Введение в Spring Security

Посмотрим правде в глаза: любая функциональность приложения становится уязвимой без защиты. Чтобы защитить приложение нам нужен Spring Security — мощный и гибкий фреймворк для внедрения безопасности в ваши приложения.

Вот что он делает:

1. Аутентификация: проверка, что пользователь — это именно тот, за кого себя выдает.
2. Авторизация: проверка, что пользователь имеет разрешение выполнять определенные действия или доступ к данным.
3. Защита ресурсов: контроль доступа на уровне URL-адресов, методов и даже данных.

Spring Security вырос из проекта Acegi Security (так его раньше звали) в полноправный фреймворк и стал частью экосистемы Spring Framework. Его интструменты для обеспечения безопасности легко интегрировать и кастомизировать под практически любой проект.

Основные задачи Spring Security

Пройдемся по основным задачам, которые решает этот представитель семейства Spring.

1. Аутентификация

Допустим, вы заходите на сайт, вводите логин и пароль, а после этого система позволяет вам управлять своими данными. Это и есть аутентификация — процесс проверки вашей личности.

Spring Security поддерживает:

• Формы входа с логином и паролем
• Basic Authentication (да-да, тот самый логин/пароль из диалога браузера)
• OAuth2 и OpenID Connect для социальных входов
• JWT (JSON Web Token) для API

2. Авторизация

Теперь представим, что вы вошли в систему как менеджер, но пытаетесь получить доступ к закрытому разделу, доступному только администраторам. Ничего не выйдет, если у вашего аккаунта недостаточно прав. Это называется авторизация — определение, что вы можете делать.

Spring Security предоставляет:

• Механизм управления ролями (RBAC — Role-Based Access Control)
• Политику доступа не только к веб-страницам, но и к методам и данным

3. Защита ресурсов

Ваши ресурсы могут быть как открытыми (например, публичная страница входа), так и защищенными (личный кабинет, API). Spring Security позволяет легко разделять этот доступ.

С его помощью вы можете:

• Определять публичные и защищенные URL
• Ограничивать доступ к ресурсам, в зависимости от ролей
• Добавлять SSL/TLS для защиты передачи данных

Зачем использовать Spring Security?

А теперь самое интересное: почему Spring Security? Как всегда, если дело касается Spring, ответ прост: это упрощает и ускоряет вашу работу. Разумеется, вы можете по старинке вручную проверять на каждом методе, что пользователь аутентифицирован, и его роль соответствует требованиям. Но так поступать это — все равно что чинить машину, используя только скотч и отвертку, имея при этом ящик с прекрасными специализированными инструментами. Только распечатай, разберись и пользуйся.

Spring Security можно сравнить с LEGO. Хотите построить базовую защиту? Используйте готовые блоки. Нужна особая система безопасности? Создайте уникальные компоненты из блоков, которые есть!

Добавить новую систему авторизации или подключить JWT так же просто, как защелкнуть новые детали в конструкторе. А самое приятное — Spring Security идеально встраивается в семью Spring, как будто они всю жизнь работали вместе.

Как работает Spring Security?

Spring Security действует как "цепной пёс", который стоит на входе в ваше приложение. Ну или консьерж в общежитии. Он перехватывает запросы, проверяет, имеет ли пользователь доступ, и либо пропускает его дальше, либо возвращает ошибку.

[Клиент] ---> [Spring Security Filter Chain] ---> [Контроллер/Ресурс]

Основные шаги:

1. Фильтры (Filters): Spring Security использует цепочку фильтров (Filter Chain), чтобы перехватывать запросы и проверять их безопасность. Например, проверять, содержит ли запрос корректный токен, или вводил ли пользователь правильный пароль.
2. AuthenticationManager: это интерфейс в Spring Security, который управляет процессом аутентификации. Это компонент, который вызывается из фильтров, когда нужно проверить подлинность пользователя (например, сверить логин и пароль с базой данных).
3. AccessDecisionManager: нтерфейс Spring Security. Он принимает решения о доступе: может ли аутентифицированный пользователь выполнить конкретное действие, учитывая его роли и права.

Пример: настройка базовой безопасности

Давайте попробуем на практике ощутить мощь Spring Security. Для этого создадим простое веб-приложение с базовой аутентификацией.

1. Добавим зависимость в pom.xml:

<dependency>
  <groupId>org.springframework.boot</groupId>
  <artifactId>spring-boot-starter-security</artifactId>
</dependency>

Это магическая строчка добавляет в проект весь необходимый функционал Spring Security.

2. Запустим приложение и попробуем открыть любой URL

Если вы ничего не настроили, Spring Security уже включен по умолчанию и защищает все запросы. При попытке открыть любой URL браузер предложит вам ввести логин и пароль. Однако откуда Spring Security знает эти данные?

Spring Security автоматически создает пользователя с именем user и сгенерированным паролем, который можно найти в логах при старте приложения:

Using generated security password: [случайный_пароль]

3. Настроим собственный логин/пароль

Теперь давайте сделаем приложение немного более дружелюбным. Переопределим аутентификацию со своим логином и паролем через application.properties:

spring.security.user.name=admin
spring.security.user.password=admin123

4. Настроим доступ к различным URL

Создадим простую кастомную конфигурацию:

@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
                .antMatchers("/public/**").permitAll()  // доступ для всех
                .antMatchers("/admin/**").hasRole("ADMIN")  // только для админов
                .anyRequest().authenticated()  // все остальные должны быть аутентифицированы
            .and()
            .formLogin(); // используем форму логина
    }
}

Что здесь происходит:

• antMatchers("/public/**").permitAll() говорит, что доступ к public открыт для всех.
• antMatchers("/admin/**").hasRole("ADMIN") ограничивает доступ только для пользователей с ролью ADMIN.
• anyRequest().authenticated() требует аутентификации для всех остальных запросов.

Практическое применение

В реальной жизни, Spring Security — это необходимый инструмент для всех веб-приложений. Вы хотите защитить свой REST API? Используйте JWT. Хотите безопасный вход для пользователя с двумя факторами аутентификации? Spring Security снова вам поможет. Большинство компаний ожидают, что разработчик будет хорошо понимать основы безопасности, а Spring Security покрывает практически все сценарии.

С его знаниями вы сможете:

1. Защищать свои приложения от несанкционированного доступа.
2. Интегрироваться с современными системами безопасности, такими как OAuth2 и OpenID Connect.
3. Достаточно уверенно говорить на собеседовании о безопасности приложений.

В следующей лекции мы погрузимся в понятия аутентификации и авторизации более глубоко. Подготовьтесь к тому, чтобы не только опознавать "кто вы", но и проверять, что вы можете делать в приложении!