Guía de Spring Security en Thuban
Contenido
- 1 Introducción
- 2 ¿Qué es Spring Security?
- 3 ¿Cómo empezar a trabajar con Spring Security en Thuban?
- 4 Zk-login-application-context.xml
- 4.1 FilterChainProxy
- 4.2 BasicProcessingFilter
- 4.3 ThubanTokenSecurityFilter
- 4.4 HttpSessionContextIntegrationFilter
- 4.5 LogoutFilter
- 4.6 LdapAuthenticationProcessingFilter
- 4.7 SecurityContextHolderAwareRequestFilter
- 4.8 AnonymousProcessingFilter
- 4.9 ExceptionTranslationFilter
- 4.10 ThubanPreAuthenticatedProcessingFilter
- 4.11 PreAuthenticatedAuthenticationProvider
- 4.12 FilterSecurityInterceptor
- 4.13 TokenBasedRemeberMeServices
- 4.14 ProviderManager
- 4.15 CredentialAuthenticationProvider
- 4.16 ThubanAuthenticationProvider
- 4.17 ThubanUserDetailsService
- 4.18 LoggerListener
- 4.19 ZkEventExceptionFilter
Introducción
El objetivo de este documento es proporcionar una visión general de cómo se maneja la seguridad en el entorno de desarrollo de la plataforma Thuban.
Está dirigido a todos los programadores que quieran iniciarse en el desarrollo bajo esta plataforma y conocer los conceptos básicos de arquitectura y estándares de desarrollo.
¿Qué es Spring Security?
Spring Security provee servicios de seguridad para aplicaciones J2EE. Se destaca por sobre las demás especificaciones de seguridad J2EE de Servlets y EJB, debido a que los desarrolladores encuentran que las mismas carecen de las características necesarias para los típicos escenarios que presentan las aplicaciones Enterprise.
Existen dos grandes divisiones dentro de las aplicaciones de seguridad: autenticación y autorización (o acceso de control). Spring Security se encarga principalmente de ellas:
Autenticación: Es el proceso de establecer que un Principal es quien dice ser. Se conoce como “Principal” a los usuarios o dispositivo que intenta acceder a la aplicación.
Autorización: Se refiere al proceso de decidir si el Principal tiene permitido ejecutar ciertas acciones dentro de la aplicación. Cabe aclarar que para llegar al punto en el cual se necesite una autorización, primero debería de haberse establecido un proceso de autenticación.
¿Cómo empezar a trabajar con Spring Security en Thuban?
ThubanToolkit
Dentro del proyecto ThubanToolkit se encuentran los dos paquetes que hacen uso de la seguridad de la aplicación:
- package com.latintech.thuban.security.filter;
- package org.zkoss.zkplus.spring.security;
Filtros (Filters)
Toda la configuración de Spring Security se realiza a través de filtros. Funciona asociando un JavaBean con otros, por medio de un archivo de configuración XML.
Para comenzar a utilizar los filtros, primero se debe incorporar, en el archivo web.xml, una referencia a la clase FilterToBeanProxy que actúa como proxy para los filtros definidos en el Spring bean context.
Se recomienda organizar los beans en distintos archivos XML y luego incorporarlos al applicationContext-acegi-security.xml del proyecto en el que se vayan a necesitar para mantener un orden apropiado de los mismos. Para ello, en primera instancia, es necesario incorporar al web.xml la siguiente referencia al applicationContext-acegi-security.xml:
Como se mencionó anteriormente, se deberán incorporar al applicationContext-acegi-security.xml los distintos archivos XML que se desean utilizar:
Luego se puede empezar a configurar los filtros dentro de zk-login-application-context.xml.
Zk-login-application-context.xml
Dentro del zk-login-application-context.xml se definen todos los filtros asociados al contexto.
FilterChainProxy
Es el filtro inicializador cuya función principal es indicar o personalizar qué recursos ejecutarán los filtros deseados en filterInvocationDefinitionSource.
Los filtros se ejecutan en el orden en el que son definidos, de esta manera se obtiene un mayor control sobre la cadena de filtros que aplica a un URL particular.
El primer bloque que vemos en la imagen ("/zkau") pertenece al motor AJAX de ZK y el segundo es propio de Thuban
BasicProcessingFilter
Provee un mecanismo de autenticación para responder a forms y headers de tipo BASIC HTTP.
ThubanTokenSecurityFilter
HttpSessionContextIntegrationFilter
El filtro HttpSessionContextIntegrationFilter mantiene el objeto Authentication entre varios requests y lo envía al AuthenticationManager y al AccessDecisionManager cuando sea necesario.
LogoutFilter
El LogoutFilter se utiliza cuando se desea cerrar sesión de manera segura. Se indica en el constructor del bean el lugar donde seremos dirigidos una vez que cerremos la sesión y una lista de beans o "encargados de cerrar sesión". Por defecto se usa SecurityContextLogoutHandler, aunque se puede personalizar.
LdapAuthenticationProcessingFilter
El primer filtro por donde pasará el request HTTP es por el bean LdapAuthenticationProcessingFilter. Este filtro se especializa en manejar el request de autenticación, como por ejemplo la validación de nombre de usuario y contraseña.
SecurityContextHolderAwareRequestFilter
AnonymousProcessingFilter
Este filtro permite que usuarios anónimos tengan acceso a secciones del sistema. Si una página de registro debe permitir el acceso anónimo, en el FilterChainProxy se agrega otra línea donde se coloca el recurso y se le asigna el filtro. Hay que tener en cuenta que ese recurso será accesible siempre y cuando en el FilterSecurityInterceptor también se pueda hacer uso del rol que se indica, que será Roles para identificar al usuario anónimo.
ExceptionTranslationFilter
Maneja cualquier excepción AccessDeniedException y AuthenticationException arrojados dentro de la cadena de filtro. Este filtro es necesario ya que proporciona el puente entre las excepciones de Java y las respuestas HTTP. Sólo se ocupa de mantener la interfaz de usuario, no da una garantía real de la ejecución.
Para utilizar este filtro, es necesario especificar las siguientes propiedades:
authenticationEntryPoint : indica qué controlador debe comenzar el proceso de autenticación si se detecta un AuthenticationException. Hay que considerar que esto también puede cambiar el actual protocolo de “http” a “https” para un inicio de sesión SSL.
portResolver : (opcional) Se utiliza para determinar el “verdadero” puerto por donde se recibió la petición.
ThubanPreAuthenticatedProcessingFilter
PreAuthenticatedAuthenticationProvider
Este filtro se ocupa de la carga del UserDetails.
FilterSecurityInterceptor
El FilterSecurityInterceptor controla el acceso restricto a recursos determinados y el chequeo de autorización. Conoce qué recursos son seguros y qué roles tienen acceso a ellos. FilterSecurityInterceptor cuenta con la ayuda del AuthenticationManager y del AccessDecisionManager para hacer su trabajo.
TokenBasedRemeberMeServices
Este filtro identifica usuarios recordados previamente por medio de una cookie Base64.
ProviderManager
Este filtro actúa de proxy junto con AuthenticationProvider.
CredentialAuthenticationProvider
ThubanAuthenticationProvider
ThubanUserDetailsService
LoggerListener
Este filtro se utiliza para notificar listeners cuando se crea un objeto Logger. Se crea un Logger cada vez que un cliente solicita un nuevo request a través de Logger.getChildLogger (java.lang.String).
ZkEventExceptionFilter
Este filtro se utiliza para lanzar excepciones en la cola de eventos de ZK. Se utiliza usualmente con MethodSecurityInterceptor.
