Spring Security で「Hello World!」

14883 ワード
spring-security spring-boot spring spring-security テキストリンク

Spring Securityは、Springプロジェクトの1つで、主に
Webアプリケーションにセキュリティの機能を追加するためのフレームワークです。

自分のプロジェクトでは、以前からずっと使っているんですが、自分の会社の若手向けに改めて整理するため、まずはチュートリアルから改めてやってみました。

こちらの内容になりますが、Springのバージョンが変わったのでdeprecatedになったメソッド等もあったので少し書き換えています。

環境

Eclipse Version: 2019-03 (4.11.0)
Java 11
Spring Boot 2.1.5
Spring Security 5.1.5

準備

新規プロジェクトを作成する

  • Eclipseを起動する
  • ファイル > 新規 > プロジェクトを選択
  • ウィザードで、「Spring スターター・プロジェクト」を選択 -「次へ」を押下
  • 名前は適当設定、Javaバージョン「11」、「Gradle」を選択し「次へ」を押下
  • 「DevTools」「セキュリティー」「Web」「Thymleaf」を選択し、「完了」を押下

画面を作る

画面は、src/main/resources/templatesの下に作成します。

home.html

hello.htmlへのリンクを持つ画面。未認証の状態でも参照なページ。

<!DOCTYPE html>
<html xmlns="http://www.w3.org/1999/xhtml"
    xmlns:th="https://www.thymeleaf.org"
    xmlns:sec="https://www.thymeleaf.org/thymeleaf-extras-springsecurity3">
<head>
<title>Spring Security Example</title>
</head>
<body>
    <h1>Welcome!</h1>

    <p>
        Click <a th:href="@{/hello}">here</a> to see a greeting.
    </p>
</body>
</html>

hello.html

認証がOKになったユーザのみ参照できるページ。

<!DOCTYPE html>
<html xmlns="http://www.w3.org/1999/xhtml" xmlns:th="https://www.thymeleaf.org"
      xmlns:sec="https://www.thymeleaf.org/thymeleaf-extras-springsecurity3">
    <head>
        <title>Hello World!</title>
    </head>
    <body>
        <h1 th:inline="text">Hello [[${#httpServletRequest.remoteUser}]]!</h1>
        <form th:action="@{/logout}" method="post">
            <input type="submit" value="Sign Out"/>
        </form>
    </body>
</html>

login.html

ログインのための情報を入力するための画面。もちろん未認証でも参照できます。


<!DOCTYPE html>
<html xmlns="http://www.w3.org/1999/xhtml" xmlns:th="https://www.thymeleaf.org"
      xmlns:sec="https://www.thymeleaf.org/thymeleaf-extras-springsecurity3">
    <head>
     <title>Spring Security Example </title>
    </head>
    <body>
        <div th:if="${param.error}">
            Invalid username and password.
        </div>
        <div th:if="${param.logout}">
            You have been logged out.
        </div>
        <form th:action="@{/login}" method="post">
            <div><label> User Name : <input type="text" name="username"/> </label></div>
            <div><label> Password: <input type="password" name="password"/> </label></div>
            <div><input type="submit" value="Sign In"/></div>
        </form>
    </body>
</html>

htmlを表示するための設定

通常だとControllerクラスがあるのですが、htmlを表示するだけなので省略しています。でも、Spring MVCに認識させるためには必要なクラスです。

@Configuration
public class MvcConfig implements WebMvcConfigurer {

    public void addViewControllers(ViewControllerRegistry registry) {
        registry.addViewController("/home").setViewName("home");
        registry.addViewController("/").setViewName("home");
        registry.addViewController("/hello").setViewName("hello");
        registry.addViewController("/login").setViewName("login");
    }
}

はい。ここまでで準備は完了。

Spring Securityの設定

さてここからが本題。
Spring Securityの動作を定義するConfigクラスです。

以前はXMLでの記述が主流でしたが、最近?ではJavaクラスに定義する方法が一般的になってます。

@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
                .antMatchers("/", "/home").permitAll()    // アクセス制限のないURL
                .anyRequest().authenticated()                // その他は認証済みでしかアクセスできない
                .and()
            .formLogin()
                .loginPage("/login").permitAll()               // ログイン画面の設定 アクセス制限なし
                .and()
            .logout()
                .permitAll();
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {

        // パスワード
        String password = passwordEncoder().encode("password");

        // インメモリの認証を行うための設定
        auth.inMemoryAuthentication()
                .passwordEncoder(passwordEncoder())
                .withUser("user").password(password).roles("USER");
    }

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

}

チュートリアルだと、

   @Bean
    @Override
    public UserDetailsService userDetailsService() {
        UserDetails user =
             User.withDefaultPasswordEncoder()
                .username("user")
                .password("password")
                .roles("USER")
                .build();

        return new InMemoryUserDetailsManager(user);
    }

で、インメモリの認証を設定していますが、「User.withDefaultPasswordEncoder()」がDeprecatedとなっているので、違う方法で記述しています。

起動

さて、ここまで来たらEclipseでSpringBootアプリケーションを起動しましょう。

そのあとブラウザにアクセスします。こちら

hereのリンクをクリック

User Name、Passwordを入力して、「Sign In」を押下

はい。できました。

さいごに

まずはSpring Securityのさわりが分かるようにHelloWorldをやってみました。ひと昔前なら、Filter使ってごちゃごちゃしていたことを、簡単に実現できたのかなと思います。

Spring Securityには、機能がまだまだたくさんあるので、徐々にいろいろ紹介したいと思います。