Внедрение Spring Security в связку ZK+Spring Framework+Hibernate: часть вторая

Всем доброго времени суток. Данная статья является продолжением статьи про способы внедрения секьюрности в веб-приложение. За основу возьмем наше приложение, которое было описано и в предыдущем и в этом постах.
План работы:
  • добавим необходимые таблицы и определим для них маппинг-отображения;
  • изменим форму авторизации;
  • создадим класс, унаследованный от класса AbstractUserDetailsAuthenticationProvider, и реализуем в нем логику выполнения авторизации;

Начнем все по порядку. Мы немного изменим таблицы, в которых у нас хранились пользователи и их роли, а именно: добавим в таблицу users поле id. И создадим новую таблицу под названием USER_ROLE.
CREATE TABLE user_role
    (id                             NUMBER NOT NULL,
    name                           VARCHAR2(10 BYTE) NOT NULL)

Также создадим таблицу для организации связки М:1, назовем ее user_role_list
CREATE TABLE user_role_list
    (id_user                        NUMBER NOT NULL,
    id_role                        NUMBER NOT NULL)

Опишем маппинг-классы. Создадим класс User с таким содержанием:
package com.sample.data;

import java.io.Serializable;
import java.util.Set;
import javax.persistence.Column;
import javax.persistence.Entity;
import javax.persistence.FetchType;
import javax.persistence.Id;
import javax.persistence.OneToMany;
import javax.persistence.Table;

@Table(name = "USERS")
public class User implements Serializable

	private static final long	serialVersionUID	= 1L;
	private long				id;
	@Column(name = "USERNAME")
	private String				username;
	@Column(name = "PASSWORD")
	private String				password;
	@OneToMany(mappedBy = "user", fetch = FetchType.LAZY)
	Set<Role>					roleList;

	public long getId()
		return id;

	public void setId(long id)
		this.id = id;

	public String getUsername()
		return username;

	public void setUsername(String username)
		this.username = username;

	public String getPassword()
		return password;

	public void setPassword(String password)
		this.password = password;

	public Set<Role> getRoleList()
		return roleList;

	public void setRoleList(Set<Role> roleList)
		this.roleList = roleList;


Также нам нужен будет класс Role:
package com.sample.data;

import java.io.Serializable;
import javax.persistence.Column;
import javax.persistence.Entity;
import javax.persistence.FetchType;
import javax.persistence.Id;
import javax.persistence.JoinColumn;
import javax.persistence.JoinTable;
import javax.persistence.ManyToOne;
import javax.persistence.Table;

@Table(name = "USER_ROLE")
public class Role implements Serializable
	private static final long	serialVersionUID	= 1L;
	private long				id;
	@Column(name = "NAME")
	private String				name;
	@ManyToOne(fetch = FetchType.LAZY)
	@JoinTable(name = "USER_ROLE_LIST", joinColumns = @JoinColumn(name = "ID_ROLE"), 
         inverseJoinColumns = @JoinColumn(name = "ID_USER"))
	private User				user;

	public long getId()
		return id;

	public void setId(long id)
		this.id = id;

	public String getName()
		return name;

	public void setName(String name)
		this.name = name;

	public User getUser()
		return user;

	public void setUser(User user)
		this.user = user;

Небольшое пояснение по коду: описав аннотацию @JoinTable(name = "USER_ROLE_LIST", joinColumns = @JoinColumn(name = "ID_ROLE"), inverseJoinColumns = @JoinColumn(name = "ID_USER")), мы тем самым определили в ней кросс-таблицу USER_ROLE_LIST с полями ID_USER и ID_ROLE.
Также в файл hibernate-config.xml добавим:
<mapping class="com.sample.data.User" />
<mapping class="com.sample.data.Role" />

Исходя из плана, изменим нашу форму авторизации, а точнее вместо jsp страницы создадим zk страницу, немного изменив функционал. Сделаем на форме авторизации не ввод пользователя, а выбор пользователя из списка. Напишем файл index.zul и положим его в папку WebContent

<?page id="testZul" title="Авторизация программы"?>
<window title="Авторизация" border="normal" width="500px" mode="modal"
	position="center" use="ui.component.Login" id="wndLogin">
	<html style="color:red" if="${not empty param.login_error}">
		<![CDATA[ Авторизация не удалась,проверьте правильность имени
		пользователя, или пароля <br/><br/> <!-- Reason: --> <!--
		<h:form id="f" name="f" action="j_spring_security_check"
			method="POST" xmlns:h="http://www.w3.org/1999/xhtml">
						<combobox id="cbUser" name="j_username"
							 hflex="1" value="" />
						<textbox id="p" type="password"
							name="j_password" hflex="1" value="" />
					<row visible="false">
						<checkbox id="r"
							name="_spring_security_remember_me" />
					<row spans="2">
						<vbox align="center" hflex="1">
								<h:input type="submit" value="Войти" />
								<h:input type="reset" value="Очистить" />

После этого опишем наш контроллер, который мы указали в строчке use=«ui.component.Login»
package ui.component;

import java.util.List;
import javax.servlet.ServletContext;
import org.springframework.context.ApplicationContext;
import org.springframework.web.context.support.WebApplicationContextUtils;
import org.zkoss.zul.Combobox;
import org.zkoss.zul.Window;
import com.sample.data.User;
import com.sample.service.ISecur;

public class Login extends Window
	private static final long	serialVersionUID	= 3974533449164635181L;
	private ISecur				userDao;
	private Combobox			cbUser;
	private List<User>			listUser;

	public void onCreate()
		ApplicationContext ctx = WebApplicationContextUtils.
                                      getRequiredWebApplicationContext((ServletContext) getDesktop().getWebApp()
		userDao = (ISecur) ctx.getBean("securImpl");
		cbUser = (Combobox) this.getFellow("cbUser");
	public void onOpenCB()
		if (listUser == null || listUser.size() == 0)
			listUser = userDao.findAllUsers();
			for (User pers : listUser)

Опишем интерфейс для работы с таблицами USERS, USER_ROLE_LIST и USER_ROLE, и напишем его реализацию.
Интерфейс ISecur:
package com.sample.service;
import java.util.List;
import com.sample.data.User;
public interface ISecur
	List<User> findAllUsers();

Реализация интерфейса SecurImpl
package com.sample.service;

import java.util.List;
import org.hibernate.SessionFactory;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Repository;
import org.springframework.transaction.annotation.Transactional;
import com.sample.data.User;

@Transactional(readOnly = true)
public class SecurImpl implements ISecur
	private static SessionFactory	sessionFactory;
	// получаем наш datasource
	public void setSessionFactory(SessionFactory sessionFactory)
		SecurImpl.sessionFactory = sessionFactory;
	public List<User> findAllUsers()
		return (List<User>) sessionFactory.getCurrentSession().createQuery("from User").list();

Следующим и очень важным шагом является переопределение методов, унаследованных от класса AbstractUserDetailsAuthenticationProvider. Этот новый унаследованный класс, назовем его MyDaoAuthenticationProvider, будет содержать логику работы нашей авторизации:
package com.sample.service;

import java.util.ArrayList;
import java.util.Collection;
import java.util.Date;
import java.util.List;
import java.util.Set;
import org.springframework.context.annotation.Bean;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.authentication.dao.AbstractUserDetailsAuthenticationProvider;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.GrantedAuthorityImpl;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Service;
import com.sample.data.Role;

public class MyDaoAuthenticationProvider extends AbstractUserDetailsAuthenticationProvider
	public ISecur userDao()
		return new SecurImpl();
	public Authentication authenticate(Authentication authentication) throws AuthenticationException
		System.out.println(authentication.getName() + " " + new Date());
		return super.authenticate(authentication);

	protected void additionalAuthenticationChecks(UserDetails arg0, UsernamePasswordAuthenticationToken arg1) throws AuthenticationException

	protected UserDetails retrieveUser(String username, UsernamePasswordAuthenticationToken userInfo) throws AuthenticationException
		List<com.sample.data.User>	listUser	= userDao().findAllUsers();
		User user;
		if (listUser.size() == 0)
			throw new UsernameNotFoundException("В системе пока нет пользователей");
		com.sample.data.User person = getUser(listUser, username);
		user = new User(person.getUsername(), userInfo.getCredentials().toString(), true, true, true, true,
				getAuthorities((Set<Role>) person.getRoleList()));
			user = new User(person.getPassword(), userInfo.getCredentials().toString(), true, true, true, false,
		return user;

	private com.sample.data.User getUser(List<com.sample.data.User> lp, String userName)
		com.sample.data.User pers = null;
		for (com.sample.data.User p : lp)
			if (userName.equals(p.getUsername()))
				pers = p;
		return pers;

	private Collection<GrantedAuthority> getAuthorities(Set<Role> set)
		Collection<GrantedAuthority> authList = new ArrayList<GrantedAuthority>();
		for (Role role : set)
			authList.add(new GrantedAuthorityImpl(role.getName()));
		return authList;

	private Collection<GrantedAuthority> getAuthorities(String grant_name)
		Collection<GrantedAuthority> authList = new ArrayList<GrantedAuthority>();
		authList.add(new GrantedAuthorityImpl(grant_name));
		return authList;

Метод protected UserDetails retrieveUser вызывается при нажатии кнопки «Войти».
В этом методе мы сравниваем на соответствие выбранного пользователя с введенным паролем, и если все нормально, то создаем класс User, который является реализацией интерфейса UserDetails, и будет содержать всю нужную информацию о пользователе (его логин, пароль и список прав).
Теперь укажем AuthenticationManager, что в качестве провайдера надо использовать наш MyDaoAuthenticationProvider класс. Для это в файле spring-config.xml вместо строчек:

				data-source-ref="dataSource" />

напишем следующее:


Также очень, очень важно изменить конфигурацию http, которая описана здесь, на следующее:

        <security:http auto-config="true" use-expressions="true">
		<security:intercept-url pattern="/index.zul"
			access="hasRole('ROLE_USER') or hasRole('ROLE_ADMIN')" />
		<security:intercept-url pattern="/login.zul"
			access="permitAll" />
		<security:form-login login-page="/login.zul"
			always-use-default-target="true" default-target-url="/index.zul"
			authentication-failure-url="/login.zul?login_error=1" />

Вот и все! Если запустить наше приложение, то мы увидим красивую форму авторизации, с возможностью выбора пользователя из выпадающего списка.
Всем спасибо за внимание.
