'%3e%3cpath%20d='M18.4512%200.5H1.54788C0.969086%200.500348%200.499884%200.969781%200.5%201.5488V18.4521C0.500348%2019.0309%200.969781%2019.5001%201.5488%2019.5H10.6494V12.1523H8.18164V9.27637H10.6494V7.15986C10.6494%204.70542%2012.1478%203.36948%2014.3373%203.36948C15.386%203.36948%2016.2871%203.44764%2016.5498%203.48255V6.04785H15.04C13.8488%206.04785%2013.6182%206.61389%2013.6182%207.44467V9.27637H16.4663L16.0952%2012.1523H13.6182V19.5H18.4512C19.0303%2019.5001%2019.4999%2019.0308%2019.5%2018.4517C19.5%2018.4515%2019.5%2018.4514%2019.5%2018.4512V1.54788C19.4998%200.969086%2019.0302%200.499884%2018.4512%200.5Z'%20fill='%236B7280'/%3e%3c/g%3e%3cdefs%3e%3cclipPath%20id='clip0_1312_2913'%3e%3crect%20x='0.5'%20y='0.5'%20width='19'%20height='19'%20rx='5'%20fill='white'/%3e%3c/clipPath%3e%3c/defs%3e%3c/svg%3e){kind=small}
'%3e%3cpath%20d='M18.1297%200.5C18.1297%200.5%2018.1297%200.5%2018.1297%200.5H1.87029C1.11346%200.5%200.5%201.11346%200.5%201.87029V18.1297C0.5%2018.8865%201.11346%2019.5%201.87029%2019.5H18.1297C18.8865%2019.5%2019.5%2018.8865%2019.5%2018.1297V1.87029C19.5%201.11346%2018.8865%200.5%2018.1297%200.5C18.1297%200.5%2018.1297%200.5%2018.1297%200.5ZM7.23941%2013.7045C7.23941%2014.3434%206.72148%2014.8613%206.08257%2014.8613C5.44366%2014.8613%204.92573%2014.3434%204.92573%2013.7045V9.05741C4.92573%208.4185%205.44366%207.90057%206.08257%207.90057C6.72148%207.90057%207.23941%208.4185%207.23941%209.05741V13.7045ZM6.08264%206.95007H6.06757C5.29117%206.95007%204.78903%206.41561%204.78903%205.74764C4.78903%205.0646%205.30653%204.54492%206.09801%204.54492C6.88948%204.54492%207.37654%205.0646%207.39162%205.74764C7.39162%206.41561%206.88948%206.95007%206.08264%206.95007ZM15.5821%2013.7046C15.5821%2014.3435%2015.0642%2014.8613%2014.4254%2014.8613C13.7865%2014.8613%2013.2687%2014.3435%2013.2687%2013.7046V11.1375C13.2687%2010.2016%2012.9337%209.56339%2012.0965%209.56339C11.4574%209.56339%2011.0768%209.99391%2010.9095%2010.4095C10.8483%2010.5582%2010.8334%2010.7661%2010.8334%2010.9741V13.7073C10.8334%2014.3447%2010.3167%2014.8613%209.67938%2014.8613C9.03988%2014.8613%208.52227%2014.3432%208.52472%2013.7037C8.5296%2012.429%208.53589%2010.3876%208.53217%209.08236C8.53032%208.43776%209.0588%207.90057%209.70342%207.90057H10.6084C10.7326%207.90057%2010.8334%208.00128%2010.8334%208.12553C10.8334%208.3496%2011.1506%208.45216%2011.3174%208.30254C11.6612%207.99424%2012.1608%207.7372%2012.9184%207.7372C14.4407%207.7372%2015.5821%208.73205%2015.5821%2010.87V13.7046Z'%20fill='%236B7280'/%3e%3c/g%3e%3cdefs%3e%3cclipPath%20id='clip0_1312_2914'%3e%3crect%20x='0.5'%20y='0.5'%20width='19'%20height='19'%20rx='5'%20fill='white'/%3e%3c/clipPath%3e%3c/defs%3e%3c/svg%3e){kind=small}
Trong bài viết này, chúng ta sẽ tìm hiểu cách kết hợp Spring Security, Hibernate, và JSON Web Token (JWT) để xây dựng một hệ thống bảo mật cho ứng dụng web. JWT (JSON Web Token) là một phần quan trọng trong bảo mật ứng dụng web hiện đại, giúp xác thực và phân quyền người dùng một cách an toàn.
Chúng ta sẽ cùng đi qua các bước để triển khai một ứng dụng sử dụng Spring Security để quản lý việc xác thực người dùng và JWT để bảo vệ các tài nguyên của ứng dụng.
Cài đặt
Chúng ta sử dụng Maven để quản lý dự án, và ta cần thêm thư viện io.jsonwebtoken.jwtt để hỗ trợ việc tạo và kiểm tra JWT.
<dependencies>
<!-- ... Các dependency khác ... -->
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt</artifactId>
<version>0.9.1</version>
</dependency>
</dependencies>Cấu trúc thư mục dự án
Cấu trúc thư mục dự án gồm:
src/main/java: Chứa mã nguồn Java.src/main/resources: Chứa các tài liệu tĩnh, cấu hình, và giao diện người dùng (thư mụctemplates).src/main/resources/application.properties: Tệp cấu hình ứng dụng Spring Boot.
Triển khai ứng dụng
Định nghĩa Entity User
Đầu tiên, chúng ta sẽ định nghĩa một Entity User để tham chiếu đến thông tin người dùng trong cơ sở dữ liệu.
import javax.persistence.*;
@Entity
@Table(name = "user")
public class User {
@Id
@GeneratedValue(strategy = GenerationType.IDENTITY)
private Long id;
@Column(nullable = false, unique = true)
private String username;
private String password;
// Getter và setter
}Triển khai Repository UserRepository
Chúng ta sẽ sử dụng UserRepository để tương tác với cơ sở dữ liệu để tìm kiếm người dùng theo username.
import org.springframework.data.jpa.repository.JpaRepository;
import org.springframework.stereotype.Repository;
@Repository
public interface UserRepository extends JpaRepository<User, Long> {
User findByUsername(String username);
}Định nghĩa CustomUserDetails
CustomUserDetails là một lớp được tạo ra để thể hiện thông tin người dùng dưới dạng UserDetails mà Spring Security sử dụng.
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.UserDetails;
import java.util.Collection;
import java.util.Collections;
public class CustomUserDetails implements UserDetails {
private User user;
public CustomUserDetails(User user) {
this.user = user;
}
@Override
public Collection<? extends GrantedAuthority> getAuthorities() {
// Mặc định, chúng ta sẽ sử dụng ROLE_USER.
return Collections.singleton(new SimpleGrantedAuthority("ROLE_USER"));
}
@Override
public String getPassword() {
return user.getPassword();
}
@Override
public String getUsername() {
return user.getUsername();
}
@Override
public boolean isAccountNonExpired() {
return true;
}
@Override
public boolean isAccountNonLocked() {
return true;
}
@Override
public boolean isCredentialsNonExpired() {
return true;
}
@Override
public boolean isEnabled() {
return true;
}
}Triển khai UserService
UserService là một dịch vụ được tạo ra để thực hiện việc truy vấn người dùng từ cơ sở dữ liệu dựa trên username.
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Service;
@Service
public class UserService implements UserDetailsService {
@Autowired
private UserRepository userRepository;
@Override
public UserDetails loadUserByUsername(String username) {
User user = userRepository.findByUsername(username);
if (user == null) {
throw new UsernameNotFoundException(username);
}
return new CustomUserDetails(user);
}
}Triển khai JwtTokenProvider
JwtTokenProvider là một lớp được tạo ra để giúp tạo và kiểm tra JWT.
import org.springframework.stereotype.Component;
import io.jsonwebtoken.*;
import lombok.extern.slf4j.Slf4j;
import java.util.Date;
@Component
@Slf4j
public class JwtTokenProvider {
private final String JWT_SECRET = "your-secret-key"; // Thay thế bằng secret key của bạn
private final long JWT_EXPIRATION = 604800000L; // 7 ngày
public String generateToken(CustomUserDetails userDetails) {
Date now = new Date();
Date expiryDate = new Date(now.getTime() + JWT_EXPIRATION);
return Jwts.builder()
.setSubject(Long.toString(userDetails.getUser().getId()))
.setIssuedAt(now)
.setExpiration(expiryDate)
.signWith(SignatureAlgorithm.HS512, JWT_SECRET)
.compact();
}
public Long getUserIdFromJWT(String token) {
Claims claims = Jwts.parser()
.setSigningKey(JWT_SECRET)
.parseClaimsJws(token)
.getBody();
return Long.parseLong(claims.getSubject());
}
public boolean validateToken(String authToken) {
try {
Jwts.parser().setSigningKey(JWT_SECRET).parseClaimsJws(authToken);
return true;
} catch (MalformedJwtException ex) {
log.error("Invalid JWT token");
} catch (ExpiredJwtException ex) {
log.error("Expired JWT token");
} catch (UnsupportedJwtException ex) {
log.error("Unsupported JWT token");
} catch (IllegalArgumentException ex) {
log.error("
JWT claims string is empty.");
}
return false;
}
}Cấu hình và Phân quyền với Spring Security
Chúng ta cần cấu hình Spring Security và xác định quyền truy cập cho các tài nguyên. Dưới đây là một phần của cấu hình Spring Security:
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.config.BeanIds;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
@Autowired
private UserService userService;
@Bean
public JwtAuthenticationFilter jwtAuthenticationFilter() {
return new JwtAuthenticationFilter();
}
@Bean(BeanIds.AUTHENTICATION_MANAGER)
@Override
public AuthenticationManager authenticationManagerBean() throws Exception {
return super.authenticationManagerBean();
}
@Bean
public PasswordEncoder passwordEncoder() {
return new BCryptPasswordEncoder();
}
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
auth.userDetailsService(userService)
.passwordEncoder(passwordEncoder());
}
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.cors()
.and()
.authorizeRequests()
.antMatchers("/api/login").permitAll()
.anyRequest().authenticated();
http.addFilterBefore(jwtAuthenticationFilter(), UsernamePasswordAuthenticationFilter.class);
}
}Điểm quan trọng là việc đăng ký JwtAuthenticationFilter để kiểm tra JWT trước khi xử lý request.
Xây dựng Controller
Chúng ta cần xây dựng các API để đăng nhập và truy cập tài nguyên an toàn. Dưới đây là ví dụ về một số API:
@RestController
@RequestMapping("/api")
public class ApiController {
@Autowired
AuthenticationManager authenticationManager;
@Autowired
private JwtTokenProvider tokenProvider;
@PostMapping("/login")
public ResponseEntity<?> authenticateUser(@Valid @RequestBody LoginRequest loginRequest) {
Authentication authentication = authenticationManager.authenticate(
new UsernamePasswordAuthenticationToken(
loginRequest.getUsername(),
loginRequest.getPassword()
)
);
SecurityContextHolder.getContext().setAuthentication(authentication);
String jwt = tokenProvider.generateToken((CustomUserDetails) authentication.getPrincipal());
return ResponseEntity.ok(new JwtAuthenticationResponse(jwt));
}
@GetMapping("/secure-resource")
public ResponseEntity<String> getSecureResource() {
return ResponseEntity.ok("This is a secure resource.");
}
}Chạy ứng dụng
Khi ứng dụng được triển khai, bạn có thể sử dụng các API như sau:
POST /api/login: Đăng nhập để nhận JWT token.GET /api/secure-resource: Truy cập tài nguyên an toàn bằng cách gửi JWT token trong Header của request.
Khi truy cập tài nguyên an toàn mà không cung cấp JWT token, bạn sẽ nhận được mã lỗi 403 - Access Denied.
Tóm tắt
- Trong bài viết này, chúng ta đã tìm hiểu cách kết hợp Spring Security, Hibernate, và JWT để xây dựng một hệ thống bảo mật cho ứng dụng web. JWT giúp chúng ta xác thực và phân quyền người dùng một cách an toàn và hiệu quả.
- Việc triển khai một hệ thống bảo mật như vậy đòi hỏi hiểu biết về Spring Security, Hibernate và JWT. Tuy nhiên, khi đã triển khai thành công, bạn sẽ có một hệ thống bảo mật mạnh mẽ cho ứng dụng web của mình.
