Customizando o Spring Security 3.1

Vamos ver nesse artigo como podemos customizar o nosso login para deix�-lo mais profissional e adequado a um ambiente de produ��o. Para conferir como podemos criar uma aplica��o rapidamente com Spring Security disponibilizamos um link nas refer�ncias bibliogr�ficas indicando o artigo.

Entre as customiza��es que ser�o realizadas destacam-se:

Como a p�gina de login padr�o do Spring Security � muito gen�rica e n�o tem uma apar�ncia semelhante com o resto da aplica��o ser� necess�rio um formul�rio de login integrado com o restante da aplica��o.
Devemos fornecer uma forma do usu�rio fazer logout na aplica��o.
Precisamos refinar mais os roles (papeis) para que possamos tornar algumas p�ginas acess�veis a todos e outras que necessitem de autentica��o. Tamb�m dividiremos a nossa aplica��o em dois tipos de pap�is, um para usu�rios comuns e outro para administradores.
Devemos exibir algumas informa��es de contexto indicando se o usu�rio est� autenticado e o nome de usu�rio autenticado.

No restante do artigo veremos como podemos efetuar as customiza��es numa aplica��o web.

Customizando o Login da Aplica��o

Primeiramente devemos atualizar o arquivo security.xml, conforme exemplificado na Listagem 1.


<?xml version="1.0" encoding="UTF-8"?>

<beans:beans xmlns="http://www.springframework.org/schema/security"
xmlns:beans="http://www.springframework.org/schema/beans"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://www.springframework.org/schema/beans 
http://www.springframework.org/schema/beans/spring-beans-3.0.xsd
    http://www.springframework.org/schema/security 
    http://www.springframework.org/schema/security/spring-security.xsd">
                                         


 <http auto-config="true" use-expressions="true">
       
       <intercept-url pattern="/" access="permitAll"/>
       <intercept-url pattern="/login/*" access="permitAll"/>
       <intercept-url pattern="login.jsp" access="permitAll"/>
       <intercept-url pattern="/logout.jsp" access="permitAll"/>
       <intercept-url pattern="/index.jsp" access="hasRole('ROLE_USER')"/>
       
       
       <form-login login-page="/login.jsp"
              login-processing-url="/fazerLogin"
              authentication-failure-url="/login.jsp?error"
              default-target-url="/index.jsp"/>
              
       <logout logout-url="/logout" logout-success-url="/login.jsp?logout"/>
       
 </http>


 <authentication-manager>
       <authentication-provider>
              <user-service>
              
                     <user name="user1@example.com"
                     password="user1"
                     authorities="ROLE_USER"/>
                     
                     <user name="admin1@example.com"
                     password="admin1"
                     authorities="ROLE_USER,ROLE_ADMIN"/>
                     
              </user-service>
       </authentication-provider>
 </authentication-manager>
 
</beans:beans>

Listagem 1. Exemplo do arquivo security.xml atualizado com novos elementos

Como novidades no arquivo security.xml, temos na tag em o atributo login-page que especifica onde o Spring Security redirecionar� o browser quando uma p�gina protegida for acessada e o usu�rio n�o estiver autenticado. Caso uma p�gina de login n�o for especificada, o Spring Security ir� redirecionar o usu�rio para a url padr�o /spring_security_login. Dessa forma, org.springframework.security.web.filter.FilterChainProxy escolher� o org.springframework.security.web.authentication.ui.DefaultLoginPageGeneratingFilter, na qual exibir� a p�gina de login padr�o. DefaultLoginPageGeneratingFilter est� configurado para processar /spring_security_login. Como sobrescrevemos a URL default, somos respons�veis pela p�gina de login quando a URL /login.jsp for solicitada.

O atributo login-processing-url tem como padr�o /j_spring_security_check. Este atributo especifica a URL que o formul�rio de login (que deve incluir o nome de usu�rio e senha) deve ser submetido, usando um HTTP POST. Quando o Spring Security processa esta solicita��o, ele tentar� autenticar o usu�rio. Alteramos o valor padr�o para /fazerLogin.

Os atributos username-parameter e password-parameter t�m como padr�o j_username e j_password respectivamente e especifica os par�metros HTTP que o Spring Security usar� para autenticar o usu�rio quando processar login-processing-url. Para este c�digo n�o foram adicionados esses atributos, dessa forma, nosso formul�rio dever� ter os valores padr�o.

O atributo authentication-failure-url especifica a p�gina que o Spring Security redirecionar� se o username e password submetido por login-processing-url for inv�lido.

� sempre uma boa pr�tica sobrescrevermos todos esses atributos como forma de n�o expor que estamos supostamente usando o Spring Security. Revelar o framework que estamos usando � um tipo de "vazamento de informa��es", tornando mais f�cil para os atacantes determinar potenciais falhas na seguran�a de uma aplica��o. Portanto, apenas estamos utilizando o username e password padr�o para fins did�ticos, para que o leitor possa verificar que se n�o especificarmos esses atributos com seus valores de forma expl�cita deveremos usar os valores definidos por default.

Agora podemos definir o nosso login customizado. A JSP da Listagem 2 demonstra um exemplo de uma p�gina de login.


<%@ page language="java" contentType="text/html; charset=ISO-8859-1"
pageEncoding="ISO-8859-1"%>
<%@ taglib uri="http://java.sun.com/jsp/jstl/core" prefix="c"%>
<%@ taglib prefix="sec" uri="http://www.springframework.org/security/tags" %>

<html>
 <head>
       <meta http-equiv="Content-Type" content="text/html; charset=ISO-8859-1">
       <title>P�gina de Login Customizado</title>
 </head>
 
 <body>
 
   <!-- HEADER -->
                 
   <div>
    <ul class="nav">
     
     <sec:authorize access="authenticated" var="authenticated"/>
     <c:choose>
        <c:when test="${authenticated}">
         <li id="greeting">
            <div>
              Bem-vindo
              <sec:authentication property="name" />
            </div>
         </li>

         <li>
            <a href="/ExemploSpringSecurity/logout">Logout</a>
         </li>
        </c:when>
        <c:otherwise>
         <li>
         <a id="navLoginLink" href="/login.jsp">Login</a>
         </li>
        </c:otherwise>
     </c:choose>
            
    </ul>
   </div>
                 
   
   
   <!-- FORMUL�RIO -->
   
   <form name="f" action="<c:url value='/fazerLogin'/>" method="post">
   
      <c:if test="${param.error != null}">
       <div class="alert alert-error">
        Falha ao fazer Login.
        <c:if test="${SPRING_SECURITY_LAST_EXCEPTION != null}">
              Motivo: <c:out value="${SPRING_SECURITY_LAST_EXCEPTION.message}" />
        </c:if>
       </div>
      </c:if>

      <c:if test="${param.logout != null}">
       <div class="alert alert-success">
          Voc� efetuou log out.
       </div>
      </c:if>

      <label for="username">Username</label>
      <input type="text" id="j_username" name="j_username"/>
      <label for="password">Senha</label>
      <input type="password" id="j_password" name="j_password"/>

      <div class="form-actions">
       <input id="submit" class="btn" name="submit" type="submit" value="Login"/>
      </div>
          
   </form>
       
       
 </body>
</html>

Listagem 2. Exemplo de p�gina JSP para login, logout e mensagens

Existem alguns itens importantes no c�digo acima, entre eles destacam-se:

Podemos verificar que o atributo action do formul�rio deve ser igual ao valor de login-processing-url no arquivo security.xml.
Por seguran�a o Spring Security apenas processa requisi��es usando POST.
Usamos param.error para verificar se h� algum problema com o login. Para isso utilizamos o atributo authentication-failure-url contendo um par�metro de erro do HTTP (/login.jsp?error).
O SPRING_SECURITY_LAST_EXCEPTION � um atributo de sess�o que cont�m a �ltima exce��o do org.springframework.security.core.AuthenticationException, que pode ser usado para exibir informa��es sobre o motivo da falha do login. As mensagens de erro do Spring Security tamb�m podem ser customizadas atrav�s do suporte � internacionaliza��o disponibilizado pelo Spring.
Os campos de input para username e password s�o escolhidos de acordo com o que foi definido nos atributos username-parameter e password-parameter no arquivo de configura��o security.xml. Como n�o definimos nenhum devemos usar o nome padr�o.

Segue na Listagem 3 o arquivo web.xml que estamos utilizando e j� foi explicado no primeiro artigo sobre Spring Security (link nas refer�ncias bibliogr�ficas).


<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 
xmlns="http://java.sun.com/xml/ns/javaee" 
xmlns:web="http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd" 
xsi:schemaLocation="http://java.sun.com/xml/ns/javaee 
http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd" id="WebApp_ID" 
version="2.5">
  <display-name>Exemplo Spring Security</display-name>
  <welcome-file-list>
    <welcome-file>/index.jsp</welcome-file>
  </welcome-file-list>
  
  <context-param>
    <param-name>contextConfigLocation</param-name>
    <param-value>/WEB-INF/spring/security.xml</param-value>
  </context-param>
  
  <listener>
    <listener-class>org.springframework.web.context
    .ContextLoaderListener</listener-class>
  </listener>
  
  <filter>
    <filter-name>springSecurityFilterChain</filter-name>
    <filter-class>org.springframework.web.filter
    .DelegatingFilterProxy</filter-class>
  </filter>
  <filter-mapping>
    <filter-name>springSecurityFilterChain</filter-name>
    <url-pattern>/*</url-pattern>
  </filter-mapping>
  
</web-app>

Listagem 3. Exemplo do arquivo web.xml utilizado

Assim sendo, com esses tr�s arquivos j� temos nossa aplica��o pronta para rodar com um login customizado.

Podemos notar tamb�m que o nosso login customizado possui suporte para logout que � muito simples de ser criado visto que a configura��o do Sprint Security adiciona suporte autom�tico para esta funcionalidade. Dessa forma, precisamos apenas criar um link que aponta para /j_spring_security_logout. O logout tamb�m pode ser customizado no arquivo security.xml. Para criar o logout apenas adicionamos a linha abaixo no arquivo security.xml dentro da tag http:


<logout logout-url="/logout" logout-success-url="/login.jsp?logout"/>

Agora basta adicionar tamb�m um link para o usu�rio clicar e efetuar o logout da aplica��o. Basta adicionarmos o c�digo abaixo na nossa JSP:


<a href="/ExemploSpringSecurity/logout">Logout</a>

Para facilitar. tamb�m criamos uma mensagem indicando se o usu�rio fez logout. Nesse caso, quando o usu�rio faz logout � enviado um par�metro logout, portanto basta verificarmos se o par�metro foi recebido no carregamento da p�gina. Segue na Listagem 4 o c�digo que utilizamos na aplica��o.


<c:if test="${param.logout != null}">
   <div class="alert alert-success">
         Voc� efetuou log out.
   </div>
</c:if>

Listagem 4. Exemplo de como exibir uma mensagem quando o usu�rio faz logout

O Spring Security tamb�m permite que possamos colocar m�ltiplos elementos permitindo um melhor controle de diferentes por��es da aplica��o. Cada elemento http � considerado na ordem e a primeira combina��o ser� realizada. Portanto, a ordem � muito importante.

Uma configura��o muito importante que foi feita no arquivo security.xml � no onde definimos o . Essa configura��o permite um controle mais granular sobre como os recursos podem ser acessados. Segue na Listagem 5 a configura��o realizada.


<intercept-url pattern="/" access="permitAll"/>
<intercept-url pattern="/login/*" access="permitAll"/>
<intercept-url pattern="login.jsp" access="permitAll"/>
<intercept-url pattern="/logout.jsp" access="permitAll"/>
<intercept-url pattern="/index.jsp" access="hasRole('ROLE_USER')"/>

Listagem 5. Exemplo de um maior controle sobre os recursos da aplica��o usando intercept-url

Nesse caso permitimos acesso total ao recurso de login, logout e restringimos acesso � p�gina index.jsp apenas para usu�rios logados e que tenham o papel ROLE_USER que tamb�m est� definido no arquivo security.xml. O pattern /login/* foi adicionado caso tenhamos algum servlet que fa�a alguma intercepta��o, caso n�o tenhamos ele n�o � necess�rio. � muito importante darmos permiss�o para todos acessarem as p�ginas de login e logout ou a aplica��o pode entrar em loop e o navegador exibir� uma p�gina de erro.

Devemos notar tamb�m que o atributo use-expressions est� setado para true, nesse caso estamos usando a Spring Expression Language (SpEL) para determinar se um usu�rio tem autoriza��o. Caso ele n�o esteja marcado como true, dever�amos usar conforme a Listagem 6.


<intercept-url pattern="/" access="ROLE_ANONYMOUS,ROLE_USER"/>
<intercept-url pattern="/login.jsp" access="ROLE_ANONYMOUS,ROLE_USER"/>
<intercept-url pattern="/logout.jsp" access="ROLE_ANONYMOUS,ROLE_USER"/>
<intercept-url pattern="/index.jsp" access="ROLE_USER"/>

Listagem 6. Exemplo n�o utilizando express�es

Nesse caso ROLE_ANONYMOUS indica um usu�rio que n�o est� logado e tem acesso total ao recurso.

Na aplica��o que foi criada tamb�m utilizamos uma tag library para exibir informa��es sobre o usu�rio autenticado. Para isso tivemos que incluir a tag library chamada spring-securitytaglibs-3.1.0.RELEASE.jar na nossa aplica��o.

Para utilizarmos essa tag library tivemos que incluir a diretiva abaixo na nossa JSP:


<%@ taglib prefix="sec" uri="http://www.springframework.org/security/tags" %>

E no corpo da nossa p�gina JSP utilizamos tamb�m:


<sec:authorize access="authenticated" var="authenticated"/>

e tamb�m:


<sec:authentication property="name" />

A tag determina se o usu�rio est� autenticado ou n�o e atribui este valor para a vari�vel authenticated. A tag procura pelo objeto org.spring.security.core.Authentication atual. O atributo property ir� procurar o atributo "principal" em org.spring.security.core.Authentication, que neste caso � do tipo org.spring.security.core.userdetails.UserDetails. Este por sua vez obt�m a propriedade username em UserDetails e exibe este valor na p�gina.

Outra configura��o interessante para uma aplica��o � customizarmos o comportamento da aplica��o ap�s o login. O atributo default-target-url do elemento define para onde a aplica��o ser� redirecionada ap�s um login ser feito com sucesso. Se default-target-url estiver indefinido seremos redirecionados para a raiz da aplica��o.

Vale ressaltar que se um usu�rio solicitar uma p�gina protegida, antes de ser autenticado, o Spring Security vai lembrar-se da �ltima p�gina protegida que foi acessada antes de autenticar. Para isso o Spring Security usa o org.spring.security.web.savedrequest.RequestCache. Portanto, ap�s a autentica��o ser bem sucedida, o Spring Security ir� enviar o usu�rio para a �ltima p�gina protegida que foi acessada antes da autentica��o. Por exemplo, se um usu�rio n�o autenticado solicita a p�gina teste.jsp, ele ser� enviado para a p�gina de login, para que o usu�rio possa ser autenticado antes de acessar o recurso protegido. Ap�s o usu�rio ser autenticado com sucesso, o usu�rio ser� enviado para a solicita��o anteriormente solicitada, ou seja, a p�gina teste.jsp.

Se quisermos que o usu�rio sempre seja redirecionado para o default-target-url podemos setar o atributo alwaysuse-default-target para true. Segue abaixo um exemplo:


<form-login ...
   always-use-default-target="true"/>

Executando a aplica��o

Na Figura 1 vemos como ficou a estrutura completa da aplica��o.

Ao executar a aplica��o temos primeiramente a tela de login sendo exibida ao usu�rio, solicitando suas credenciais. Veja a tela da Figura 2.

A tela de login foi exibida, pois a aplica��o tentou acessar a index.jsp, por�m para acessar essa p�gina o usu�rio precisa de autoriza��o, conforme configuramos no arquivo security.xml. Se digitarmos um login errado, como exibido na Figura 3. teremos a seguinte tela sendo exibida.

**Figura 3**. Mensagem de falha ao fazer login � exibida

Se colocarmos o username e senha corretos somos redirecionados para a tela solicitada, ou seja, para a p�gina index.jsp. A Figura 4 mostra a tela.

**Figura 4**. Tela requisitada exibida com sucesso

Se visitarmos novamente a tela de login, veremos que duas novas op��es ser�o exibidas. Uma das op��es � para que possamos fazer logout e a outra � o nome do usu�rio atualmente logado na aplica��o. A Figura 5 mostra a tela.

**Figura 5**. Informa��es do usu�rio e op��o de logout s�o exibidas para o usu�rio autenticado

Essas informa��es tamb�m poderiam estar dispon�veis em toda a aplica��o, num cabe�alho ou num menu fixo.

Dessa forma, nossa aplica��o j� possui um login customizado e executando no navegador do usu�rio.

Bibliografia:

Spring Security, dispon�vel em projects.spring.io/spring-security
Robert Winch, Peter Mularien. Spring Security 3.1.. Packt Publishing, 2012.
Mick Knutson. Java EE 6 Cookbook for Securing, Tuning and Extending Enterprise Applications. Packt Publishing, 2012.
Spring Security 3.1: Configura��o e utiliza��o em um exemplo web.

Tecnologias:

Confira outros conte�dos:

Introdu��o ao JDBC

Novidades do Java

Teste unit�rio com JUnit

Assista grátis a nossa aula inaugural

Perguntas frequentes

Quem somos?

Por que a programação se tornou a profissão mais promissora da atualidade?

Como faço para começar a estudar?

Em quanto tempo de estudo vou me tornar um programador?

Sim, você pode se tornar um programador e não precisa ter diploma de curso superior!

O que eu irei aprender estudando pela DevMedia?

Principais diferenciais da DevMedia

Qual o investimento financeiro que preciso fazer para me tornar um programador?

Como funciona a forma de pagamento da DevMedia?

Por Higor Em 2014

Nossos casos de sucesso

Leonardo Carlos

Eu sabia pouqu�ssimas coisas de programa��o antes de come�ar a estudar com voc�s, fui me especializando em v�rias �reas e ferramentas que tinham na plataforma, e com essa bagagem consegui um est�gio logo no in�cio do meu primeiro per�odo na faculdade.

Lucas Rodrigues

Estudo aqui na Dev desde o meio do ano passado! Nesse per�odo a Dev me ajudou a crescer muito aqui no trampo.
Fui o primeiro desenvolvedor contratado pela minha empresa. Hoje eu lidero um time de desenvolvimento!
Minha meta � continuar estudando e praticando para ser um Full-Stack Dev!

Her�clito J�nior

Economizei 3 meses para assinar a plataforma e sendo sincero valeu muito a pena, pois a plataforma � bem intuitiva e muuuuito did�tica a metodologia de ensino. Sinto que estou EVOLUINDO a cada dia. Muito obrigado!

Julio Cablen

Nossa! Plataforma maravilhosa. To amando o curso de desenvolvimento front-end, tinha coisas que eu ainda n�o tinha visto. A did�tica � do jeito que qualquer pessoa consegue aprender. S�rio, to apaixonado, adorando demais.

Joelberth Sena

Adquiri o curso de voc�s e logo percebi que s�o os melhores do Brasil. � um passo a passo incr�vel. S� n�o aprende quem n�o quer. Foi o melhor investimento da minha vida!

Felipe Nunes

Foi um dos melhores investimentos que j� fiz na vida e tenho aprendido bastante com a plataforma. Voc�s est�o fazendo parte da minha jornada nesse mundo da programa��o, irei assinar meu contrato como programador gra�as a plataforma.

Wanderson Oliveira

Comprei a assinatura tem uma semana, aprendi mais do que 4 meses estudando outros cursos. Exerc�cios pr�ticos que n�o tem como n�o aprender, est�o de parab�ns!

Jos� Lucas

Obrigado DevMedia, nunca presenciei uma plataforma de ensino t�o presente na vida acad�mica de seus alunos, parab�ns!

Eduardo Dorneles

Aprendi React na plataforma da DevMedia h� cerca de 1 ano e meio... Hoje estou h� 1 ano empregado trabalhando 100% com React!

Adauto Junior

J� fiz alguns cursos na �rea e nenhum � t�o bom quanto o de voc�s. Estou aprendendo muito, muito obrigado por existirem. Est�o de parab�ns... Espero um dia conseguir um emprego na �rea.

Ver todos os casos de sucesso