Introdução ao Spring Security

Com as exig�ncias dos clientes e os requisitos ficando cada vez mais complexos, temos que de alguma forma centrar todas nossas for�as em apenas resolver o problema do cliente e tentar abstrair ao m�ximo outras funcionalidades importantes mas n�o essenciais ao cliente, os requisitos n�o funcionais.

Neste artigo vamos tratar de um requisito n�o funcional: A Seguran�a. Para um cliente que solicita a constru��o de um software, � �bvio e evidente que a seguran�a � importante, ele n�o precisa dizer isso, pois � t�o �bvio que voc� como profissional j� deve saber desde o inicio. � como comprar um carro e dizer que voc� quer que seu carro tenha freios, isso � impl�cito.

Ent�o o principal objetivo � n�o perder muito tempo desenvolvendo a seguran�a de uma aplica��o, para isso recorremos a Frameworks que nos fornecem tal funcionalidade, o Spring Security. H� outros como o JAAS, jGuard (que funciona com o JAAS) e assim por diante, mas se voc� j� utiliza o Spring, seria uma boa ideia aproveit�-lo para gerenciar a sua camada de seguran�a. A quest�o �, se voc� usa Spring apenas para inje��o de depend�ncia talvez n�o seja uma boa ideia, pois voc� tem uma ferramenta muito poderosa cheia de recursos e n�o est� utilizando, � como comprar uma f�brica de autom�veis apenas para ter um carro, totalmente desnecess�rio.

Instalando e Usando o Spring Security

Em nossos exemplos vamos utilizar o Maven para gerenciar nossas depend�ncias. Alguns podem pensar: Para que tantos Frameworks ? Isso n�o torna nossa aplica��o pesada e lenta ? A resposta �: A quantidade de Frameworks que utilizamos � para tentar abstrair ao m�ximo a tecnologia e focar nas regras de neg�cio, afinal o cliente n�o quer saber como voc� faz, apenas que voc� o fa�a. Uma aplica��o bem gerenciada e com os frameworks e configura��es necess�rias raramente ter� problemas frequentes de lentid�o.

Ap�s muita introdu��o e explica��es do porque usar o Spring Security, vamos enfim utiliz�-lo. Vamos partir do principio que voc� j� utiliza o Spring Framework, assim apenas adicionaremos as 3 bibliotecas necess�rias ao Spring Secutiry, s�o elas: spring-security-core.jar, spring-security-web.jar e spring-security-cofing.jar. Vamos adicion�-las no nosso pom.xml, assim como na listagem 1.

Listagem 1: Adicionando bibliotecas necess�rias


<properties> 
		<spring.version>3.0.5.RELEASE</spring.version> 
	</properties> 
  
	<dependencies> 
  
		<!-- Spring 3 --> 
		<dependency> 
			<groupId>org.springframework</groupId> 
			<artifactId>spring-core</artifactId> 
			<version>${spring.version}</version> 
		</dependency> 
  
		<dependency> 
			<groupId>org.springframework</groupId> 
			<artifactId>spring-web</artifactId> 
			<version>${spring.version}</version> 
		</dependency> 
  
		<dependency> 
			<groupId>org.springframework</groupId> 
			<artifactId>spring-webmvc</artifactId> 
			<version>${spring.version}</version> 
		</dependency> 
  
		<!-- Spring Security --> 
		<dependency> 
			<groupId>org.springframework.security</groupId> 
			<artifactId>spring-security-core</artifactId> 
			<version>${spring.version}</version> 
		</dependency> 
  
		<dependency> 
			<groupId>org.springframework.security</groupId> 
			<artifactId>spring-security-web</artifactId> 
			<version>${spring.version}</version> 
		</dependency> 
  
		<dependency> 
			<groupId>org.springframework.security</groupId> 
			<artifactId>spring-security-config</artifactId> 
			<version>${spring.version}</version> 
		</dependency> 
  
	</dependencies> 
  
</project>

O Maven se encarregar� de realizar o download e gerencia das bibliotecas necess�rias, descritas no pom.xml.

Agora iremos criar um arquivo chamado spring-security.xml que ficar� na mesma pasta do web.xml. Neste arquivo diremos o que cada usu�rio vai acessar com qual regra.

Listagem 2: Definindo o spring-security.xml


<beans:beans xmlns="http://www.springframework.org/schema/security" 
	xmlns:beans="http://www.springframework.org/schema/beans" 
	xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 
	xsi:schemaLocation="http://www.springframework.org/schema/beans 
	<http://www.springframework.org/schema/beans/spring-beans-3.0.xsd> 
	<http://www.springframework.org/schema/security> 
	<http://www.springframework.org/schema/security/spring-security-3.0.3.xsd>"> 
  
	<http auto-config="true"> 
		<intercept-url pattern="/admin*" access="ADMIN_USER" /> 
	</http> 
  
	<authentication-manager> 
	  <authentication-provider> 
	    <user-service> 
		<user name="admin" password="123456" authorities="ADMIN_USER" /> 
	    </user-service> 
	  </authentication-provider> 
	</authentication-manager> 
  
</beans:beans>

No arquivo XML acima definimos um usu�rio chamado 'admin' com senha '123456' que faz parte de um grupo chamado �ADMIN_USER�. Poder�amos aqui fazer uma mixagem de regras de acordo com cada grupo. O objetivo aqui � definir regras para os grupos e n�o para os usu�rios, pois estes far�o parte dos grupos, assim poderemos criar quantos usu�rios quisermos sem ter que ficar mudando regras de grupos.

O pr�ximo � habilitar na nossa aplica��o o filtro do Spring Security, assim ele poder� �capturar� todas as p�ginas e realizar uma filtragem pr�pria para garantir o acesso restrito por usu�rio e senha, fazemos isso atrav�s do web.xml.

Listagem 3: Configurando Spring Security no web.xml


<!-- Spring Security --> 
	<filter> 
		<filter-name>springSecurityFilterChain</filter-name> 
		<filter-class> 
                  org.springframework.web.filter.DelegatingFilterProxy 
                </filter-class> 
	</filter> 
  
	<filter-mapping> 
		<filter-name>springSecurityFilterChain</filter-name> 
		<url-pattern>/*</url-pattern> 
	</filter-mapping>

Ainda no web.xml voc� configura o XML que ser� carregado para configura��o do spring, o applicationContext.xml, ent�o � nessa mesma tag que voc� dever� definir o spring-security.xml, assim como na listagem 4.

Listagem 4: Definindo o spring-security.xml para ser carregado na aplica��o [web.xml]


<!-- Configuracao do Spring -->
	<context-param>
		<param-name>contextConfigLocation</param-name>
		<param-value>/WEB-INF/spring-security.xml, /WEB-INF/applicationContext.xml</param-value>
	</context-param>

Provavelmente voc� pode encontrar alguns problemas ao tentar inicializar o Spring Secutiry, ent�o vamos tentar preveni-los antes que eles aconte�am e tragam uma enorme dor de cabe�a.

Verifique se o trecho de c�digo �${spring.version}� est� de acordo com a sua vers�o do spring, pois esta tamb�m poder variar para �${org.springframework.version}�. De qualquer forma, agora voc� j� sabe que h� ainda uma outra possibilidade.
Para facilitar a visualiza��o do Spring Security funcionando vamos apontar a configura��o abaixa para levar ao usu�rio a uma tela de login bem simples apenas para voc� ver o sistema funcionando. Para isso deixar seu spring-security.xml como na listagem abaixo.

Listagem 5: Autentica��o HTTP B�sica - Login Simples


<beans:beans xmlns="http://www.springframework.org/schema/security" 
	xmlns:beans="http://www.springframework.org/schema/beans" 
	xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 
	xsi:schemaLocation="http://www.springframework.org/schema/beans 
	<http://www.springframework.org/schema/beans/spring-beans-3.0.xsd> 
	<http://www.springframework.org/schema/security> 
	<http://www.springframework.org/schema/security/spring-security-3.0.3.xsd>"> 
  
	<http auto-config="true"> 
		<intercept-url pattern="/admin*" access="ADMIN_USER" /> 
		<http-basic />
	</http> 
  
	<authentication-manager> 
	  <authentication-provider> 
	    <user-service> 
		<user name="admin" password="123456" authorities="ADMIN_USER" /> 
	    </user-service> 
	  </authentication-provider> 
	</authentication-manager> 
  
</beans:beans>

A linha �<http-basic />� dispensa a cria��o de uma tela de login pr�pria, assim poupar� voc� o trabalho de cria��o desta tela. O problema � que com esta login voc� apenas poder� realizar o login, sem nenhuma op��o para recupera��o de senhas. Ideal para sistemas onde n�o ter� possibilidade de recupera��o de senhas atrav�s de uma op��o simples como: �Esqueci minha senha�.

Caso voc� queira capturar usu�rios e regras (grupos) via database, voc� pode substituir o bloco de c�digo 'authentication-manager' pelo mostrado na listagem 6.

Listagem 6: Configurando usu�rios e ROLES via database


<authentication-manager> 
	   <authentication-provider> 
		<jdbc-user-service data-source-ref="dataSource" 
  
		   users-by-username-query=" 
		      select username,password, enabled 
		      from users where username=?" 
  
		   authorities-by-username-query=" 
		      select u.username, ur.authority from users u, user_roles ur 
		      where u.user_id = ur.user_id and u.username =?  " 
  
		/> 
	   </authentication-provider> 
	</authentication-manager>

Esta foi uma introdu��o ao Spring Security como alternativa para cria��o de uma camada de seguran�a robusta e de simples gerenciamento, sem a necessidade de dias ou semanas trabalhando em um m�dulo pr�prio para aumentar a seguran�a do sistema.

Confira outros conte�dos:

Por Ronaldo Em 2013

Black November

Desconto exclusivo para as primeiras 200 matrículas!

Pagamento anual

12x no cartão

De: R$ 69,00

Por: R$ 54,90

Total: R$ 658,80

Garanta o desconto

Formação FullStack Completa
Carreira Front-end I e II, Algoritmo e Javascript, Back-end e Mobile
+10.000 exercícios gamificados
+50 projetos reais
Comunidade com + 200 mil alunos
Estude pelo Aplicativo (Android e iOS)
Suporte online
12 meses de acesso

Pagamento recorrente

Cobrado mensalmente no cartão

De: R$ 79,00

Por: R$ 54,90 /mês

Total: R$ 658,80

Garanta o desconto

Formação FullStack Completa
Carreira Front-end I e II, Algoritmo e Javascript, Back-end e Mobile
+10.000 exercícios gamificados
+50 projetos reais
Comunidade com + 200 mil alunos
Estude pelo Aplicativo (Android e iOS)
Suporte online
Fidelidade de 12 meses
Não compromete o limite do seu cartão

<Perguntas frequentes>

Carreira

Metodologia

Assinatura e Pagamentos

Cadastro

Nossos casos de sucesso

Leonardo Carlos

Eu sabia pouqu�ssimas coisas de programa��o antes de come�ar a estudar com voc�s, fui me especializando em v�rias �reas e ferramentas que tinham na plataforma, e com essa bagagem consegui um est�gio logo no in�cio do meu primeiro per�odo na faculdade.

Lucas Rodrigues

Estudo aqui na Dev desde o meio do ano passado! Nesse per�odo a Dev me ajudou a crescer muito aqui no trampo.
Fui o primeiro desenvolvedor contratado pela minha empresa. Hoje eu lidero um time de desenvolvimento!
Minha meta � continuar estudando e praticando para ser um Full-Stack Dev!

Her�clito J�nior

Economizei 3 meses para assinar a plataforma e sendo sincero valeu muito a pena, pois a plataforma � bem intuitiva e muuuuito did�tica a metodologia de ensino. Sinto que estou EVOLUINDO a cada dia. Muito obrigado!

Julio Cablen

Nossa! Plataforma maravilhosa. To amando o curso de desenvolvimento front-end, tinha coisas que eu ainda n�o tinha visto. A did�tica � do jeito que qualquer pessoa consegue aprender. S�rio, to apaixonado, adorando demais.

Joelberth Sena

Adquiri o curso de voc�s e logo percebi que s�o os melhores do Brasil. � um passo a passo incr�vel. S� n�o aprende quem n�o quer. Foi o melhor investimento da minha vida!

Felipe Nunes

Foi um dos melhores investimentos que j� fiz na vida e tenho aprendido bastante com a plataforma. Voc�s est�o fazendo parte da minha jornada nesse mundo da programa��o, irei assinar meu contrato como programador gra�as a plataforma.

Wanderson Oliveira

Comprei a assinatura tem uma semana, aprendi mais do que 4 meses estudando outros cursos. Exerc�cios pr�ticos que n�o tem como n�o aprender, est�o de parab�ns!

Jos� Lucas

Obrigado DevMedia, nunca presenciei uma plataforma de ensino t�o presente na vida acad�mica de seus alunos, parab�ns!

Eduardo Dorneles

Aprendi React na plataforma da DevMedia h� cerca de 1 ano e meio... Hoje estou h� 1 ano empregado trabalhando 100% com React!

Adauto Junior

J� fiz alguns cursos na �rea e nenhum � t�o bom quanto o de voc�s. Estou aprendendo muito, muito obrigado por existirem. Est�o de parab�ns... Espero um dia conseguir um emprego na �rea.

Ver todos os casos de sucesso

Introdu��o ao Spring Security

Veja nesse artigo como usar o Spring Security como alternativa para cria��o de uma camada de seguran�a robusta e de simples gerenciamento.

Instalando e Usando o Spring Security

Confira outros conte�dos:

<Perguntas frequentes>

Por onde devo iniciar os estudos?

Em quanto tempo vou me tornar um programador?

Eu preciso de um diploma de faculdade para come�ar a atuar como programador?

Por que a programa��o se tornou a profiss�o mais promissora da atualidade?

Quais s�o os principais diferenciais da DevMedia?

O que eu irei aprender estudando pela DevMedia?

Quais as vantagens de aprender programa��o atrav�s da linguagem JavaScript?

A plataforma oferece certificados?

A plataforma tem suporte ao aluno, como funciona?

A DevMedia me forma como programador Full Stack?

Tem hor�rio para as aulas?

Por que a DevMedia n�o usa videoaulas em sua did�tica?

Preciso de um computador espec�fico para estudar na DevMedia?

Eu consigo estudar pelo celular?

A DevMedia tem aplicativo?

Preciso estar na faculdade para acompanhar os estudos na DevMedia?

Quais s�o os planos de assinatura dispon�veis?

Adquirindo o plano, terei acesso a todo o conte�do?

A plataforma tem planos vital�cios?

A DevMedia tem fidelidade?

Como funciona o cancelamento?

A renova��o � autom�tica?

Como excluir meus dados da plataforma?