version 1.0

Author: basiliok

BD/bd_sfm_msql.sql

@@ -15,4 +15,5 @@ CREATE TABLE empresa(
 -- EMPRESA
 INSERT INTO empresa (codigo,ruc,nombre,direccion,distrito,telefono,imagen) VALUE ('EP1','44445555777','Shoes For Men','Av. Carlos Izaguirre 233','Independencia','000-0000','https://raw.githubusercontent.com/paledot02/Img_Calzados/main/logo_reporte_01.png');
 -- https://raw.githubusercontent.com/paledot02/Img_Calzados/main/logo_reporte_02.png
--- SELECT * FROM empresa;
+-- SELECT * FROM empresa;
+

BD/bd_sfm_psql.sql

@@ -196,11 +196,13 @@ INSERT INTO rol (cod_rol, nombre_rol) VALUES ('RL01','ROLE_ADMIN');
 INSERT INTO rol (cod_rol, nombre_rol) VALUES ('RL02','ROLE_USER');
 
 -- EMPLEADO -> SELECT * FROM empleado;
-INSERT INTO empleado (cod_empleado,cod_distrito,cod_estado,nombre,apellidos,dni,direccion,telefono,email,usuario,contrasena) VALUES ('EM10001','DI01','ES2','KEVIN','B','00000000','DIRECCION','999999999','paledot01@gmail.com','kevinB','$2a$10$Jtfxa0EuEjZrfQ4OvR4WbuqD00OBIfIp.5Sv33A7G8ya3xTI542nq');
+INSERT INTO empleado (cod_empleado,cod_distrito,cod_estado,nombre,apellidos,dni,direccion,telefono,email,usuario,contrasena) VALUES ('EM10001','DI01','ES2','KEVIN','B','00000000','DIRECCION','9999999','paledot01@gmail.com','kevinB','$2a$10$Jtfxa0EuEjZrfQ4OvR4WbuqD00OBIfIp.5Sv33A7G8ya3xTI542nq'); --pass: admin
+INSERT INTO empleado (cod_empleado,cod_distrito,cod_estado,nombre,apellidos,dni,direccion,telefono,email,usuario,contrasena) VALUES ('EM10002','DI02','ES2','PEDRO','C','11111111','DIRECCION2','8888888','pedro@gmail.com','pedroC','$2a$10$XoXoVkCDdDGeMHkDfM0/8.Q6Einje7.SWZiyggAv/XMMNKw89wFI2'); -- pass: 123
 
 -- EMPLEADO-ROL -> SELECT * FROM empleado_rol;
 INSERT INTO empleado_rol (cod_rol,cod_empleado) VALUES ('RL01','EM10001');
 INSERT INTO empleado_rol (cod_rol,cod_empleado) VALUES ('RL02','EM10001');
+INSERT INTO empleado_rol (cod_rol,cod_empleado) VALUES ('RL02','EM10002');
 
 -- MARCA -> SELECT * FROM marca;  --> DELETE FROM marca WHERE cod_marca = 'MA10002';  --> UPDATE marca SET field='C', field2='Z' WHERE id=3;
 INSERT INTO marca (cod_marca, nombre_marca) VALUES ('MA10001','Calimod');

pom.xml

@@ -64,6 +64,15 @@
 			<artifactId>jasperreports</artifactId>
 			<version>6.19.0</version>
 		</dependency>
+		<dependency>
+			<groupId>org.springframework.boot</groupId>
+			<artifactId>spring-boot-starter-security</artifactId>
+		</dependency>
+		<dependency>
+			<groupId>org.springframework.security</groupId>
+			<artifactId>spring-security-test</artifactId>
+			<scope>test</scope>
+		</dependency>
 	</dependencies>
 
 	<build>

src/main/java/com/cibertec/shoesformen_api/controller/DistritoController.java

@@ -26,12 +26,12 @@ public class DistritoController {
     private DistritoRepository distritoRepo;
 
 
-    @GetMapping()
-    public List<Distrito> all() {
-        return distritoRepo.findAll();
-    }
+//    @GetMapping() // LISTAR -> SIN PAGINACION
+//    public List<Distrito> all() {
+//        return distritoRepo.findAll();
+//    }
 
-    @GetMapping("/list")
+    @GetMapping() // LISTA -> CON PAGINACION
     public ResponseEntity<List<Distrito>> getAllEmployees(
             @RequestParam(defaultValue = "0") Integer pageNo,
             @RequestParam(defaultValue = "3") Integer pageSize,

src/main/java/com/cibertec/shoesformen_api/exception/ApplicationExceptionHandler.java

@@ -17,7 +17,6 @@
 @RestControllerAdvice
 public class ApplicationExceptionHandler {
 
-
     // Cuando la lista que devuelve esta vacia.
     @ExceptionHandler({ListEmptyException.class})
     public ResponseEntity<Objects> handleListEmptyException(ListEmptyException ex) {
@@ -33,7 +32,7 @@ public Map<String, String> handleFoundException(IllegalArgumentException ex) {
         return errorMap;
     }
 
-    // Cuando no encuentra la propiedad de una entidad
+    // Cuando no encuentra la propiedad dentro de la entidad respectiva
     @ResponseStatus(HttpStatus.BAD_REQUEST)
     @ExceptionHandler({PropertyReferenceException.class})
     public Map<String, String> handlePropertyFoundException(PropertyReferenceException ex) {

src/main/java/com/cibertec/shoesformen_api/security/EmpleadoDetailsService.java

@@ -0,0 +1,41 @@
+package com.cibertec.shoesformen_api.security;
+
+import com.cibertec.shoesformen_api.model.Empleado;
+import com.cibertec.shoesformen_api.model.Rol;
+import com.cibertec.shoesformen_api.repository.EmpleadoRepository;
+import org.springframework.beans.factory.annotation.Autowired;
+import org.springframework.security.core.GrantedAuthority;
+import org.springframework.security.core.authority.SimpleGrantedAuthority;
+import org.springframework.security.core.userdetails.User;
+import org.springframework.security.core.userdetails.UserDetails;
+import org.springframework.security.core.userdetails.UserDetailsService;
+import org.springframework.security.core.userdetails.UsernameNotFoundException;
+import org.springframework.stereotype.Service;
+import org.springframework.transaction.annotation.Transactional;
+
+import java.util.ArrayList;
+import java.util.List;
+
+@Service
+public class EmpleadoDetailsService implements UserDetailsService {
+
+    @Autowired
+    private EmpleadoRepository empleadoRepo;
+
+    @Override
+    @Transactional(readOnly = true)
+    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
+        Empleado emp = empleadoRepo.findByUsuario(username);
+        List<GrantedAuthority> autorizacion = new ArrayList<>();
+
+        if(emp == null) throw new UsernameNotFoundException("Usuario o password inválidos GAAAA");
+
+        for(Rol rol : emp.getRoles() ) {
+            autorizacion.add(new SimpleGrantedAuthority(rol.getNombreRol()));
+        }
+        System.out.println(emp);
+        System.out.println(autorizacion);
+        return new User(emp.getUsuario(), emp.getContrasena(), true, true, true, true, autorizacion); // user, pass, roles
+    }
+
+}

src/main/java/com/cibertec/shoesformen_api/security/SecurityConfiguration.java

@@ -0,0 +1,58 @@
+package com.cibertec.shoesformen_api.security;
+
+import org.springframework.beans.factory.annotation.Autowired;
+import org.springframework.context.annotation.Bean;
+import org.springframework.context.annotation.Configuration;
+import org.springframework.http.HttpMethod;
+import org.springframework.security.authentication.AuthenticationProvider;
+import org.springframework.security.authentication.dao.DaoAuthenticationProvider;
+import org.springframework.security.config.annotation.web.builders.HttpSecurity;
+import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
+import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
+import org.springframework.security.crypto.password.PasswordEncoder;
+import org.springframework.security.web.SecurityFilterChain;
+
+@Configuration
+@EnableWebSecurity // si no lo anoto en alguna de mis clases la aplicacion pedirá nombre de usuario y contraseña
+public class SecurityConfiguration {
+
+    @Autowired
+    private EmpleadoDetailsService empleadoDetails;
+
+    @Bean
+    public PasswordEncoder encriptador() {
+        // return NoOpPasswordEncoder.getInstance(); --> este codigo permite leer contraseñas sin codificar.
+        return new BCryptPasswordEncoder(); // --> valida que las constraseñas sean del tipo BCryptPasswordEncoder
+    }
+
+    @Bean
+    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception{
+        // Tenga en cuenta que el orden de los elementos antMatchers() es significativo; las reglas más
+        // específicas deben ir primero, seguidas de las más generales(permitAll)
+        http.httpBasic().and().authorizeHttpRequests()
+                .requestMatchers(HttpMethod.POST,"/empleados").hasAnyRole("ADMIN") // solo los ADMIN pueden utilizar los POST, PUT, DELETE
+                .requestMatchers(HttpMethod.PUT,"/empleados/**").hasAnyRole("ADMIN")
+                .requestMatchers(HttpMethod.DELETE,"/empleados/**").hasAnyRole("ADMIN")
+                .requestMatchers(HttpMethod.PUT,"/empresa/**").hasAnyRole("ADMIN")
+                .requestMatchers(HttpMethod.GET,"/empleados").hasAnyRole("ADMIN","USER") // tanto los USER y ADMIN pueden utilizar los GET
+                .requestMatchers(HttpMethod.GET,"/empleados/**").hasAnyRole("ADMIN","USER")
+                .requestMatchers(HttpMethod.GET,"/distritos").hasAnyRole("ADMIN","USER")
+                .requestMatchers(HttpMethod.GET,"/empresa").hasAnyRole("ADMIN","USER")
+                .requestMatchers("/").hasAnyRole("ADMIN","USER")
+                .requestMatchers("/img/**","/js/**","/css/**").permitAll()
+//                .and().formLogin().successHandler(sucessHandler).loginPage("/login").loginProcessingUrl("/login")
+//                .defaultSuccessUrl("/",true).permitAll()
+//                .and().logout().clearAuthentication(true).invalidateHttpSession(true).logoutSuccessUrl("/login?logout").permitAll() //.logoutRequestMatcher(new AntPathRequestMatcher("/logout")).deleteCookies("JSESSIONID") // url[logout es el parametro que se envia] - para que no invalide la session - eliminar cookies.
+                .and().csrf().disable(); // <-------- CSRF bloquea los metodos POST, y esta habilitado por defecto
+        return http.build();
+    }
+
+    @Bean
+    public AuthenticationProvider authenticationProvider() {
+        DaoAuthenticationProvider auth = new DaoAuthenticationProvider();
+        auth.setUserDetailsService(empleadoDetails);
+        auth.setPasswordEncoder(encriptador());
+        return auth;
+    }
+
+}

src/main/java/com/cibertec/shoesformen_api/service/EmpleadoServiceImpl.java

@@ -29,6 +29,7 @@
 import org.springframework.data.domain.Sort;
 import org.springframework.data.mapping.PropertyReferenceException;
 import org.springframework.http.HttpHeaders;
+import org.springframework.security.crypto.password.PasswordEncoder;
 import org.springframework.stereotype.Service;
 
 import java.io.FileInputStream;
@@ -51,6 +52,8 @@ public class EmpleadoServiceImpl implements EmpleadoService{
     private EmpresaRepository empresaRepo;
     @Autowired
     private Validator validator;
+    @Autowired
+    private PasswordEncoder encriptador;
 
 //    LISTA NORMAL
 //    @Override
@@ -140,7 +143,7 @@ public Empleado buildEmpleado(EmpleadoDTO dto) throws IllegalArgumentException {
                 dto.getTelefono(),
                 dto.getEmail(),
                 dto.getUsuario(),
-                dto.getContrasena(),
+                encriptador.encode(dto.getContrasena()), // -> encriptamos la contraseña
                 Arrays.asList(rol.get()));
         return empleado;
     }