UserDetails service has been implemented.

Author: zcomert

day-10/api/Security.md

@@ -1,4 +1,5 @@
-# 1. Bağımılılık
+# 1. Basic Authentication
+## 1.1. Dependency
 
 Öncelikle projeye yeni bir bağımlılık eklenir.
 
@@ -13,7 +14,7 @@ Yukarıdkai bağımlılık ifadesiyle artık API güvenliği ilk adım atılır.
 * Logout olma şansı yoktur. 
 * Kullanıcı adı ve şifresine müdahale edilemez.
 
-# 2. Application Security Config
+## 1.2. Application Security Config
 
 **security/config** gibi bir isimle yeni bir klasör projeye dahil edilir.
 
@@ -34,7 +35,7 @@ public class ApplicationSecurityConfig extends WebSecurityConfigurerAdapter {
 }
 ```
 
-# 3. Authentication Nasıl Yapılır? 
+## 1.3. Authentication Nasıl Yapılır? 
 Bu metot üzerinde authentication işleminin nasıl yapılması gerektiği tanımlanır. Basic Authentication ile API güvenliğini sağlayalım. 
 
 ```java
@@ -56,4 +57,94 @@ public class ApplicationSecurityConfig extends WebSecurityConfigurerAdapter {
 Bu işlem sonucunda herhangi bir kaynak üzerinden GET, POST, PUT ve DELETE işlemlerinin yapılması tavsiye edilir. 
 User ve password bilgisi girilmeden hiçbir http isteği yanıtlanmaz iken; user ve password bilgisi bir Authorization header ifadesiyle gönderildiğinde yalnızca GET isteklerinin yanıtlandığı ancak POST, PUT ve DELETE gibi işlemlerin ise yanıtlanmadığı (Forbidden) yani yasaklandığı görülür. 
 
-![Basic Authentication](http://www.zafercomert.com/medya/java/springSecurity-BasicAuth.svg)
+![Basic Authentication](http://www.zafercomert.com/medya/java/springSecurity-BasicAuth.svg)
+
+
+# 2. UserDetailsService 
+
+## 2.1. UserDetailsService
+
+**UserDetailService** üzerinden kullanıcı tanımları gerçekleştirebilir. Bu noktada kullanıcı bilgilerini tutmak üzere **InMemoryUserDetailsManager** kullanıyoruz. 
+
+Ancak **UserDetailService** implemente eden daha farklı sınıflar da vardır. Detaylar için resmi dokümantasyon incelenebilir [Interface UserDetailsService](https://docs.spring.io/spring-security/site/docs/3.2.8.RELEASE/apidocs/org/springframework/security/core/userdetails/UserDetailsService.html). 
+
+**UserDetailService** interface yapısını implemente eden sınıflar: 
+
+*  CachingUserDetailsService, 
+*  InMemoryDaoImpl, 
+*  *InMemoryUserDetailsManager*, 
+*  JdbcDaoImpl, 
+*  JdbcUserDetailsManager, 
+*  LdapUserDetailsManager,
+*  LdapUserDetailsService, 
+*  UserDetailsServiceWrapper
+
+```java
+@Override
+@Bean
+protected UserDetailsService userDetailsService() {
+
+    UserDetails admin = User.builder()
+            .username("admin")
+            .password(passwordEncoder.encode("admin123456"))
+            .roles("ADMIN")
+            .build();
+
+    UserDetails editor = User.builder()
+            .username("editor")
+            .password(passwordEncoder.encode("editor123456"))
+            .roles("EDITOR")
+            .build();
+
+    UserDetails user = User.builder()
+            .username("user")
+            .password(passwordEncoder.encode("user123456"))
+            .roles("USER")
+            .build();
+
+    return new InMemoryUserDetailsManager(admin, editor, user);
+}    
+```
+> UserDetailsService de bir konfigürasyon ifadesidir. Bu nedenle @Bean annotation yapısı mutlaka bu metodun üzerine eklenmelidir.
+
+Uygulamanın bu haliyle yukarıda verilen kullanıcı adı ve şifreler ile artık API test edilebilir durumdadur. 
+
+## 2.2 PasswordEncoder
+
+```java
+@Configuration
+public class PasswordConfig {
+
+    @Bean
+    public PasswordEncoder passwordEncoder() {
+        return new BCryptPasswordEncoder(10);
+    }
+}
+```
+
+Injection unutulmamalıdır: 
+
+```java
+private final PasswordEncoder passwordEncoder;
+
+    @Autowired
+    public ApplicationSecurityConfig(PasswordEncoder passwordEncoder) {
+        this.passwordEncoder = passwordEncoder;
+    }
+```
+
+## 2.3. configure Metodu Güncellenir.
+
+```java
+@Override
+    protected void configure(HttpSecurity http) throws Exception {
+        http
+                .authorizeRequests()
+                .antMatchers("/", "/index", "/css/*", "/js/**").permitAll()
+                .antMatchers("/api/**").hasAnyRole("ADMIN", "EDITOR")
+                .anyRequest()
+                .authenticated()
+                .and()
+                .httpBasic();
+    }
+```

day-10/api/src/main/java/com/bookstore/api/config/ApplicationSecurityConfig.java

@@ -1,20 +1,59 @@
 package com.bookstore.api.config;
 
+import org.springframework.context.annotation.Bean;
 import org.springframework.context.annotation.Configuration;
 import org.springframework.security.config.annotation.web.builders.HttpSecurity;
 import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
 import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
+import org.springframework.security.core.userdetails.User;
+import org.springframework.security.core.userdetails.UserDetails;
+import org.springframework.security.core.userdetails.UserDetailsService;
+import org.springframework.security.crypto.password.PasswordEncoder;
+import org.springframework.security.provisioning.InMemoryUserDetailsManager;
+
+import lombok.RequiredArgsConstructor;
 
 @Configuration
 @EnableWebSecurity
+@RequiredArgsConstructor
 public class ApplicationSecurityConfig extends WebSecurityConfigurerAdapter {
-    @Override
-    protected void configure(HttpSecurity http) throws Exception {
-        http
-                .authorizeRequests()
-                .anyRequest()
-                .authenticated()
-                .and()
-                .httpBasic();
-    }
+
+        private final PasswordEncoder passwordEncoder;
+
+        @Override
+        protected void configure(HttpSecurity http) throws Exception {
+                http
+                                .authorizeRequests()
+                                .antMatchers("/", "/index", "/css/*", "js/**").permitAll()
+                                .antMatchers("/api/**").hasAnyRole("ADMIN", "EDITOR")
+                                .anyRequest()
+                                .authenticated()
+                                .and()
+                                .httpBasic();
+        }
+
+        @Override
+        @Bean
+        protected UserDetailsService userDetailsService() {
+
+                UserDetails admin = User.builder()
+                                .username("admin")
+                                .password(passwordEncoder.encode("admin123456"))
+                                .roles("ADMIN")
+                                .build();
+
+                UserDetails editor = User.builder()
+                                .username("editor")
+                                .password(passwordEncoder.encode("editor123456"))
+                                .roles("EDITOR")
+                                .build();
+
+                UserDetails user = User.builder()
+                                .username("user")
+                                .password(passwordEncoder.encode("user123456"))
+                                .roles("USER")
+                                .build();
+
+                return new InMemoryUserDetailsManager(admin, editor, user);
+        }
 }

day-10/api/src/main/java/com/bookstore/api/config/PasswordConfig.java

@@ -0,0 +1,14 @@
+package com.bookstore.api.config;
+
+import org.springframework.context.annotation.Bean;
+import org.springframework.context.annotation.Configuration;
+import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
+import org.springframework.security.crypto.password.PasswordEncoder;
+
+@Configuration
+public class PasswordConfig {
+    @Bean
+    public PasswordEncoder passwordEncoder() {
+        return new BCryptPasswordEncoder(10);
+    }
+}

day-10/api/src/main/java/com/bookstore/api/controllers/AuthorController.java

@@ -4,15 +4,13 @@
 
 import org.springframework.http.HttpStatus;
 import org.springframework.http.ResponseEntity;
-import org.springframework.web.bind.annotation.CrossOrigin;
 import org.springframework.web.bind.annotation.DeleteMapping;
 import org.springframework.web.bind.annotation.GetMapping;
 import org.springframework.web.bind.annotation.PathVariable;
 import org.springframework.web.bind.annotation.PostMapping;
 import org.springframework.web.bind.annotation.PutMapping;
 import org.springframework.web.bind.annotation.RequestBody;
 import org.springframework.web.bind.annotation.RequestMapping;
-import org.springframework.web.bind.annotation.ResponseStatus;
 import org.springframework.web.bind.annotation.RestController;
 
 import com.bookstore.api.entities.Author;