Spring tools security mit JSP

[btec]

hallo!
kurz und bündig:
ich mache eine applikation die über .jsp dateien das design der webanwendung handelt.
nun möchte ich natürlich nicht willkürlich jeden auf alle seiten der webapp zugreifen lassen sondern einfach nur eingeloggte benutzer.
folgendes tutorial wurde dazu verwendet:
https://spring.io/guides/gs/securing-web/


allerdings scheint mir, dass da die dependencies im tutorial ein voreingestelltes tool (spring-boot-starter-security) einbinden, bei dem man sich nur mit dem im tutorial angegebenen username+passwort einloggen kann, und nicht mit den usern die ich gerne vorgeben würde (aus einer datenbank..).
Oder irre ich mich da und übersehe etwas?
bzw hat jemand eventuell ein tutorial für spring tool suite, das rein über .jsps arbeitet und NICHT über servlets, tomcat etc die websecurity handelt?
Es geht um ein projekt wo eben genau diese vorraussetzungen, nur spring tool suite mit maven und .jsp dateien.. damit eine webanwendung erstellen die eine kontrolle, ob benutzer eingeloggt sind, die berechtigt sind weitere seiten der webapp (zb das hinzufügen neuer benutzer) zu öffnen, erfordert.

Ich hoffe mein Text war verständlich ausgedrückt und würde mich sehr über hilfe bzw tutoriallinks freuen die mir da weiterhelfen..
Liebe Grüße

 

[mrBrown]

Das von dir verlinkte Tutorial ist genau das richtige.

In deiner "echten" Applikation musst du nur eine Implementierung von UserDetailsService bereitstellen, die den entsprechenden Nutzer zurückgibt. In dem Beispiel ist das eben ein InMemoryUserDetailsManager, und keiner, der das aus einer Datenbank zeiht, das muss eben dein selbst implementierter machen.

 

[btec]

Das von dir verlinkte Tutorial ist genau das richtige.

In deiner "echten" Applikation musst du nur eine Implementierung von UserDetailsService bereitstellen, die den entsprechenden Nutzer zurückgibt. In dem Beispiel ist das eben ein InMemoryUserDetailsManager, und keiner, der das aus einer Datenbank zeiht, das muss eben dein selbst implementierter machen.

hmm ok danke, ein weiteres issue wäre, dass in der class WebSecurityConfigurerAdapter ja festgelegt wird, welche .jsp denn von der sicherheitsüberprüfung ausgenommen werden.

Testweise habe ich dann ein paar meiner .jsps eingefügt (main-menu, add-employee), jedoch werden diese auch blockiert und man wird zum loginfenster verwiesen..

public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
                .antMatchers("/", "/home", "/main-menu", "/add-employee").permitAll()
                .anyRequest().authenticated()
                .and()
            .formLogin()
                .loginPage("/login")
                .permitAll()
                .and()
            .logout()
                .permitAll();
    }

und weiters, ich habe keine extra login.jsp erstellt, doch trotzdem erscheint immer dasselbe loginfenster, auch wenn ich bei .loginpage
(.loginPage("/login-form") leitet mich trotzdem auf localhost:8080/login weiter, anstatt zu localhost:8080/login-form, was allerdings mein selbst erstelltes loginfenster wäre..)
auf eine andere .jsp verweise.
Mach ich etwas falsch oder übersehe ich einfach nur was im tutorial?

 

[mrBrown]

Testweise habe ich dann ein paar meiner .jsps eingefügt (main-menu, add-employee), jedoch werden diese auch blockiert und man wird zum loginfenster verwiesen..

Du legst nicht JSPs fest, sondern Pfad (= URLs), und diese sollten mit '/' beginnen.

und weiters, ich habe keine extra login.jsp erstellt, doch trotzdem erscheint immer dasselbe loginfenster, auch wenn ich bei .loginpage
(.loginPage("/login-form") leitet mich trotzdem auf localhost:8080/login weiter, anstatt zu localhost:8080/login-form, was allerdings mein selbst erstelltes loginfenster wäre..)
auf eine andere .jsp verweise.
Mach ich etwas falsch oder übersehe ich einfach nur was im tutorial?

Dazu müsste man den Code sehen, so aus dem Stegreif kann man da wenig sagen...

 

[btec]

Du legst nicht JSPs fest, sondern Pfad (= URLs), und diese sollten mit '/' beginnen.



Dazu müsste man den Code sehen, so aus dem Stegreif kann man da wenig sagen...

habe meinen code geändert, im code habe ich natürlich mit / auf die url verwiesen (habe vor meinem post hier mehrere dinge ausprobiert und als letzte hilfe diesen thread erstellt..)

 

[mrBrown]

habe meinen code geändert, im code habe ich natürlich mit / auf die url verwiesen (habe vor meinem post hier mehrere dinge ausprobiert und als letzte hilfe diesen thread erstellt..)

Ja gut, wenn du nicht deinen Code zeigst, kann man nur schlecht sagen, was an deinem Code fehlerhaft sein könnte...

 

[btec]

So...
die webconfig aus dem tutorial, in meiner Applikation:

@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
                .antMatchers("/", "/home", "/main-menu", "login-form").permitAll()
                .anyRequest().authenticated()
                .and()
            .formLogin()
                .loginPage("/login-form")
                .permitAll()
                .and()
            .logout()
                .permitAll();
    }

    @Bean
    @Override
    public UserDetailsService userDetailsService() {
        UserDetails user =
             User.withDefaultPasswordEncoder()
                .username("user")
                .password("password")
                .roles("USER")
                .build();

        return new InMemoryUserDetailsManager(user);
    }
}

Die login-form.jsp die ich als eigentliches loginfenster aufrufen möchte:

<%@page contentType="text/html" pageEncoding="UTF-8"%>
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title>JSP Page</title>
</head>
<body>
    <h1>Login Page</h1>
     <center>
        <h2>Signup Details</h2>
        <form action="login-validation" method="post">

            <br />Username:<input type="text" name="username"> <br />Password:<input
                type="password" name="password"> <br />
            <input type="submit" value="Submit">

        </form>
    </center>
</body>
</html>

Und noch der Verweis zur login-form in meiner Controller klasse:

@RequestMapping(value = { "/login-form", "/" }, method = RequestMethod.GET)
    public String loginpage(Model model) {

        return "login-form";
    }

Ohne der Sicherheitsüberprüfung läuft halt eben alles super, das design usw ist mal zweitrangig, jetzt gings drum die Funktionalität der Sicherheitschecks zum laufen zu bringen..

Ganz liebe Grüße und danke schonmal für die bisherigen antworten

EDIT:
Achja, im login Fenster des tutorials, wenn ich wie im Tutorial beschrieben (und auch dem Code festgelegt) mich mit user und password einlogge, komme ich auf die error page weil gesagt wird, user und password stimmen nicht, anstatt weitergeleitet zu werden..

EDIT2:

In der console wird folgender Text ausgegeben:

2018-06-06 18:08:13.392  INFO 11780 --- [           main] a.b.i.ui.EmployeeManagementApplication   : Starting EmployeeManagementApplication on PCBG140 with PID 11780 (started by ti_user_tbg in C:\Users\ti_user_tbg\Desktop\Praktikum Workspace\EmployeeManagement)
2018-06-06 18:08:13.394  INFO 11780 --- [           main] a.b.i.ui.EmployeeManagementApplication   : No active profile set, falling back to default profiles: default
2018-06-06 18:08:13.435  INFO 11780 --- [           main] ConfigServletWebServerApplicationContext : Refreshing org.springframework.boot.web.servlet.context.AnnotationConfigServletWebServerApplicationContext@7219ec67: startup date [Wed Jun 06 18:08:13 CEST 2018]; root of context hierarchy
2018-06-06 18:08:14.213  INFO 11780 --- [           main] o.s.b.w.embedded.tomcat.TomcatWebServer  : Tomcat initialized with port(s): 8080 (http)
2018-06-06 18:08:14.228  INFO 11780 --- [           main] o.apache.catalina.core.StandardService   : Starting service [Tomcat]
2018-06-06 18:08:14.229  INFO 11780 --- [           main] org.apache.catalina.core.StandardEngine  : Starting Servlet Engine: Apache Tomcat/8.5.31
2018-06-06 18:08:14.232  INFO 11780 --- [ost-startStop-1] o.a.catalina.core.AprLifecycleListener   : The APR based Apache Tomcat Native library which allows optimal performance in production environments was not found on the java.library.path: [C:\Program Files\Java\jre1.8.0_171\bin;C:\Windows\Sun\Java\bin;C:\Windows\system32;C:\Windows;C:/Program Files/Java/jre1.8.0_171/bin/server;C:/Program Files/Java/jre1.8.0_171/bin;C:/Program Files/Java/jre1.8.0_171/lib/amd64;C:\Program Files (x86)\Common Files\Oracle\Java\javapath;C:\ProgramData\Oracle\Java\javapath;C:\Windows\system32;C:\Windows;C:\Windows\System32\Wbem;C:\Windows\System32\WindowsPowerShell\v1.0\;C:\Program Files\Git\cmd;C:\Apache\apache-maven-3.5.3\bin;%JAVA_HOME%\bin;C:\Users\ti_user_tbg\AppData\Local\Microsoft\WindowsApps;;C:\Users\ti_user_tbg\Downloads\spring-tool-suite-3.9.4.RELEASE-e4.7.3a-win32-x86_64\sts-bundle\sts-3.9.4.RELEASE;;.]
2018-06-06 18:08:14.436  INFO 11780 --- [ost-startStop-1] org.apache.jasper.servlet.TldScanner     : At least one JAR was scanned for TLDs yet contained no TLDs. Enable debug logging for this logger for a complete list of JARs that were scanned but no TLDs were found in them. Skipping unneeded JARs during scanning can improve startup time and JSP compilation time.
2018-06-06 18:08:14.440  INFO 11780 --- [ost-startStop-1] o.a.c.c.C.[Tomcat].[localhost].[/]       : Initializing Spring embedded WebApplicationContext
2018-06-06 18:08:14.440  INFO 11780 --- [ost-startStop-1] o.s.web.context.ContextLoader            : Root WebApplicationContext: initialization completed in 1007 ms
2018-06-06 18:08:14.589  INFO 11780 --- [ost-startStop-1] o.s.b.w.servlet.FilterRegistrationBean   : Mapping filter: 'characterEncodingFilter' to: [/*]
2018-06-06 18:08:14.590  INFO 11780 --- [ost-startStop-1] o.s.b.w.servlet.FilterRegistrationBean   : Mapping filter: 'hiddenHttpMethodFilter' to: [/*]
2018-06-06 18:08:14.590  INFO 11780 --- [ost-startStop-1] o.s.b.w.servlet.FilterRegistrationBean   : Mapping filter: 'httpPutFormContentFilter' to: [/*]
2018-06-06 18:08:14.590  INFO 11780 --- [ost-startStop-1] o.s.b.w.servlet.FilterRegistrationBean   : Mapping filter: 'requestContextFilter' to: [/*]
2018-06-06 18:08:14.590  INFO 11780 --- [ost-startStop-1] .s.DelegatingFilterProxyRegistrationBean : Mapping filter: 'springSecurityFilterChain' to: [/*]
2018-06-06 18:08:14.591  INFO 11780 --- [ost-startStop-1] o.s.b.w.servlet.ServletRegistrationBean  : Servlet dispatcherServlet mapped to [/]
2018-06-06 18:08:14.685  INFO 11780 --- [           main] o.s.w.s.handler.SimpleUrlHandlerMapping  : Mapped URL path [/**/favicon.ico] onto handler of type [class org.springframework.web.servlet.resource.ResourceHttpRequestHandler]
2018-06-06 18:08:14.855  INFO 11780 --- [           main] s.w.s.m.m.a.RequestMappingHandlerAdapter : Looking for @ControllerAdvice: org.springframework.boot.web.servlet.context.AnnotationConfigServletWebServerApplicationContext@7219ec67: startup date [Wed Jun 06 18:08:13 CEST 2018]; root of context hierarchy
2018-06-06 18:08:14.897  INFO 11780 --- [           main] s.w.s.m.m.a.RequestMappingHandlerMapping : Mapped "{[/user-deleted],methods=[POST]}" onto public java.lang.String at.beko.internship.ui.JSPController.delete(int,org.springframework.validation.BindingResult,org.springframework.ui.ModelMap)
2018-06-06 18:08:14.897  INFO 11780 --- [           main] s.w.s.m.m.a.RequestMappingHandlerMapping : Mapped "{[/add-success],methods=[POST]}" onto public java.lang.String at.beko.internship.ui.JSPController.submit(at.beko.internship.model.Employee,org.springframework.validation.BindingResult,org.springframework.ui.ModelMap)
2018-06-06 18:08:14.897  INFO 11780 --- [           main] s.w.s.m.m.a.RequestMappingHandlerMapping : Mapped "{[/delete-employee],methods=[GET]}" onto public java.lang.String at.beko.internship.ui.JSPController.deleteViewPersonList(org.springframework.ui.Model)
2018-06-06 18:08:14.898  INFO 11780 --- [           main] s.w.s.m.m.a.RequestMappingHandlerMapping : Mapped "{[/main-menu],methods=[GET]}" onto public java.lang.String at.beko.internship.ui.JSPController.mainmenu(org.springframework.ui.Model)
2018-06-06 18:08:14.898  INFO 11780 --- [           main] s.w.s.m.m.a.RequestMappingHandlerMapping : Mapped "{[/Logout],methods=[GET]}" onto public java.lang.String at.beko.internship.ui.JSPController.logout(org.springframework.ui.Model)
2018-06-06 18:08:14.898  INFO 11780 --- [           main] s.w.s.m.m.a.RequestMappingHandlerMapping : Mapped "{[/supervisor-formlist],methods=[GET]}" onto public java.lang.String at.beko.internship.ui.JSPController.supervisorforms(org.springframework.ui.Model)
2018-06-06 18:08:14.898  INFO 11780 --- [           main] s.w.s.m.m.a.RequestMappingHandlerMapping : Mapped "{[/supervisor-menu],methods=[GET]}" onto public java.lang.String at.beko.internship.ui.JSPController.supervisormenu(org.springframework.ui.Model)
2018-06-06 18:08:14.898  INFO 11780 --- [           main] s.w.s.m.m.a.RequestMappingHandlerMapping : Mapped "{[/home],methods=[GET]}" onto public java.lang.String at.beko.internship.ui.JSPController.homepage(org.springframework.ui.Model)
2018-06-06 18:08:14.899  INFO 11780 --- [           main] s.w.s.m.m.a.RequestMappingHandlerMapping : Mapped "{[/add-employee],methods=[GET]}" onto public java.lang.String at.beko.internship.ui.JSPController.addemployee(org.springframework.ui.Model)
2018-06-06 18:08:14.899  INFO 11780 --- [           main] s.w.s.m.m.a.RequestMappingHandlerMapping : Mapped "{[/form-menu],methods=[GET]}" onto public java.lang.String at.beko.internship.ui.JSPController.formmenu(org.springframework.ui.Model)
2018-06-06 18:08:14.899  INFO 11780 --- [           main] s.w.s.m.m.a.RequestMappingHandlerMapping : Mapped "{[/form-timeoff],methods=[GET]}" onto public java.lang.String at.beko.internship.ui.JSPController.formtimeoff(org.springframework.ui.Model)
2018-06-06 18:08:14.899  INFO 11780 --- [           main] s.w.s.m.m.a.RequestMappingHandlerMapping : Mapped "{[/login-validation],methods=[POST]}" onto public java.lang.String at.beko.internship.ui.JSPController.checklogin(java.lang.String,java.lang.String,org.springframework.validation.BindingResult,org.springframework.ui.ModelMap)
2018-06-06 18:08:14.899  INFO 11780 --- [           main] s.w.s.m.m.a.RequestMappingHandlerMapping : Mapped "{[/login-form || /],methods=[GET]}" onto public java.lang.String at.beko.internship.ui.JSPController.loginpage(org.springframework.ui.Model)
2018-06-06 18:08:14.900  INFO 11780 --- [           main] s.w.s.m.m.a.RequestMappingHandlerMapping : Mapped "{[/Error],methods=[GET]}" onto public java.lang.String at.beko.internship.ui.JSPController.errorpage(org.springframework.ui.Model)
2018-06-06 18:08:14.900  INFO 11780 --- [           main] s.w.s.m.m.a.RequestMappingHandlerMapping : Mapped "{[/edit-employee],methods=[POST]}" onto public java.lang.String at.beko.internship.ui.JSPController.edit(at.beko.internship.model.Employee,int,org.springframework.validation.BindingResult,org.springframework.ui.ModelMap)
2018-06-06 18:08:14.900  INFO 11780 --- [           main] s.w.s.m.m.a.RequestMappingHandlerMapping : Mapped "{[/edit-success],methods=[POST]}" onto public java.lang.String at.beko.internship.ui.JSPController.editsuccess(at.beko.internship.model.Employee,int,org.springframework.validation.BindingResult,org.springframework.ui.ModelMap)
2018-06-06 18:08:14.900  INFO 11780 --- [           main] s.w.s.m.m.a.RequestMappingHandlerMapping : Mapped "{[/employee-list],methods=[GET]}" onto public java.lang.String at.beko.internship.ui.JSPController.employeelistView(org.springframework.ui.Model)
2018-06-06 18:08:14.900  INFO 11780 --- [           main] s.w.s.m.m.a.RequestMappingHandlerMapping : Mapped "{[/edit-employee],methods=[GET]}" onto public java.lang.String at.beko.internship.ui.JSPController.EditView(org.springframework.ui.Model)
2018-06-06 18:08:14.903  INFO 11780 --- [           main] s.w.s.m.m.a.RequestMappingHandlerMapping : Mapped "{[/error]}" onto public org.springframework.http.ResponseEntity<java.util.Map<java.lang.String, java.lang.Object>> org.springframework.boot.autoconfigure.web.servlet.error.BasicErrorController.error(javax.servlet.http.HttpServletRequest)
2018-06-06 18:08:14.903  INFO 11780 --- [           main] s.w.s.m.m.a.RequestMappingHandlerMapping : Mapped "{[/error],produces=[text/html]}" onto public org.springframework.web.servlet.ModelAndView org.springframework.boot.autoconfigure.web.servlet.error.BasicErrorController.errorHtml(javax.servlet.http.HttpServletRequest,javax.servlet.http.HttpServletResponse)
2018-06-06 18:08:14.921  INFO 11780 --- [           main] o.s.w.s.handler.SimpleUrlHandlerMapping  : Mapped URL path [/webjars/**] onto handler of type [class org.springframework.web.servlet.resource.ResourceHttpRequestHandler]
2018-06-06 18:08:14.921  INFO 11780 --- [           main] o.s.w.s.handler.SimpleUrlHandlerMapping  : Mapped URL path [/**] onto handler of type [class org.springframework.web.servlet.resource.ResourceHttpRequestHandler]
2018-06-06 18:08:15.086  INFO 11780 --- [           main] .s.s.UserDetailsServiceAutoConfiguration :

Using generated security password: ac2880a4-aa5f-4c8b-bbc2-f479e574a7ec

2018-06-06 18:08:15.213  INFO 11780 --- [           main] o.s.s.web.DefaultSecurityFilterChain     : Creating filter chain: org.springframework.security.web.util.matcher.AnyRequestMatcher@1, [org.springframework.security.web.context.request.async.WebAsyncManagerIntegrationFilter@7ed9ae94, org.springframework.security.web.context.SecurityContextPersistenceFilter@41a6d121, org.springframework.security.web.header.HeaderWriterFilter@2fb5fe30, org.springframework.security.web.csrf.CsrfFilter@6f8d7714, org.springframework.security.web.authentication.logout.LogoutFilter@5a9800f8, org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter@796d3c9f, org.springframework.security.web.authentication.ui.DefaultLoginPageGeneratingFilter@4a183d02, org.springframework.security.web.authentication.www.BasicAuthenticationFilter@64e1dd11, org.springframework.security.web.savedrequest.RequestCacheAwareFilter@411291e5, org.springframework.security.web.servletapi.SecurityContextHolderAwareRequestFilter@3044e9c7, org.springframework.security.web.authentication.AnonymousAuthenticationFilter@66908383, org.springframework.security.web.session.SessionManagementFilter@2375b321, org.springframework.security.web.access.ExceptionTranslationFilter@7ff2b8d2, org.springframework.security.web.access.intercept.FilterSecurityInterceptor@5c41d037]
2018-06-06 18:08:15.266  INFO 11780 --- [           main] o.s.j.e.a.AnnotationMBeanExporter        : Registering beans for JMX exposure on startup
2018-06-06 18:08:15.302  INFO 11780 --- [           main] o.s.b.w.embedded.tomcat.TomcatWebServer  : Tomcat started on port(s): 8080 (http) with context path ''
2018-06-06 18:08:15.305  INFO 11780 --- [           main] a.b.i.ui.EmployeeManagementApplication   : Started EmployeeManagementApplication in 2.136 seconds (JVM running for 2.654)
2018-06-06 18:08:25.112  INFO 11780 --- [nio-8080-exec-1] o.a.c.c.C.[Tomcat].[localhost].[/]       : Initializing Spring FrameworkServlet 'dispatcherServlet'
2018-06-06 18:08:25.112  INFO 11780 --- [nio-8080-exec-1] o.s.web.servlet.DispatcherServlet        : FrameworkServlet 'dispatcherServlet': initialization started
2018-06-06 18:08:25.128  INFO 11780 --- [nio-8080-exec-1] o.s.web.servlet.DispatcherServlet        : FrameworkServlet 'dispatcherServlet': initialization completed in 16 ms

Using generated security password: ac2880a4-aa5f-4c8b-bbc2-f479e574a7ec

Und genau diese Passwort in verbindung mit user lässt mich dann normal weiter als authentifizierten benutzer und alle seiten lassen sich öffnen..allerdings verstehe ich nun überhaupt nicht wieso..passwort wurde doch im code als password festgelegt..