続きです。Quitaの記事の編集にも少しづつ慣れてきました。
今回はアプリからDB接続をトライしていきます。
せっかくなのでSpring Securityを使用してログイン機能を実装していこうと思います。
セキュリティに関しては色々考慮する必要があるかと思います。
参考になった記事を備忘までに置いておきます。
・新人の作ったWebアプリが穴だらけ!? ログイン画面に潜むセキュリティの”あるある”ワナ
・Spring Securityを使ったWebアプリケーションの基本① 〜ログイン機能の実装〜
・ログイン機能とは|仕組みや必要性、実装時の手順について
・WEBアプリのログイン機構のセキュリティチェック観点
まとめると以下(初心者ステップ)
・パスワードの暗号化
・ログイン画面のパスワードのマスキング
・ログインエラーは必ずしも理由が明確にわかればよいわけではない
・SQLインジェクションへの考慮
この辺りは意識していきたいなと思います。
二段階認証とかもやってみたいですが
その辺りのセキュリティ対策は追々とします。
Spring Securityとは、は以下で分かりやすく説明してくれていました。
アプリケーション自体は作成済みなので以下の流れで進めていきます
1.DBテーブルの用意
2.Spring Security依存関係の追加
3.ログイン画面の実装
4.デプロイ
1.DBテーブルの用意
Spring Securityでは「パスワード」はハッシュ化して保存せよ、と推奨されているのでパスワードのカラムは必須です。
パスワードが紐づくキーとして「ユーザID」を設定します。
後々ロールなども考えていきたいのでカラムとして保持しますがここは一旦適当な値を入れて置き、後ほどロール定義用のテーブルを設定することとします。
命名規則についてはプロジェクトごとの定義があると思いますが
今回はこちらを参考にしました。
CREATE TABLE users(
user_id VARCHAR (255) NOT NULL COMMENT 'ユーザID'
, role_code INT NOT NULL COMMENT '権限コード'
, last_name VARCHAR (255) NOT NULL COMMENT '姓'
, first_name VARCHAR (255) NOT NULL COMMENT '名'
, last_name_kana VARCHAR (255) COMMENT '姓(カナ)'
, first_name_kana VARCHAR (255) COMMENT '名(カナ)'
, password VARCHAR (255) NOT NULL COMMENT 'パスワード'
, email VARCHAR (255) COMMENT 'メールアドレス'
, created_at DATETIME NOT NULL COMMENT '初期登録日時'
, created_user VARCHAR (255) NOT NULL COMMENT '初期登録者'
, update_at DATETIME NOT NULL COMMENT '最終更新日時'
, update_user VARCHAR (255) NOT NULL COMMENT '最終更新者'
, valid_flag BOOLEAN NOT NULL COMMENT '有効フラグ'
, version INT NOT NULL COMMENT 'バージョン'
, PRIMARY KEY (user_id)
, UNIQUE KEY (user_id)
) DEFAULT CHARSET = utf8;
上記を実行してテーブルの登録が完了しました。
データはひとまず入れずに、次に進みます。
2.Spring Security依存関係の追加
pom.xmlに記述のある以下をダブルクリックすると
依存関係が追加できるウィンドウが出てきました。便利。
「次へ」で追加を完了しました。
3.ログイン画面の実装
これは以下を参考にして実装しました。
DB接続値は環境変数を使用して環境ごとの設定値の変動を許容します。
参考
他にもいろいろハマりかけましたが、多いので記事の最後にまとめています。
4.デプロイ
デプロイ前に本番環境でDBを作成し、環境変数を設定します。
色々躓きまして、大変な思いをしました。
railwayの開設をしているサイトが少ないのでどなたかの助けになればと思います。
まず、railway上で作成したアプリケーションの階層にある
「+Create」からMySQLのDBを作成しました。
サイト上でテーブルを作成しましたが、型の指定にVARCHARがないので
コマンドプロンプトでrailwayで作成したDBに接続して
ローカルで作成したときに使用したCREATE TABLEコマンドでテーブル作成をしました。
接続コマンドはrailway上で確認できます。
以下の「Connect」から「Public Network」タブを参照すると
「Raw mysql command」がありますのでそちらを使用してください。
コマンドプロンプトから接続してテーブルを作成したら環境変数の設定です。
application.propertiesには以下のように定義しています。
# データベースに接続するためのURL
spring.datasource.url=${DATASOURCE_URL}
# データベースに接続するためのユーザー名
spring.datasource.username=${DATASOURCE_USERNAME}
# データベースに接続するためのパスワードを設定
spring.datasource.password=${DATASOURCE_PASSWORD}
なので本番環境となるrailwayでも同じ名前の環境変数で値を設定してあげる必要があります。
ホスト名とポートは不要でしたが一応設定しました。
railway公式ではrailway内のサービスであれば
固有のバインド変数を使用して変数の参照ができるとのことでしたが
うまくできなかったのでべた書きで設定しました。
値はDBの持っている変数に記載がある内容で設定しました。
ここでハマったのがURLです。
上記の画像にある「MYSQL_URL」の値を
アプリから参照する「DATASOURCE_URL」として設定しましたが
デプロイ後に以下のエラーが発生しました。
HikariPool-1 - Starting...
No event was found for the exception org.springframework.security.authentication.InternalAuthenticationServiceException
ERROR UsernamePasswordAuthenticationFilter : An internal error occurred while trying to authenticate the user.
org.springframework.security.authentication.InternalAuthenticationServiceException: Driver com.mysql.cj.jdbc.Driver claims to not accept jdbcUrl, mysql://root:*****@autorack.proxy.rlwy.net:*****/*****
mysql://root:*****@autorack.proxy.rlwy.net:*****/*****
(*****はマスキングですのでログ上は環境変数に設定した通り出力されました)
上記が「DATASOURCE_URL」として設定したURLですが
接続できんよ、と言われています。
大体このエラーは接続情報の設定誤りが原因ですが色々確認しても原因がわからずハマりました。
結論として、URLの頭に「jdbc:」がないことが原因でした。
色々な記事をみて「mysql:」を「mysql2:」にしたり
変数の値を変えてみたりしましたが単純なことでした。
デプロイしてアプリに接続
ユーザマスタは空のはずなので「新規登録」からアカウントを発行
ログインできることを確認しました。
これで一旦環境は整いました。
次回はアプリ機能を充実させていきます。
実装時にハマりかけた箇所のTips
★javaxがなくエラーとなる
先のリンクを参考にして実装を進める中でjavax指定のライブラリが見つからないエラーがありまして、調べたところSpringBootのバージョンの問題で別のものに置き換わっていたことがわかりました。
★DB接続がタイムアウトする
解決まで結構時間がかかりました。
出ていたエラーは以下。
HikariPool-7 - Starting...
SQL Error: 0, SQLState: 08S01
Communications link failure
~中略~
The last packet sent successfully to the server was 0 milliseconds ago. The driver has not received any packets from the server.] [n/a]
最終的にはapplication.propertiesに以下の記載を追加して解決しました。
# タイムアウト
spring.datasource.hikari.connection-timeout=600
★antMatchersが使用できない
SpringSecurityのセキュリティ内容を記載するSecurityConfig.javaのコーディングです。
antMatchersが使えませんでしたがバージョンの問題でお作法が変わっていました。
★cssが適用されない
かなり時間を要しました。
SpringSecurityのセキュリティによってアクセスが制御されてしまっているため
css/style.cssにアクセスできず以下のエラーが画面側で発生していました。
Refused to apply style from 'http://localhost:8080/login' because its MIME type ('text/html') is not a supported stylesheet MIME type, and strict MIME checking is enabled.
色々なところに記載があるようにSecurityConfig.javaにcssとimgだけ対象外とするように記載すると解決するとありましたが、うまくいかなかったため
最終的にcssをHTMLに直書きする形にしました。
imgを使用するときに鬼門になるかもしれませんが一旦保留とします。
解決策をご存じの方はご教授ください...。