Discussoes de Programacao e Tecnologia

Autenticação via portal e WebService usando Spring Security

10 respostas
ARATHORN
ARATHORN

Boa noite amigos.

Mais uma vez recorro à vossa inestimável ajuda…

Fiz um pequeno sistema Web utilizando JSF + Hibernate + Spring Security + GlassFish 3. Tudo está funcionando a contento. Faço o login, o Spring gerencia os acessos, tudo maravilha.

Coloco abaixo o applicationContext-security.xml:

<?xml version="1.0" encoding="UTF-8"?>
<beans:beans xmlns="http://www.springframework.org/schema/security"
  xmlns:beans="http://www.springframework.org/schema/beans"
  xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
  xsi:schemaLocation="http://www.springframework.org/schema/beans
           http://www.springframework.org/schema/beans/spring-beans-3.0.xsd
           http://www.springframework.org/schema/security
           http://www.springframework.org/schema/security/spring-security-3.1.xsd">
	
        <http auto-config='true'>

            <intercept-url pattern="/admin/**" access="ROLE_ADMINISTRADOR" />
            <!--intercept-url pattern="/restrito/**" access="ROLE_USUARIO" /-->
            <form-login login-page="/publico/login.jsf"
                    always-use-default-target="true"
                    default-target-url="/admin/lista_classes_por_professor.jsf"
                    authentication-failure-url="/publico/login.jsf?login_error=1" />
            <logout/>
            <remember-me />
	</http>

	<authentication-manager>
            <authentication-provider>
                <!--user-service>
                    <user name="jimi" password="jimispassword" authorities="ROLE_USER, ROLE_ADMINISTRADOR" />
                    <user name="bob" password="bobspassword" authorities="ROLE_USER" />
                </user-service-->
                <jdbc-user-service 
                    data-source-ref="dataSource"
                    authorities-by-username-query="SELECT u.login, p.permissao 
                                                   FROM usuario as u, usuario_permissao as p
                                                   where u.acesso = p.id
                                                   AND u.login = ?"
                    users-by-username-query="SELECT login, senha, ativo 
                                             FROM usuario 
                                             WHERE login = ?" />
                
            </authentication-provider>
	</authentication-manager>
    
</beans:beans>

E agora o applicationContext.xml

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xmlns:p="http://www.springframework.org/schema/p"
       xmlns:aop="http://www.springframework.org/schema/aop"
       xmlns:tx="http://www.springframework.org/schema/tx"
       xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-3.0.xsd
       http://www.springframework.org/schema/aop http://www.springframework.org/schema/aop/spring-aop-3.0.xsd
       http://www.springframework.org/schema/tx http://www.springframework.org/schema/tx/spring-tx-3.0.xsd">

    <bean id="propertyConfigurer"
          class="org.springframework.beans.factory.config.PropertyPlaceholderConfigurer"
          p:location="/WEB-INF/jdbc.properties" />

    <bean id="dataSource"
          class="org.springframework.jdbc.datasource.DriverManagerDataSource"
          p:driverClassName="${jdbc.driverClassName}"
          p:url="${jdbc.url}"
          p:username="${jdbc.username}"
          p:password="${jdbc.password}" />
</beans>

Tudo está funcionando blz!!!

Porém…rs

Alguns dos dados deste sistema precisarão ser acessados via mobile, então eu comecei a criar um WebService no projeto (estou usando JAX-WS). Aí que cagou tudo…rsrsrs…pq eu não sei como faço para fazer o login no sistema pelo WebService…e se eu não logar não consigo acessar a camada de negócios para bater as queries no banco, pois tenho lá um Filter barrando tudo, só quem tem o ROLE_ADMIN consegue chegar lá…

Estou pesquisando há alguns dias antes de postar… Não encontrei um único tópico/ exemplo de uma aplicação onde poderia logar tanto via página web e webservice, também fui atrás de alguns livros e nada…peguei a documentação do Spring que é muito boa mas também não ajudou…
Algum dos distintos colegas do fórum poderiam, piedosamente me ajudar?

Desde já agradeço muitíssimo a atenção!

Alura Desenvolvimento Back-End Java Sua Carreira em desenvolvimento back-end Java: dos fundamentos à arquitetura de sistemas...

10 Respostas

aprendizweb
aprendizweb

E ai Blz!!

veja bem, se seu applicationContext-security.xml esta exatamente como vc descreveu, talvez seja por isso que vc tem acesso só como administrador pois, sua linha
de acesso como usuario esta comentada.

ARATHORN
ARATHORN

Grande aprendizweb!!!

Cara, muitíssimo obrigado pela sua ajuda!!!

Então cara, o ponto é que estou tentando logar com credenciais de administrador… :frowning:
A minha grande dificuldade encontra-se em configurar o WebService e o Spring…n estou conseguindo fazer isso…Vi na web alguma coisa usando um tal de UserDetails…mas n consegui entender…

Você faz alguma idéia de como eu configuro o WebService com o Spring sem comprometer o que já está funcionando?

Mais uma vez agradeço sua ajuda…já estava perdendo as esperanças…rsrsrs

marciobarroso
marciobarroso

Se o client que acessará o WS for também usando browser, você poderia tentar utilizando o basic authentication. Quando alguém tentar acessar o wsdl, será automaticamente requisitado as credenciais.

aprendizweb
aprendizweb

Talvez vc não tenha configurado seu filtro no web.xml para liberar a conexão para uma requisisão de webservice, como esta seu web.xml?

ARATHORN
ARATHORN

Obrigado pelas respostas senhores!!!

Eu vou consumir o WebService através de uma aplicação mobile...

O que estou me perdendo é o seguinte, sei que este trecho de código é o responsável por autenticar pela página de login:

<form-login login-page="/publico/login.jsf"  
                    always-use-default-target="true"  
                    default-target-url="/admin/lista_classes_por_professor.jsf"  
                    authentication-failure-url="/publico/login.jsf?login_error=1" />

Que faz esta query para verificar o usuário:

<jdbc-user-service   
                    data-source-ref="dataSource"  
                    authorities-by-username-query="SELECT u.login, p.permissao   
                                                   FROM usuario as u, usuario_permissao as p  
                                                   where u.acesso = p.id  
                                                   AND u.login = ?"  
                    users-by-username-query="SELECT login, senha, ativo   
                                             FROM usuario   
                                             WHERE login = ?" />

Como eu posso fazer para uma chamada de método do WebService login(user, senha) também seja autenticado pelo Spring....

Este código basta ou tenho que fazer mais alguma coisa?

Muito obrigado pelas ajudas...

Eu vou colocar meu web.xml aqui pra vcs darem uma olhada...

<?xml version="1.0" encoding="UTF-8"?>
<web-app version="3.0" 
    xmlns="http://java.sun.com/xml/ns/javaee" 
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 
    xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_3_0.xsd">
    <context-param>
         <param-name>contextConfigLocation</param-name>
         <param-value>/WEB-INF/applicationContext.xml  
		      /WEB-INF/applicationContext-security.xml</param-value>
    </context-param>
    <context-param>
        <param-name>javax.faces.PROJECT_STAGE</param-name>
        <param-value>Development</param-value>
    </context-param>
    <listener>
        <listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
    </listener>
    <servlet>
        <servlet-name>dispatcher</servlet-name>
        <servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>
        <load-on-startup>2</load-on-startup>
    </servlet>
    <servlet>
        <servlet-name>Faces Servlet</servlet-name>
        <servlet-class>javax.faces.webapp.FacesServlet</servlet-class>
        <load-on-startup>1</load-on-startup>
    </servlet>
    <servlet-mapping>
        <servlet-name>dispatcher</servlet-name>
        <url-pattern>*.htm</url-pattern>
    </servlet-mapping>
    <servlet-mapping>
        <servlet-name>Faces Servlet</servlet-name>
        <url-pattern>*.jsf</url-pattern>
    </servlet-mapping>
    <session-config>
        <session-timeout>
            30
        </session-timeout>
    </session-config>
    
    <filter>
        <filter-name>conexaoFilter</filter-name>
        <filter-class>br.com.sistemaescola.filter.ConexaoHibernateFilter</filter-class>
    </filter>
    <filter-mapping>
        <filter-name>conexaoFilter</filter-name>
        <url-pattern>*.jsf</url-pattern>
    </filter-mapping>
    
    <!--resource-ref>
        <description>DataSource SistemaEscola</description>
        <res-ref-name>jdbc/SistemaEscolaDB</res-ref-name>
        <res-type>javax.sql.DataSource</res-type>
        <res-auth>Container</res-auth>
    </resource-ref-->
    
    <!-- Spring Security -->
    <filter>
        <filter-name>springSecurityFilterChain</filter-name>
        <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
    </filter>
    <filter-mapping>
        <filter-name>springSecurityFilterChain</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>
    
    <listener>
        <listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
    </listener>
        
    
    
    <welcome-file-list>
        <welcome-file>redirect.jsf</welcome-file>
    </welcome-file-list>
</web-app>

Muito obrigado senhores!!!!!

aprendizweb
aprendizweb

Bom! eu nunca fiz, apenas já li a respeito mais tente fazer a alteração abaixo!!!

<filter> <filter-name>conexaoFilter</filter-name> <filter-class>br.com.sistemaescola.filter.ConexaoHibernateFilter</filter-class> </filter> //esta linha libera a conexão para requisição JSF <filter-mapping> <filter-name>conexaoFilter</filter-name> <url-pattern>*.jsf</url-pattern> </filter-mapping> // talvez falte essa que libera conexão para requisiçao de webservice, testa lá <filter-mapping> <filter-name>conexaoFiter</filter-name> <url-pattern>/webservice/*</url-pattern> </filter-mapping>

ARATHORN
ARATHORN

hmmmmmmm…faz sentido!

Eu vou testar hoje à noite (pois o projeto está em casa) e posto os resultados.

Vlw pela a força brother!!!

ARATHORN
ARATHORN

Senhores...consegui testar aqui....

Estou tendo o erro abaixo...

javax.servlet.ServletException: java.lang.reflect.InvocationTargetException at org.glassfish.webservices.monitoring.WebServiceTesterServlet.doPost(WebServiceTesterServlet.java:330) at org.glassfish.webservices.monitoring.WebServiceTesterServlet.invoke(WebServiceTesterServlet.java:106) at org.glassfish.webservices.JAXWSServlet.doPost(JAXWSServlet.java:133) at javax.servlet.http.HttpServlet.service(HttpServlet.java:688) at javax.servlet.http.HttpServlet.service(HttpServlet.java:770) at org.apache.catalina.core.StandardWrapper.service(StandardWrapper.java:1542) at org.apache.catalina.core.ApplicationFilterChain.internalDoFilter(ApplicationFilterChain.java:343) at org.apache.catalina.core.ApplicationFilterChain.doFilter(ApplicationFilterChain.java:217) at org.springframework.security.web.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:330) at org.springframework.security.web.access.intercept.FilterSecurityInterceptor.invoke(FilterSecurityInterceptor.java:118) at org.springframework.security.web.access.intercept.FilterSecurityInterceptor.doFilter(FilterSecurityInterceptor.java:84) at org.springframework.security.web.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:342) at org.springframework.security.web.access.ExceptionTranslationFilter.doFilter(ExceptionTranslationFilter.java:113) at org.springframework.security.web.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:342) at org.springframework.security.web.session.SessionManagementFilter.doFilter(SessionManagementFilter.java:103) at org.springframework.security.web.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:342) at org.springframework.security.web.authentication.AnonymousAuthenticationFilter.doFilter(AnonymousAuthenticationFilter.java:113) at org.springframework.security.web.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:342) at org.springframework.security.web.authentication.rememberme.RememberMeAuthenticationFilter.doFilter(RememberMeAuthenticationFilter.java:139) at org.springframework.security.web.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:342) at org.springframework.security.web.servletapi.SecurityContextHolderAwareRequestFilter.doFilter(SecurityContextHolderAwareRequestFilter.java:54) at org.springframework.security.web.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:342) at org.springframework.security.web.savedrequest.RequestCacheAwareFilter.doFilter(RequestCacheAwareFilter.java:45) at org.springframework.security.web.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:342) at org.springframework.security.web.authentication.www.BasicAuthenticationFilter.doFilter(BasicAuthenticationFilter.java:150) at org.springframework.security.web.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:342) at org.springframework.security.web.authentication.AbstractAuthenticationProcessingFilter.doFilter(AbstractAuthenticationProcessingFilter.java:183) at org.springframework.security.web.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:342) at org.springframework.security.web.authentication.logout.LogoutFilter.doFilter(LogoutFilter.java:105) at org.springframework.security.web.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:342) at org.springframework.security.web.context.SecurityContextPersistenceFilter.doFilter(SecurityContextPersistenceFilter.java:87) at org.springframework.security.web.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:342) at org.springframework.security.web.FilterChainProxy.doFilterInternal(FilterChainProxy.java:192) at org.springframework.security.web.FilterChainProxy.doFilter(FilterChainProxy.java:160) at org.springframework.web.filter.DelegatingFilterProxy.invokeDelegate(DelegatingFilterProxy.java:237) at org.springframework.web.filter.DelegatingFilterProxy.doFilter(DelegatingFilterProxy.java:167) at org.apache.catalina.core.ApplicationFilterChain.internalDoFilter(ApplicationFilterChain.java:256) at org.apache.catalina.core.ApplicationFilterChain.doFilter(ApplicationFilterChain.java:217) at org.apache.catalina.core.StandardWrapperValve.invoke(StandardWrapperValve.java:279) at org.apache.catalina.core.StandardContextValve.invoke(StandardContextValve.java:175) at org.apache.catalina.core.StandardPipeline.doInvoke(StandardPipeline.java:655) at org.apache.catalina.core.StandardPipeline.invoke(StandardPipeline.java:595) at org.apache.catalina.core.StandardHostValve.invoke(StandardHostValve.java:161) at org.apache.catalina.connector.CoyoteAdapter.doService(CoyoteAdapter.java:331) at org.apache.catalina.connector.CoyoteAdapter.service(CoyoteAdapter.java:231) at com.sun.enterprise.v3.services.impl.ContainerMapper$AdapterCallable.call(ContainerMapper.java:317) at com.sun.enterprise.v3.services.impl.ContainerMapper.service(ContainerMapper.java:195) at com.sun.grizzly.http.ProcessorTask.invokeAdapter(ProcessorTask.java:849) at com.sun.grizzly.http.ProcessorTask.doProcess(ProcessorTask.java:746) at com.sun.grizzly.http.ProcessorTask.process(ProcessorTask.java:1045) at com.sun.grizzly.http.DefaultProtocolFilter.execute(DefaultProtocolFilter.java:228) at com.sun.grizzly.DefaultProtocolChain.executeProtocolFilter(DefaultProtocolChain.java:137) at com.sun.grizzly.DefaultProtocolChain.execute(DefaultProtocolChain.java:104) at com.sun.grizzly.DefaultProtocolChain.execute(DefaultProtocolChain.java:90) at com.sun.grizzly.http.HttpProtocolChain.execute(HttpProtocolChain.java:79) at com.sun.grizzly.ProtocolChainContextTask.doCall(ProtocolChainContextTask.java:54) at com.sun.grizzly.SelectionKeyContextTask.call(SelectionKeyContextTask.java:59) at com.sun.grizzly.ContextTask.run(ContextTask.java:71) at com.sun.grizzly.util.AbstractThreadPool$Worker.doWork(AbstractThreadPool.java:532) at com.sun.grizzly.util.AbstractThreadPool$Worker.run(AbstractThreadPool.java:513) at java.lang.Thread.run(Thread.java:680) Caused by: java.lang.reflect.InvocationTargetException at sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method) at sun.reflect.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.java:39) at sun.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:25) at java.lang.reflect.Method.invoke(Method.java:597) at org.glassfish.webservices.monitoring.WebServiceTesterServlet.doPost(WebServiceTesterServlet.java:301) ... 60 more Caused by: com.sun.xml.ws.fault.ServerSOAPFaultException: Client received SOAP Fault from server: org.springframework.security.core.userdetails.User cannot be cast to br.com.sistemaescola.pojos.Usuario Please see the server log to find more detail regarding exact cuase of the failure. at com.sun.xml.ws.fault.SOAP11Fault.getProtocolException(SOAP11Fault.java:193) at com.sun.xml.ws.fault.SOAPFaultBuilder.createException(SOAPFaultBuilder.java:126) at com.sun.xml.ws.client.sei.StubHandler.readResponse(StubHandler.java:247) at com.sun.xml.ws.db.DatabindingImpl.deserializeResponse(DatabindingImpl.java:177) at com.sun.xml.ws.db.DatabindingImpl.deserializeResponse(DatabindingImpl.java:256) at com.sun.xml.ws.client.sei.SyncMethodHandler.invoke(SyncMethodHandler.java:128) at com.sun.xml.ws.client.sei.SyncMethodHandler.invoke(SyncMethodHandler.java:102) at com.sun.xml.ws.client.sei.SEIStub.invoke(SEIStub.java:151) at $Proxy231.login(Unknown Source) ... 65 more

Segue minha classe para o WebService:

package br.com.sistemaescola.webservice;

import br.com.sistemaescola.pojos.Usuario;
import br.com.sistemaescola.webservice.util.UserDetailsServiceImpl;
import javax.jws.WebService;
import javax.jws.WebMethod;
import javax.jws.WebParam;

/**
 *
 * @author danielhenriquelima
 */
@WebService(serviceName = "IntegracaoMobile")
public class IntegracaoMobile {

    /**
     * This is a sample web service operation
     */
    @WebMethod(operationName = "hello")
    public String hello(@WebParam(name = "name") String txt) {
        return "Hello " + txt + " !";
    }

    /**
     * Web service operation
     */
    @WebMethod(operationName = "login")
    public Usuario login(@WebParam(name = "usuario") String usuario, @WebParam(name = "senha") String senha) {
        //TODO write your implementation code here:
        
        UserDetailsServiceImpl userDetail = new UserDetailsServiceImpl();
        
        
        return (Usuario) userDetail.loadUserByUsername(usuario);
    }
}

Agora a classe que eu acredito que faça o "meio de campo" com o Spring:

package br.com.sistemaescola.webservice.util;

import java.rmi.RemoteException;
import java.util.ArrayList;
import java.util.List;
import org.springframework.dao.DataAccessException;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.GrantedAuthorityImpl;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import br.com.sistemaescola.pojos.Usuario;
import br.com.sistemaescola.rn.UsuarioRN;


public class UserDetailsServiceImpl implements UserDetailsService {

    
    UsuarioRN usuarioRN = new UsuarioRN();
    String senha;
    

    @Override
    public UserDetails loadUserByUsername(String userName)throws UsernameNotFoundException, DataAccessException 
    {
        
    	Usuario usuario = null;
    	try 
        {
		usuario = usuarioRN.buscarPorLogin(userName);
	} 
        catch (Exception e) 
        {
			// TODO Auto-generated catch block
        	System.out.println("ERROR: "+e.getMessage());
	} 
    	
        if (usuario == null)
            throw new UsernameNotFoundException("User not found: " + userName);
        else {
           	        	
            return makeUser(usuario);
        }
    }

    private User makeUser(Usuario user) {
        return new User(user.getNome(), "minhasenha", true, true, true, true, makeGrantedAuthorities(user));
    }

    private List<GrantedAuthority> makeGrantedAuthorities(Usuario user) {
    	List<GrantedAuthority> result = new ArrayList<GrantedAuthority>();       
        
    	result.add(new GrantedAuthorityImpl("ROLE_ADMINISTRADOR"));

        return result;
    }

}

Note que estou hardcodando os campos de senha e role para fins de debug...
E é aqui que parei...

ALguma idéia?

Vlw mesmo mais uma vez!!!!

paulohddias
paulohddias

Olá ARATHORN vc conseguiu pois estou tentando fazer algo parecido.

eitler
eitler

Olá @paulohddias @ARATHORN

obviamente as postagens são antigas, mas entendo a importância de mantê-las respondidas ou pelo menos com alguma referência para futuros usuários que encontrem-nas durante a busca de solução semelhante. Assim, compartilho minha busca por uma solução semelhante e algumas referências que encontrei.

Seguem os links:


(solução semelhante no meu caso)
.

Criado 25 de outubro de 2012
Ultima resposta 1 de mai. de 2019
Respostas 10
Participantes 5

Topicos relacionados

Componente de forum 4 respostas Consultar CPF pelo nome na Receita Federal 5 respostas Pegadinhas que se fazem com os pobres estagiários 62 respostas [Resolvido] Como comparar Strings em C? 6 respostas Converter pixels para centímetros 9 respostas
Alura POO: o que é programação orientada a objetos? Aprenda os conceitos básicos da programação orientada a objetos, como classes, objetos, herança, encapsulamento e polimorfismo, com exemplos.
Fiap Graduacao em Tecnologia — FIAP Analise e Desenvolvimento de Sistemas, Engenharia de Software e mais