Archive

Posts Tagged ‘spring’

Encriptación de Contraseñas con Jasypt y Spring Security 2

Noviembre 29th, 2008
No comments

Continuando el artículo anterior, vamos hacer uso de una libreria muy poderosa de la familia Apache, se llama, Jasypt y la puedes encontrar aqui. Esta herramienta que se integra perfectamente con Spring Security 2.0 y con Hibernate, pero en este ejemplo, no la voy a integrar aun con Hibernate.

Puedes encriptar contraseñas con MD5, SHA-1 y personalizar tu encriptación, solo voy a tocar los temas mas sencillos.

Para iniciar un ejemplo de código para cada una de estas dos formas de encriptar una contraseña, claro, puede encriptar lo que necesites, en mi caso, para hacerlo compatible con Spring, el password.

 
import org.jasypt.util.digest.Digester;
import org.jasypt.util.password.BasicPasswordEncryptor;
import org.jasypt.util.password.ConfigurablePasswordEncryptor;
import org.jasypt.util.password.StrongPasswordEncryptor;
 
//Para una encriptacion sencilla en MD5
BasicPasswordEncryptor passwordEncryptor = new BasicPasswordEncryptor();
String encryptedPassword = passwordEncryptor.encryptPassword("jotadeveloper");
 
//Para una encriptacion mas fuerte en SHA-1
StrongPasswordEncryptor passwordEncryptor2 = new StrongPasswordEncryptor();
String encryptedPassword2 = passwordEncryptor2.encryptPassword("jotadeveloper");
 
//Para una encriptación Personalizada
//SHA1
ConfigurablePasswordEncryptor passwordEncryptor3 = new ConfigurablePasswordEncryptor();
passwordEncryptor3.setAlgorithm("SHA-1");
passwordEncryptor3.setPlainDigest(true);
String encryptedPassword3 = passwordEncryptor3.encryptPassword("jotadeveloper");
//MD5
ConfigurablePasswordEncryptor passwordEncryptor4 = new ConfigurablePasswordEncryptor();
passwordEncryptor4.setAlgorithm("MD5");
passwordEncryptor4.setPlainDigest(true);
String encryptedPassword4 = passwordEncryptor4.encryptPassword("jotadeveloper");

Una vez has creado tu clase con al encriptación deseada, es tan sencillo como usar las funciones de arriba y guardarlo donde quieras y como quieras.
Ahora la configuración en tu security.xml de Spring Security 2.0 

//En mi caso, seleccione StrongPasswordEncryptor porque voy a usar encriptacion SHA-1
<beans:bean id="jasyptPasswordEncryptor"
		class="org.jasypt.util.password.StrongPasswordEncryptor" />
 
//
<beans:bean id="passwordEncoder" class="org.jasypt.spring.security2.PasswordEncoder">
		<beans:property name="passwordEncryptor">
			<beans:ref bean="jasyptPasswordEncryptor" />
		</beans:property>
	</beans:bean>
 
<authentication-provider user-service-ref="userService">
		<password-encoder ref="passwordEncoder">
		</password-encoder>

El código anterior, lo agregas al mismo codigo del articulo anterior y listo.

Tags: encriptacion, MD5, Seguridad, SHA-1, spring

Java , , , ,

Configuración Spring Security 2.0 con JDBC

Noviembre 21st, 2008
No comments

Esta configuración funciona perfectamente, con Spring Security 2.0 y JDBC, despues de varios dias probando configuraciones diferentes, puedo concluir dos cosas, que la versión de Spring Security tiene un bug en su versión 2.0.8.

Yo usé mis propias tablas, pero para los nuevos, pueden usar las que trae por defecto programadas, las que estan aabajo de este artículo, yo cree unas similares, pero en mi caso necesitaba otras moficiaciones, tablas con mas columnas para mi aplicación. El problema, es que si tu usar la nueva caracteristica de esta versión group-authorities-by-username-query vas a tener un problema, pues aunque pongas tu propia configuración necesitas tener las tablas de groups,group_authorities y group_members en tu base de datos, aunque no estén siendo usadas, porque sinó, no te funcionará. Abajo les dejo la configuración que usé.

En el web.xml

contextConfigLocation
 
        /WEB-INF/applicationContext*.xml
 
    springSecurityFilterChain
    org.springframework.web.filter.DelegatingFilterProxy
 
    springSecurityFilterChain
    /*

applicationContext-security.xml

 
   <!--  CONFIGURACION VALIDA PARA SPRING SECURITY 2.0 con JDBC 
          Author: www.jotadeveloper.com
           http://blog.jotadeveloper.com/2008/11/21/configuracion-spring-security-20-con-jdbc/
 --> 
<?xml version="1.0" encoding="UTF-8"?>
<beans:beans xmlns="http://www.springframework.org/schema/security"
	xmlns:beans="http://www.springframework.org/schema/beans" 
	xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
	xsi:schemaLocation="http://www.springframework.org/schema/beans
						http://www.springframework.org/schema/beans/spring-beans-2.0.xsd
                        http://www.springframework.org/schema/security 
                        http://www.springframework.org/schema/security/spring-security-2.0.1.xsd">
 
   <!--  CONFIGURACION VALIDA PARA SPRING SECURITY 2.0 con JDBC   --> 
 
  <http auto-config="true" access-denied-page="/web/error.do">
   	<intercept-url pattern="/" access="IS_AUTHENTICATED_ANONYMOUSLY" />
		<intercept-url pattern="/login.do" access="IS_AUTHENTICATED_ANONYMOUSLY" />
		<intercept-url pattern="/j_spring_security_switch_user"
			access="ROLE_SUPERVISOR" />		
		<intercept-url pattern="/web/css/**" access="ROLE_WEBMASTER" />
		<intercept-url pattern="/templates/**" access="ROLE_WEBMASTER" />
		<intercept-url pattern="/web/error/**" access="ROLE_USER" />	
 
    <form-login login-page="/login.do" default-target-url='/web/index.do'
			authentication-failure-url="/login.do?login_error=1"  />
    <logout logout-success-url="/" invalidate-session="true"/>
      </http>
 
  <authentication-provider user-service-ref="userService" />
 
  <!-- MYSQL -->
 
  <beans:bean id="securityDataSource" class="org.springframework.jdbc.datasource.DriverManagerDataSource">
    <beans:property name="driverClassName" value="org.gjt.mm.mysql.Driver" />
    <beans:property name="url" value="jdbc:mysql://localhost/test" />
    <beans:property name="username" value="root" />
    <beans:property name="password" value="" />
  </beans:bean>  
  <jdbc-user-service id="userService" 
	data-source-ref="securityDataSource"	
	 group-authorities-by-username-query="SELECT
                      g.nombre,
                      a.rol
                    FROM
                      dbo.bm_usuario u
                      INNER JOIN dbo.bm_grupo_usuario ug ON (u.id_usuario = ug.id_usuario)
                      INNER JOIN dbo.bm_grupo g ON (ug.id_grupo = g.id_grupo)
                      INNER JOIN dbo.bm_grupos_roles ON (g.id_grupo = dbo.bm_grupos_roles.id_grupo)
                      INNER JOIN dbo.bm_roles a ON (dbo.bm_grupos_roles.id_rol = a.id_rol)
                    WHERE
                      u.nombreUsuario = ? "
		users-by-username-query="SELECT 
					  u.nombreUsuario AS Login,
					  u.password AS Password,
					  u.enabled AS Enabled
					FROM
					  dbo.bm_usuario u
					WHERE
					  u.nombreUsuario = ?"
		authorities-by-username-query="SELECT 
					   u.nombreUsuario,
					    au.rol
					FROM
					  dbo.bm_usuario_roles ua
					  INNER JOIN dbo.bm_usuario u ON (ua.id_usuario = u.id_usuario)
					  INNER JOIN dbo.bm_roles au ON (ua.id_rol = au.id_rol)
					WHERE
					  u.nombreUsuario = ? " />
 
 
</beans:beans>

Las tablas para que esto funcione. OJO, aviso que este SQL no es el mismo que yo usé en mi ejemplos, es similar pero para SQL Server, con algunas modfiicaciones a las tablas originales.

 <!-- SQL -->
CREATE TABLE users(
username varchar_ignorecase(50) NOT NULL PRIMARY KEY,
password varchar_ignorecase(50) NOT NULL,
enabled BOOLEAN NOT NULL);
<!--Tabla de Roles -->
CREATE TABLE authorities (
username varchar_ignorecase(50) NOT NULL,
authority varchar_ignorecase(50) NOT NULL,
constraint fk_authorities_users FOREIGN KEY(username) REFERENCES users(username));
CREATE UNIQUE INDEX ix_auth_username ON authorities (username,authority);
 
CREATE TABLE groups (
id bigint generated BY DEFAULT AS identity(start WITH 0) PRIMARY KEY,
group_name varchar_ignorecase(50) NOT NULL);
<!--Tabla de Grupos Roles-->
CREATE TABLE group_authorities (
group_id bigint NOT NULL,
authority varchar(50) NOT NULL,
constraint fk_group_authorities_group FOREIGN KEY(group_id) REFERENCES groups(id));
<!--Tabla de Grupos Usuarios-->
CREATE TABLE group_members (
id bigint generated BY DEFAULT AS identity(start WITH 0) PRIMARY KEY,
username varchar(50) NOT NULL,
group_id bigint NOT NULL,
constraint fk_group_members_group FOREIGN KEY(group_id) REFERENCES groups(id));
Tags: acegi, Java, security, spring

Java , , ,

Integrando JSF + Facelets + Spring Security 2.0

Octubre 20th, 2008
No comments

Facelets es un sistema de plantillas, parecido a Tiles para Struts, el problema de este toolkit para JSF es la poca integración que tiene con otros frameworks, uno de ellos es Spring Security 2.0, no dispone de tagslibs para trabajarlo con los .xhtml, yo encontre una solucion bastante buena, se llama acegi-jsf con integracion para Spring Security 2.0.

Puedes descargarla aqui.

Ya con Facelest configurado, solo tienes que poner lo siguiente en el faces-config.xml.

<component>
   <component-type>net.sf.jsfcomp.acegijsf.Authorize</component-type>
   <component-class>net.sf.jsfcomp.acegijsf.Authorize</component-class>
</component> 
<component>
   <component-type>net.sf.jsfcomp.acegijsf.Authentication</component-type>
   <component-class>net.sf.jsfcomp.acegijsf.Authentication</component-class>
</component>

Lo siguiente que tienes que hacer, es usar las etiquetas, por ejemplo esta:

 <acegijsf:authorize ifAllGranted="ROLE_ADMIN">
   Agregar los componentes que solo seran visibles para ROLE_ADMIN.
</acegijsf:authorize>

Otra lista de atributos son:

  • ifAllGranted = El usuario debe tener todos los roles
  • ifAnyGranted = El usuario debe tener algun rol
  • ifNotGranted = No necesita roles

Visto en
http://vigilbose.blogspot.com/2008/06/integrating-spring-security-with.html

Tags: acegi, Facelets, Java, spring

Articulos, Facelets, Java , , ,