Spring Securityを勉強中

このへんを読んだりしながら、Spring Securityを勉強中。

spring.io

EnableWebSecurityつけなくても動くなーなんでかなーと思ってたらあれかEnableAutoConfigurationか。すぐ忘れる！

— しーば@10/22 楽天大阪 (@bufferings) 2016年7月7日

AngularJSには今は興味がないので、スルーしながら読んでる。

スライド分かりやすい

↑の記事はAPIな感じなので、↓のスライドも見たりしながら、分かりやすいなーと思いながら。

CSRF対応がデフォルトで入ってるっぽい

18. Cross Site Request Forgery (CSRF)

Thymeleaf 2.1+ and are using @EnableWebSecurity, the CsrfToken is automatically included for you

ほう。

ほんまや。。。ってかソース見たらいいか。

テンプレートはこんな感じ

	<form th:action="@{/login}" method="post">
		<div>
			<label> User Name : <input type="text" name="username" />
			</label>
		</div>
		<div>
			<label> Password: <input type="password" name="password" />
			</label>
		</div>
		<div>
			<input type="submit" value="Sign In" />
		</div>
	</form>

動かしたらこんな感じ。

	<form method="post" action="/login">
		<div>
			<label> User Name : <input type="text" name="username" />
			</label>
		</div>
		<div>
			<label> Password: <input type="password" name="password" />
			</label>
		</div>
		<div>
			<input type="submit" value="Sign In" />
		</div>
	<input type="hidden" name="_csrf" value="d00212b4-eaca-40cb-b223-c572ed1d5725" /></form>

へー！

どうやってるのかな？

雰囲気でここかなと思った

https://github.com/thymeleaf/thymeleaf-spring/blob/2.1-master/thymeleaf-spring4/src/main/java/org/thymeleaf/spring4/processor/attr/SpringActionAttrProcessor.java#L102

から

https://github.com/thymeleaf/thymeleaf-spring/blob/2.1-master/thymeleaf-spring4/src/main/java/org/thymeleaf/spring4/requestdata/RequestDataValueProcessorUtils.java#L168

から

https://github.com/thymeleaf/thymeleaf-spring/blob/2.1-master/thymeleaf-spring4/src/main/java/org/thymeleaf/spring4/requestdata/RequestDataValueProcessor4Delegate.java#L86

から

https://github.com/spring-projects/spring-security/blob/master/web/src/main/java/org/springframework/security/web/servlet/support/csrf/CsrfRequestDataValueProcessor.java#L60

かな。

でも、このCsrfRequestDataValueProcessorはどこでどうやって適用されてるんかなー？まいっか。

さて

今日の夜はJoshのライブコーディングだー楽しみー(∩´∀｀)∩ﾜｰｲ

kanjava.connpass.com