@GetMapping("/all")
	public String allAccess() {
		return "Public Content.";
	}
 
	@GetMapping("/user")
	@PreAuthorize("hasRole('USER') or hasRole('MODERATOR') or hasRole('ADMIN')")
	public String userAccess() {
		return "User Content.";
	}
 
	@GetMapping("/mod")
	@PreAuthorize("hasRole('MODERATOR')")
	public String moderatorAccess() {
		return "Moderator Board.";
	}
 
	@GetMapping("/admin")
	@PreAuthorize("hasRole('ADMIN')")
	public String adminAccess() {
		return "Admin Board.";
	}
}

Filtr AuthTokenFilter sprawdza czy w nagłówku żądania przekazywany jest token JWT – weryfikowana jest również jego prawidłowość:

try {
	String jwt = parseJwt(request);
	if (jwt != null && jwtUtils.validateJwtToken(jwt)) {
		String username = jwtUtils.getUserNameFromJwtToken(jwt);
		UserDetails userDetails = userDetailsService.loadUserByUsername(username);
		UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken(
		userDetails, null, userDetails.getAuthorities());

na podstawie przekazanego tokena JWT wybierany jest login użytkownika. Następnie dane użytkownika m.in. jego rola pobierane są z bazy danych. Użytkownik jest autoryzowany. Jeśli token jest nieprawidłowy wyrzucany jest wyjątek – Cannot set user authentication: {}. Po autoryzacji użytkownika jeśli jego rola nie jest zgodna z polityką która zdefiniowana jest w adnotacjach:

@PreAuthorize("hasRole('MODERATOR')")

dostęp jest do API jest blokowany.

Rejestracja nowego użytkownika:

Kiedy użytkownik chce się zarejestrować w systemie – wysyła request metodą POST na adres /api/auth/signup. Domyślnie jeśli nie ma przekazanej roli wybierana jest rola USER:

@PostMapping("/signup")
public ResponseEntity<?> registerUser(@Valid @RequestBody SignupRequest signUpRequest) {
    if (userRepository.existsByUsername(signUpRequest.getUsername())) {
        return ResponseEntity
                .badRequest()
                .body(new MessageResponse("Error: Username is already taken!"));
    }
 
    if (userRepository.existsByEmail(signUpRequest.getEmail())) {
        return ResponseEntity
                .badRequest()
                .body(new MessageResponse("Error: Email is already in use!"));
    }
 
    // Create new user's account
    User user = new User(signUpRequest.getUsername(), 
                         signUpRequest.getEmail(),
                         encoder.encode(signUpRequest.getPassword()));
 
    Set<String> strRoles = signUpRequest.getRole();
    Set<Role> roles = new HashSet<>();
 
    if (strRoles == null) {
        Role userRole = roleRepository.findByName(ERole.ROLE_USER)
                .orElseThrow(() -> new RuntimeException("Error: Role is not found."));
        roles.add(userRole);
    } else {
        strRoles.forEach(role -> {
            switch (role) {
            case "admin":
                Role adminRole = roleRepository.findByName(ERole.ROLE_ADMIN)
                        .orElseThrow(() -> new RuntimeException("Error: Role is not found."));
                roles.add(adminRole);
                break;
            case "mod":
                Role modRole = roleRepository.findByName(ERole.ROLE_MODERATOR)
                        .orElseThrow(() -> new RuntimeException("Error: Role is not found."));
                roles.add(modRole);
                break;
            default:
                Role userRole = roleRepository.findByName(ERole.ROLE_USER)
                        .orElseThrow(() -> new RuntimeException("Error: Role is not found."));
                roles.add(userRole);
            }
        });
    }
    user.setRoles(roles);
    userRepository.save(user);
 
    return ResponseEntity.ok(new MessageResponse("User registered successfully!"));
}

Zobacz kod na GitHubie i zapisz się na bezpłatny newsletter!

.


Leave a comment

Your email address will not be published.


*


Ta strona wykorzystuje pliki cookie. Używamy informacji zapisanych za pomocą plików cookies w celu zapewnienia maksymalnej wygody w korzystaniu z naszego serwisu. Mogą też korzystać z nich współpracujące z nami firmy badawcze oraz reklamowe. Jeżeli wyrażasz zgodę na zapisywanie informacji zawartej w cookies kliknij na „akceptuję". Jeśli nie wyrażasz zgody, ustawienia dotyczące plików cookies możesz zmienić w swojej przeglądarce. kliknij po więcej informacji

Ta strona wykorzystuje pliki cookie. Używamy informacji zapisanych za pomocą plików cookies w celu zapewnienia maksymalnej wygody w korzystaniu z naszego serwisu. Mogą też korzystać z nich współpracujące z nami firmy badawcze oraz reklamowe. Jeżeli wyrażasz zgodę na zapisywanie informacji zawartej w cookies kliknij na „akceptuję". Jeśli nie wyrażasz zgody, ustawienia dotyczące plików cookies możesz zmienić w swojej przeglądarce.

zamknij