sql >> Databáze >  >> NoSQL >> MongoDB

Autentizace pomocí Spring Security a MongoDB

Je prostě těžké získat skutečnou viditelnost v reálném čase do běžícího ověřování tok.

Části procesu před námi mohou být zcela skryty; pokud celý proces autorizace vyžaduje přesměrování ze vzdáleného produkčního serveru OAuth, musí každé ladění projít produkčním serverem.

Je prakticky neproveditelné toto ladit lokálně. Neexistuje žádný způsob, jak reprodukovat přesný stav a žádný způsob, jak zkontrolovat, co se skutečně děje pod kapotou. Není to ideální.

S vědomím těchto typů výzev jsme vytvořili Lightrun – produkční ladicí nástroj v reálném čase – který vám umožní porozumět komplikovaným tokům s informacemi na úrovni kódu. Přidejte protokoly, pořizujte snímky (virtuální body přerušení) a metriky nástrojů bez vzdáleného ladicího programu, bez zastavení běžící služby, a co je nejdůležitější – v reálném čase a bez vedlejších efektů .

Zjistěte více v tomto 5minutovém tutoriálu zaměřené na ladění těchto druhů scénářů pomocí Lightrun:

>> Ladění ověřování a autorizace pomocí Lightrun

1. Přehled

Spring Security nabízí různé systémy ověřování, například prostřednictvím databáze a UserDetailService .

Namísto použití perzistentní vrstvy JPA můžeme také chtít použít například úložiště MongoDB. V tomto tutoriálu uvidíme, jak ověřit uživatele pomocí Spring Security a MongoDB.

2. Spring Security Authentication s MongoDB

Podobně jako při použití úložiště JPA můžeme použít úložiště MongoDB . Abychom jej mohli používat, musíme nastavit jinou konfiguraci.

2.1. Maven Dependencies

Pro tento tutoriál použijeme Embedded MongoDB . Nicméně instance MongoDB a Testcontainer by mohly být platnými možnostmi pro produkční prostředí. Nejprve přidáme jarní spouštěcí-starter-data-mongodb a de.flapdoodle.embed.mongo závislosti:

<dependency>
   <groupId>org.springframework.boot</groupId>
   <artifactId>spring-boot-starter-data-mongodb</artifactId>
</dependency>
<dependency>
    <groupId>de.flapdoodle.embed</groupId>
    <artifactId>de.flapdoodle.embed.mongo</artifactId>
    <version>3.3.1</version>
</dependency>

2.2. Konfigurace

Jakmile nastavíme závislosti, můžeme vytvořit naši konfiguraci:

@Configuration
public class MongoConfig {

    private static final String CONNECTION_STRING = "mongodb://%s:%d";
    private static final String HOST = "localhost";

    @Bean
    public MongoTemplate mongoTemplate() throws Exception {

        int randomPort = SocketUtils.findAvailableTcpPort();

        ImmutableMongodConfig mongoDbConfig = MongodConfig.builder()
          .version(Version.Main.PRODUCTION)
          .net(new Net(HOST, randomPort, Network.localhostIsIPv6()))
          .build();

        MongodStarter starter = MongodStarter.getDefaultInstance();
        MongodExecutable mongodExecutable = starter.prepare(mongoDbConfig);
        mongodExecutable.start();
        return new MongoTemplate(MongoClients.create(String.format(CONNECTION_STRING, HOST, randomPort)), "mongo_auth");
    }
}

Musíme také nakonfigurovat náš AuthenticationManager například se základní autentizací HTTP:

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(securedEnabled = true, jsr250Enabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    // ...
    public SecurityConfig(UserDetailsService userDetailsService) {
        this.userDetailsService = userDetailsService;
    }

    @Bean
    public AuthenticationManager customAuthenticationManager() throws Exception {
        return authenticationManager();
    }

    @Bean
    public BCryptPasswordEncoder bCryptPasswordEncoder() {
        return new BCryptPasswordEncoder();
    }

    @Override
    protected void configure(@Autowired AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService)
          .passwordEncoder(bCryptPasswordEncoder());
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.csrf()
          .disable()
          .authorizeRequests()
          .and()
          .httpBasic()
          .and()
          .authorizeRequests()
          .anyRequest()
          .permitAll()
          .and()
          .sessionManagement()
          .sessionCreationPolicy(SessionCreationPolicy.STATELESS);
    }
}

2.3. Uživatelská doména a úložiště

Nejprve si definujme jednoduchého uživatele s rolemi pro naši autentizaci. Necháme implementovat UserDetails rozhraní pro opětovné použití společných metod hlavního objekt:

@Document
public class User implements UserDetails {
    private @MongoId ObjectId id;
    private String username;
    private String password;
    private Set<UserRole> userRoles;
    // getters and setters
}

Nyní, když máme našeho uživatele, pojďme definovat jednoduché úložiště:

public interface UserRepository extends MongoRepository<User, String> {

    @Query("{username:'?0'}")
    User findUserByUsername(String username);
}

2.4. Autentizační služba

Nakonec implementujeme naši UserDetailService za účelem načtení uživatele a ověření, zda je ověřen :

@Service
public class MongoAuthUserDetailService implements UserDetailsService {
    // ...
    @Override
    public UserDetails loadUserByUsername(String userName) throws UsernameNotFoundException {

        com.baeldung.mongoauth.domain.User user = userRepository.findUserByUsername(userName);

        Set<GrantedAuthority> grantedAuthorities = new HashSet<>();

        user.getAuthorities()
          .forEach(role -> {
              grantedAuthorities.add(new SimpleGrantedAuthority(role.getRole()
                 .getName()));
          });

        return new User(user.getUsername(), user.getPassword(), grantedAuthorities);
    }

}

2.5. Testovací ověření

Abychom otestovali naši aplikaci, pojďme definovat jednoduchý ovladač. Jako příklad jsme definovali dvě různé role pro testování autentizace a autorizace pro konkrétní koncové body:

@RestController
public class ResourceController {

    @RolesAllowed("ROLE_ADMIN")
    @GetMapping("/admin")
    public String admin() {
        return "Hello Admin!";
    }

    @RolesAllowed({ "ROLE_ADMIN", "ROLE_USER" })
    @GetMapping("/user")
    public String user() {
        return "Hello User!";
    }

}

Pojďme to všechno zabalit do Spring Boot Test, abychom zkontrolovali, zda naše ověřování funguje. Jak vidíme, očekáváme kód 401 pro někoho, kdo poskytuje neplatné přihlašovací údaje nebo kdo v našem systému neexistuje :

class MongoAuthApplicationTest {

    // set up

    @Test
    void givenUserCredentials_whenInvokeUserAuthorizedEndPoint_thenReturn200() throws Exception {
        mvc.perform(get("/user").with(httpBasic(USER_NAME, PASSWORD)))
          .andExpect(status().isOk());
    }

    @Test
    void givenUserNotExists_whenInvokeEndPoint_thenReturn401() throws Exception {
        mvc.perform(get("/user").with(httpBasic("not_existing_user", "password")))
          .andExpect(status().isUnauthorized());
    }

    @Test
    void givenUserExistsAndWrongPassword_whenInvokeEndPoint_thenReturn401() throws Exception {
        mvc.perform(get("/user").with(httpBasic(USER_NAME, "wrong_password")))
          .andExpect(status().isUnauthorized());
    }

    @Test
    void givenUserCredentials_whenInvokeAdminAuthorizedEndPoint_thenReturn403() throws Exception {
        mvc.perform(get("/admin").with(httpBasic(USER_NAME, PASSWORD)))
          .andExpect(status().isForbidden());
    }

    @Test
    void givenAdminCredentials_whenInvokeAdminAuthorizedEndPoint_thenReturn200() throws Exception {
        mvc.perform(get("/admin").with(httpBasic(ADMIN_NAME, PASSWORD)))
          .andExpect(status().isOk());

        mvc.perform(get("/user").with(httpBasic(ADMIN_NAME, PASSWORD)))
          .andExpect(status().isOk());
    }
}

  1. Redis jako mezipaměť druhé úrovně Hibernate

  2. Nejlepší způsob, jak uložit klíče Redis

  3. Jak se dostat do výroby s MongoDB - deset tipů

  4. Jak nasadit databáze s otevřeným zdrojovým kódem