Как начать работу с Spring Boot и SAML

Spring — давний друг корпоративных компаний по всему миру. Когда в 2014 году появился Spring Boot, он значительно упростил настройку приложения Spring. Это привело к широкому внедрению и продолжению инвестиций в связанные проекты Spring.

Один из моих любимых проектов Spring — Spring Security. В большинстве случаев это упрощает веб-безопасность до нескольких строк кода. HTTP Basic, JDBC, JWT, OpenID Connect/OAuth 2.0, что угодно — Spring Security делает это!

Вы могли заметить, что я не упомянул SAML как тип аутентификации. Это потому, что я не рекомендую это. Спецификация SAML 2.0 была опубликована в марте 2005 г., еще до появления смартфонов или интеллектуальных устройств. OpenID Connect Connect (OIDC) намного проще в использовании и понимании для разработчиков. Использование SAML в 2022 году похоже на реализацию веб-сервиса с использованием WS-* вместо REST.

Моя рекомендация: просто используйте OIDC.

Если вам необходимо использовать SAML с Spring Boot, это руководство поможет вам сделать это быстро и легко.

Что такое САМЛ?

Язык разметки утверждений безопасности — это основанный на XML способ выполнения веб-аутентификации и авторизации. Он работает между доменами, поэтому приложения SaaS и другое корпоративное программное обеспечение часто его поддерживают.

Добавить SAML-приложение на Okta

Для начала вам понадобится учетная запись разработчика Okta. Вы можете создать его на странице developer.okta.com/signup или установить Okta CLI и запустить okta register.

Затем войдите в свою учетную запись и перейдите в Приложения > Создать интеграцию приложений . Выберите SAML 2.0 и нажмите «Далее» . Назовите свое приложение примерно так Spring Boot SAMLи нажмите «Далее » .

Используйте следующие настройки:

  • URL-адрес единого входа:http://localhost:8080/login/saml2/sso/okta
  • Используйте это для URL-адреса получателя и URL-адреса назначения: ✅ (по умолчанию)
  • URI аудитории:http://localhost:8080/saml2/service-provider-metadata/okta

Затем нажмите «Далее» . Выберите следующие параметры:

  • Я клиент Okta, добавляющий внутреннее приложение
  • Это внутреннее приложение, которое мы создали

Выберите Готово .

Okta создаст ваше приложение, и вы будете перенаправлены на его вкладку « Вход ». Прокрутите вниз до сертификатов подписи SAML и выберите SHA-2 > Действия > Просмотреть метаданные IdP . Вы можете щелкнуть правой кнопкой мыши и скопировать ссылку этого пункта меню или открыть его URL-адрес. Скопируйте полученную ссылку в буфер обмена. Это должно выглядеть примерно так:

https://dev-13337.okta.com/app/<random-characters>/sso/saml/metadata

Перейдите на вкладку « Назначение » вашего приложения и назначьте доступ группе « Все ».

Создайте приложение Spring Boot с поддержкой SAML

Для Spring Boot 3 требуется Java 17. Вы можете установить его с помощью SDKMAN:

sdk install java 17-open

Самый простой способ сделать это руководство — клонировать существующий пример приложения Spring Boot, который я создал.

git clone https://github.com/oktadev/okta-spring-boot-saml-example.git

Если вы предпочитаете начать с нуля, вы можете создать совершенно новое приложение Spring Boot, используя start.spring.io . Выберите следующие параметры:

Проект: Градл

Весенняя загрузка: 3.0.0 (СНИМОК)

Зависимости: Spring Web , Spring Security , Thymeleaf

start.spring.io

Вы также можете использовать этот URL или HTTPie:

https start.spring.io/starter.zip bootVersion==3.0.0-SNAPSHOT \
  dependencies==web,security,thymeleaf type==gradle-project \
  baseDir==spring-boot-saml | tar -xzvf -

Если вы создали совершенно новое приложение, вам необходимо выполнить следующие шаги:

Добавить src/main/java/com/example/demo/HomeController.javaдля заполнения информации о аутентифицированном пользователе.

package com.example.demo;

import org.springframework.security.core.annotation.AuthenticationPrincipal;
import org.springframework.security.saml2.provider.service.authentication.Saml2AuthenticatedPrincipal;
import org.springframework.stereotype.Controller;
import org.springframework.ui.Model;
import org.springframework.web.bind.annotation.RequestMapping;

@Controller
public class HomeController {

    @RequestMapping("/")
    public String home(@AuthenticationPrincipal Saml2AuthenticatedPrincipal principal, Model model) {
        model.addAttribute("name", principal.getName());
        model.addAttribute("emailAddress", principal.getFirstAttribute("email"));
        model.addAttribute("userAttributes", principal.getAttributes());
        return "home";
    }

}

Создайте src/main/resources/templates/home.htmlфайл для отображения информации о пользователе.

<!DOCTYPE html>
<html xmlns="http://www.w3.org/1999/xhtml" xmlns:th="https://www.thymeleaf.org"
      xmlns:sec="https://www.thymeleaf.org/thymeleaf-extras-springsecurity6">
<head>
    <title>Spring Boot and SAML</title>
    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8"/>
</head>
<body>

<h1>Welcome</h1>
<p>You are successfully logged in as <span sec:authentication="name"></span></p>
<p>Your email address is <span th:text="${emailAddress}"></span>.</p>
<p>Your authorities are <span sec:authentication="authorities"></span>.</p>
<h2>All Your Attributes</h2>
<dl th:each="userAttribute : ${userAttributes}">
    <dt th:text="${userAttribute.key}"></dt>
    <dd th:text="${userAttribute.value}"></dd>
</dl>

<form th:action="@{/logout}" method="post">
    <button id="logout" type="submit">Logout</button>
</form>

</body>
</html>

Создайте src/main/resources/application.ymlфайл, содержащий URI метаданных, который вы скопировали в Добавление приложения SAML на Okta . Это значение должно заканчиваться на /sso/saml/metadata.

spring:
  security:
    saml2:
      relyingparty:
        registration:
          okta:
            assertingparty:
              metadata-uri: <your-metadata-uri>

Затем измените build.gradleиспользование thymeleaf-extras-springsecurity6вместо thymeleaf-extras-springsecurity5и добавьте зависимость Spring Security SAML:

implementation 'org.thymeleaf.extras:thymeleaf-extras-springsecurity6'
implementation 'org.springframework.security:spring-security-saml2-service-provider'

Если вы клонировали из GitHub, вам нужно только обновить application.yml, чтобы включить URI метаданных. Вы можете удалить другие свойства, так как они могут вызвать проблемы.

Запустите приложение и авторизуйтесь

Запустите приложение Spring Boot из IDE или с помощью командной строки:

./gradlew bootRun

Откройте http://localhost:8080в своем любимом браузере и войдите в систему с учетными данными, которые вы использовали для создания учетной записи.

Вы должны увидеть успешный результат в своем браузере.

Войти успешно

Если вы попытаетесь выйти из системы, это не сработает. Давайте исправим это.

Добавить функцию выхода

Поддержка SAML в Spring Security имеет функцию выхода из системы , для настройки которой требуется немного времени. Сначала отредактируйте свое приложение на Okta и перейдите в раздел « Основные » > «Настройки SAML » > « Редактировать » .

Перейдите к шагу « Настройка SAML » и « Показать дополнительные параметры» . Прежде чем вы сможете включить единый выход, вам необходимо создать и загрузить сертификат для подписи исходящего запроса на выход.

Вы можете создать закрытый ключ и сертификат с помощью OpenSSL. Ответьте хотя бы на один из вопросов со значением, и это должно сработать.

openssl req -newkey rsa:2048 -nodes -keyout local.key -x509 -days 365 -out local.crt

Скопируйте сгенерированные файлы в src/main/resourcesкаталог вашего приложения. Настроить signingи singlelogoutв application.yml:

spring:
  security:
    saml2:
      relyingparty:
        registration:
          okta:
            assertingparty:
              ...
            signing:
              credentials:
                - private-key-location: classpath:local.key
                  certificate-location: classpath:local.crt
            singlelogout:
              binding: POST
              response-url: "{baseUrl}/logout/saml2/slo"

Загрузите в local.crtсвое приложение Okta. Выберите « Включить единый выход» и используйте следующие значения:

Единый URL-адрес выхода:http://localhost:8080/logout/saml2/slo

Эмитент СП:http://localhost:8080/saml2/service-provider-metadata/okta

Завершите настройку приложения Okta, перезапустите приложение Spring Boot, и кнопка выхода должна работать.

Выйти успешно

Настройка полномочий с помощью Spring Security SAML

Вы можете заметить, что при входе в систему на появившейся странице показано, что у вас есть ROLE_USERполномочия. Однако, когда вы назначали пользователей приложению, вы давали доступ к файлам Everyone. Вы можете настроить приложение SAML на Okta для отправки групп пользователей в качестве атрибута. Вы также можете добавить другие атрибуты, такие как имя и адрес электронной почты.

Отредактируйте настройки SAML вашего приложения Okta и заполните раздел Заявления об атрибутах группы .

Имя:groups

Формат имени:Unspecified

Фильтр: Matches regexи использовать .*для значения

Чуть выше вы можете добавить другие операторы атрибутов. Например:

ИмяФормат имениЦенность
emailUnspecifieduser.email
firstNameUnspecifieduser.firstName
lastNameUnspecifieduser.lastName

Сохраните эти изменения.

Если вы ранее клонировали репозиторий, перезапустите приложение и войдите в систему, чтобы группы ваших пользователей отображались как авторитетные.

Если вы создали приложение Spring Boot с нуля, создайте SecurityConfigurationкласс, который переопределяет конфигурацию по умолчанию и использует преобразователь для преобразования значений groupsатрибута в полномочия Spring Security.

src/main/java/com/example/demo/SecurityConfiguration.java

package com.example.demo;

import java.util.HashSet;
import java.util.List;
import java.util.Set;

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.core.convert.converter.Converter;
import org.springframework.security.authentication.ProviderManager;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.saml2.provider.service.authentication.OpenSaml4AuthenticationProvider;
import org.springframework.security.saml2.provider.service.authentication.OpenSaml4AuthenticationProvider.ResponseToken;
import org.springframework.security.saml2.provider.service.authentication.Saml2AuthenticatedPrincipal;
import org.springframework.security.saml2.provider.service.authentication.Saml2Authentication;
import org.springframework.security.web.SecurityFilterChain;

import static org.springframework.security.config.Customizer.withDefaults;

@Configuration
public class SecurityConfiguration {

    @Bean
    SecurityFilterChain configure(HttpSecurity http) throws Exception {

        OpenSaml4AuthenticationProvider authenticationProvider = new OpenSaml4AuthenticationProvider();
        authenticationProvider.setResponseAuthenticationConverter(groupsConverter());

        // @formatter:off
        http
            .authorizeHttpRequests(authorize -> authorize
                .mvcMatchers("/favicon.ico").permitAll()
                .anyRequest().authenticated()
            )
            .saml2Login(saml2 -> saml2
                .authenticationManager(new ProviderManager(authenticationProvider))
            )
            .saml2Logout(withDefaults());
        // @formatter:on

        return http.build();
    }

    private Converter<OpenSaml4AuthenticationProvider.ResponseToken, Saml2Authentication> groupsConverter() {

        Converter<ResponseToken, Saml2Authentication> delegate =
            OpenSaml4AuthenticationProvider.createDefaultResponseAuthenticationConverter();

        return (responseToken) -> {
            Saml2Authentication authentication = delegate.convert(responseToken);
            Saml2AuthenticatedPrincipal principal = (Saml2AuthenticatedPrincipal) authentication.getPrincipal();
            List<String> groups = principal.getAttribute("groups");
            Set<GrantedAuthority> authorities = new HashSet<>();
            if (groups != null) {
                groups.stream().map(SimpleGrantedAuthority::new).forEach(authorities::add);
            } else {
                authorities.addAll(authentication.getAuthorities());
            }
            return new Saml2Authentication(principal, authentication.getSaml2Response(), authorities);
        };
    }
}
 Возможно, вы сможете удалить permitAll()значок значка, потому что это было недавно исправлено в Spring Security .

Наконец, измените свой build.gradleфайл, чтобы установить последнюю версию Open SAML, которая работает с Spring Security 6.

repositories {
    ...
    maven { url "https://build.shibboleth.net/nexus/content/repositories/releases/" }
}

dependencies {
    constraints {
        implementation "org.opensaml:opensaml-core:4.1.1"
        implementation "org.opensaml:opensaml-saml-api:4.1.1"
        implementation "org.opensaml:opensaml-saml-impl:4.1.1"
    }
    ...
}

Теперь, если вы перезапустите свое приложение и войдете в систему, вы должны увидеть группы ваших пользователей как авторитетные. Ура!

Группы как авторитеты

Добавить поддержку Auth0

Знаете ли вы, что Auth0 также поддерживает приложения SAML? Auth0 упрощает настройку, поскольку его веб-приложения по умолчанию поддерживают OIDC и SAML.

Зарегистрируйте учетную запись Auth0 или войдите в существующую. Перейдите в Приложения > Создать приложение > Обычные веб-приложения > Создать .

Выберите вкладку « Настройки » и измените имя на Spring Boot SAML. Добавить http://localhost:8080/login/saml2/sso/auth0в качестве разрешенного URL-адреса обратного вызова .

Прокрутите вниз, разверните Расширенные настройки и перейдите в Конечные точки . Скопируйте значение URL метаданных SAML . Вам это скоро понадобится. Выберите Сохранить изменения .

Если вы настроили свое приложение для использования этих значений, аутентификация будет работать, но вы не сможете выйти из системы. Прокрутите страницу вверх, выберите « Дополнения » и включите SAML.

Выберите вкладку « Настройки » и измените (с комментариями) JSON следующим образом:

{
  "logout": {
    "callback": "http://localhost:8080/logout/saml2/slo",
    "slo_enabled": true
  }
}

Прокрутите вниз и нажмите « Включить» .

Измените свой application.ymlна использование auth0вместо oktaи скопируйте в него URL-адрес метаданных SAML .

spring:
  security:
    saml2:
      relyingparty:
        registration:
          auth0:
            assertingparty:
              metadata-uri: <your-auth0-metadata-uri>
            signing:
              credentials:
                - private-key-location: classpath:local.key
                  certificate-location: classpath:local.crt
            singlelogout:
              binding: POST
              response-url: "{baseUrl}/logout/saml2/slo"

Перезапустите приложение, и вы сможете войти в систему с помощью Auth0.

Вход Auth0 выполнен успешно

Вы можете заметить, что адрес электронной почты и полномочия рассчитываются неправильно. Это связано с тем, что имена утверждений изменились с Auth0. Обновите SecurityConfiguration#groupsConverter(), чтобы разрешить имена Okta и Auth0 для групп.

private Converter<OpenSaml4AuthenticationProvider.ResponseToken, Saml2Authentication> groupsConverter() {

    ...

    return (responseToken) -> {
        ...
        List<String> groups = principal.getAttribute("groups");
        // if groups is not preset, try Auth0 attribute name
        if (groups == null) {
            groups = principal.getAttribute("http://schemas.auth0.com/roles");
        }
        ...
    };
}

Чтобы Auth0 заполнил группы пользователей, перейдите в Auth Pipeline > Rules и создайте новое правило. Выберите шаблон Пустое правило. Укажите значимое имя, например Groups claim, замените Scriptсодержимое следующим и сохраните .

function(user, context, callback) {
  user.preferred_username = user.email;
  const roles = (context.authorization || {}).roles;

  function prepareCustomClaimKey(claim) {
    return `${claim}`;
  }

  const rolesClaim = prepareCustomClaimKey('roles');

  if (context.idToken) {
    context.idToken[rolesClaim] = roles;
  }

  if (context.accessToken) {
    context.accessToken[rolesClaim] = roles;
  }

  callback(null, user, context);
}

Затем измените, HomeControllerчтобы разрешить имя атрибута электронной почты Auth0.

public class HomeController {

    @RequestMapping("/")
    public String home(@AuthenticationPrincipal Saml2AuthenticatedPrincipal principal, Model model) {
        model.addAttribute("name", principal.getName());
        String email = principal.getFirstAttribute("email");
        // if email is not preset, try Auth0 attribute name
        if (email == null) {
            email = principal.getFirstAttribute("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress");
        }
        model.addAttribute("emailAddress", email);
        model.addAttribute("userAttributes", principal.getAttributes());
        return "home";
    }

}

Перезапустите приложение, войдите в систему, и все должно работать как положено.

Auth0 группы

Поддержка Okta и Auth0

Вы также можете поддерживать как Okta, так и Auth0! Измените свой application.yml, чтобы он выглядел следующим образом, и Spring Security предложит вам, с каким из них войти в систему. Значения &nameи *nameиспользуются для установки и извлечения блоков YAML, чтобы избежать повторения.

spring:
  security:
    saml2:
      relyingparty:
        registration:
          auth0:
            assertingparty:
              metadata-uri: <your-auth0-metadata-uri>
            signing:
              credentials: &signing-credentials
                - private-key-location: classpath:local.key
                  certificate-location: classpath:local.crt
            singlelogout: &logout-settings
              binding: POST
              response-url: "{baseUrl}/logout/saml2/slo"
          okta:
            assertingparty:
              metadata-uri: <your-okta-metadata-uri>
            signing:
              credentials: *signing-credentials
            singlelogout: *logout-settings

Если вы перезапустите приложение с этими настройками, вам будет предложено ввести оба варианта при первом нажатии http://localhost:8080.

Okta И Auth0 войти!

Развертывание в рабочей среде

Один из быстрых способов увидеть, как это приложение работает в производственной среде, — развернуть его на Heroku. Установите интерфейс командной строки Heroku и создайте учетную запись, чтобы начать. Затем выполните следующие действия, чтобы подготовить и развернуть приложение.

  1. Создайте новое приложение на Heroku, используя heroku create.
  2. Создайте system.propertiesфайл в корневом каталоге вашего приложения, чтобы принудительно установить Java 17:
java.runtime.version=17

3. Создайте Procfile, указывающий, как запускать ваше приложение:

web: java -Xmx256m -jar build/libs/*.jar --server.port=$PORT

4. Зафиксируйте свои изменения:

git add .
git commit -m "Add Heroku configuration"

5. Установите задачу Gradle для сборки вашего приложения:

heroku config:set GRADLE_TASK="bootJar"

6. Разверните в рабочей среде с помощью Git:

git push heroku main

Чтобы аутентификация работала с SAML, вам необходимо обновить приложения Okta и Auth0, чтобы использовать URL вашего приложения Heroku вместо http://localhost:8080, где это применимо.

Узнайте больше о Spring Boot и Spring Security

Надеюсь, вам понравилось узнавать, как использовать Spring Security для добавления аутентификации SAML. Интеграция была такой же простой, как настройка URI метаданных, и стала еще сложнее, когда вы добавили функцию выхода из системы. Возможность преобразовывать группы из вашего поставщика удостоверений в авторитетные тоже очень удобна!

Ссылка: https://developer.okta.com/blog/2022/08/05/spring-boot-saml#what-is-saml

#springboot #java #saml

What is GEEK

Buddha Community

Как начать работу с Spring Boot и SAML

Enhance Amazon Aurora Read/Write Capability with ShardingSphere-JDBC

1. Introduction

Amazon Aurora is a relational database management system (RDBMS) developed by AWS(Amazon Web Services). Aurora gives you the performance and availability of commercial-grade databases with full MySQL and PostgreSQL compatibility. In terms of high performance, Aurora MySQL and Aurora PostgreSQL have shown an increase in throughput of up to 5X over stock MySQL and 3X over stock PostgreSQL respectively on similar hardware. In terms of scalability, Aurora achieves enhancements and innovations in storage and computing, horizontal and vertical functions.

Aurora supports up to 128TB of storage capacity and supports dynamic scaling of storage layer in units of 10GB. In terms of computing, Aurora supports scalable configurations for multiple read replicas. Each region can have an additional 15 Aurora replicas. In addition, Aurora provides multi-primary architecture to support four read/write nodes. Its Serverless architecture allows vertical scaling and reduces typical latency to under a second, while the Global Database enables a single database cluster to span multiple AWS Regions in low latency.

Aurora already provides great scalability with the growth of user data volume. Can it handle more data and support more concurrent access? You may consider using sharding to support the configuration of multiple underlying Aurora clusters. To this end, a series of blogs, including this one, provides you with a reference in choosing between Proxy and JDBC for sharding.

1.1 Why sharding is needed

AWS Aurora offers a single relational database. Primary-secondary, multi-primary, and global database, and other forms of hosting architecture can satisfy various architectural scenarios above. However, Aurora doesn’t provide direct support for sharding scenarios, and sharding has a variety of forms, such as vertical and horizontal forms. If we want to further increase data capacity, some problems have to be solved, such as cross-node database Join, associated query, distributed transactions, SQL sorting, page turning, function calculation, database global primary key, capacity planning, and secondary capacity expansion after sharding.

1.2 Sharding methods

It is generally accepted that when the capacity of a MySQL table is less than 10 million, the time spent on queries is optimal because at this time the height of its BTREE index is between 3 and 5. Data sharding can reduce the amount of data in a single table and distribute the read and write loads to different data nodes at the same time. Data sharding can be divided into vertical sharding and horizontal sharding.

1. Advantages of vertical sharding

  • Address the coupling of business system and make clearer.
  • Implement hierarchical management, maintenance, monitoring, and expansion to data of different businesses, like micro-service governance.
  • In high concurrency scenarios, vertical sharding removes the bottleneck of IO, database connections, and hardware resources on a single machine to some extent.

2. Disadvantages of vertical sharding

  • After splitting the library, Join can only be implemented by interface aggregation, which will increase the complexity of development.
  • After splitting the library, it is complex to process distributed transactions.
  • There is a large amount of data on a single table and horizontal sharding is required.

3. Advantages of horizontal sharding

  • There is no such performance bottleneck as a large amount of data on a single database and high concurrency, and it increases system stability and load capacity.
  • The business modules do not need to be split due to minor modification on the application client.

4. Disadvantages of horizontal sharding

  • Transaction consistency across shards is hard to be guaranteed;
  • The performance of associated query in cross-library Join is poor.
  • It’s difficult to scale the data many times and maintenance is a big workload.

Based on the analysis above, and the available studis on popular sharding middleware, we selected ShardingSphere, an open source product, combined with Amazon Aurora to introduce how the combination of these two products meets various forms of sharding and how to solve the problems brought by sharding.

ShardingSphere is an open source ecosystem including a set of distributed database middleware solutions, including 3 independent products, Sharding-JDBC, Sharding-Proxy & Sharding-Sidecar.

2. ShardingSphere introduction:

The characteristics of Sharding-JDBC are:

  1. With the client end connecting directly to the database, it provides service in the form of jar and requires no extra deployment and dependence.
  2. It can be considered as an enhanced JDBC driver, which is fully compatible with JDBC and all kinds of ORM frameworks.
  3. Applicable in any ORM framework based on JDBC, such as JPA, Hibernate, Mybatis, Spring JDBC Template or direct use of JDBC.
  4. Support any third-party database connection pool, such as DBCP, C3P0, BoneCP, Druid, HikariCP;
  5. Support any kind of JDBC standard database: MySQL, Oracle, SQLServer, PostgreSQL and any databases accessible to JDBC.
  6. Sharding-JDBC adopts decentralized architecture, applicable to high-performance light-weight OLTP application developed with Java

Hybrid Structure Integrating Sharding-JDBC and Applications

Sharding-JDBC’s core concepts

Data node: The smallest unit of a data slice, consisting of a data source name and a data table, such as ds_0.product_order_0.

Actual table: The physical table that really exists in the horizontal sharding database, such as product order tables: product_order_0, product_order_1, and product_order_2.

Logic table: The logical name of the horizontal sharding databases (tables) with the same schema. For instance, the logic table of the order product_order_0, product_order_1, and product_order_2 is product_order.

Binding table: It refers to the primary table and the joiner table with the same sharding rules. For example, product_order table and product_order_item are sharded by order_id, so they are binding tables with each other. Cartesian product correlation will not appear in the multi-tables correlating query, so the query efficiency will increase greatly.

Broadcast table: It refers to tables that exist in all sharding database sources. The schema and data must consist in each database. It can be applied to the small data volume that needs to correlate with big data tables to query, dictionary table and configuration table for example.

3. Testing ShardingSphere-JDBC

3.1 Example project

Download the example project code locally. In order to ensure the stability of the test code, we choose shardingsphere-example-4.0.0 version.

git clone https://github.com/apache/shardingsphere-example.git

Project description:

shardingsphere-example
  ├── example-core
  │   ├── config-utility
  │   ├── example-api
  │   ├── example-raw-jdbc
  │   ├── example-spring-jpa #spring+jpa integration-based entity,repository
  │   └── example-spring-mybatis
  ├── sharding-jdbc-example
  │   ├── sharding-example
  │   │   ├── sharding-raw-jdbc-example
  │   │   ├── sharding-spring-boot-jpa-example #integration-based sharding-jdbc functions
  │   │   ├── sharding-spring-boot-mybatis-example
  │   │   ├── sharding-spring-namespace-jpa-example
  │   │   └── sharding-spring-namespace-mybatis-example
  │   ├── orchestration-example
  │   │   ├── orchestration-raw-jdbc-example
  │   │   ├── orchestration-spring-boot-example #integration-based sharding-jdbc governance function
  │   │   └── orchestration-spring-namespace-example
  │   ├── transaction-example
  │   │   ├── transaction-2pc-xa-example #sharding-jdbc sample of two-phase commit for a distributed transaction
  │   │   └──transaction-base-seata-example #sharding-jdbc distributed transaction seata sample
  │   ├── other-feature-example
  │   │   ├── hint-example
  │   │   └── encrypt-example
  ├── sharding-proxy-example
  │   └── sharding-proxy-boot-mybatis-example
  └── src/resources
        └── manual_schema.sql  

Configuration file description:

application-master-slave.properties #read/write splitting profile
application-sharding-databases-tables.properties #sharding profile
application-sharding-databases.properties       #library split profile only
application-sharding-master-slave.properties    #sharding and read/write splitting profile
application-sharding-tables.properties          #table split profile
application.properties                         #spring boot profile

Code logic description:

The following is the entry class of the Spring Boot application below. Execute it to run the project.

The execution logic of demo is as follows:

3.2 Verifying read/write splitting

As business grows, the write and read requests can be split to different database nodes to effectively promote the processing capability of the entire database cluster. Aurora uses a reader/writer endpoint to meet users' requirements to write and read with strong consistency, and a read-only endpoint to meet the requirements to read without strong consistency. Aurora's read and write latency is within single-digit milliseconds, much lower than MySQL's binlog-based logical replication, so there's a lot of loads that can be directed to a read-only endpoint.

Through the one primary and multiple secondary configuration, query requests can be evenly distributed to multiple data replicas, which further improves the processing capability of the system. Read/write splitting can improve the throughput and availability of system, but it can also lead to data inconsistency. Aurora provides a primary/secondary architecture in a fully managed form, but applications on the upper-layer still need to manage multiple data sources when interacting with Aurora, routing SQL requests to different nodes based on the read/write type of SQL statements and certain routing policies.

ShardingSphere-JDBC provides read/write splitting features and it is integrated with application programs so that the complex configuration between application programs and database clusters can be separated from application programs. Developers can manage the Shard through configuration files and combine it with ORM frameworks such as Spring JPA and Mybatis to completely separate the duplicated logic from the code, which greatly improves the ability to maintain code and reduces the coupling between code and database.

3.2.1 Setting up the database environment

Create a set of Aurora MySQL read/write splitting clusters. The model is db.r5.2xlarge. Each set of clusters has one write node and two read nodes.

3.2.2 Configuring Sharding-JDBC

application.properties spring boot Master profile description:

You need to replace the green ones with your own environment configuration.

# Jpa automatically creates and drops data tables based on entities
spring.jpa.properties.hibernate.hbm2ddl.auto=create-drop
spring.jpa.properties.hibernate.dialect=org.hibernate.dialect.MySQL5Dialect
spring.jpa.properties.hibernate.show_sql=true

#spring.profiles.active=sharding-databases
#spring.profiles.active=sharding-tables
#spring.profiles.active=sharding-databases-tables
#Activate master-slave configuration item so that sharding-jdbc can use master-slave profile
spring.profiles.active=master-slave
#spring.profiles.active=sharding-master-slave

application-master-slave.properties sharding-jdbc profile description:

spring.shardingsphere.datasource.names=ds_master,ds_slave_0,ds_slave_1
# data souce-master
spring.shardingsphere.datasource.ds_master.driver-class-name=com.mysql.jdbc.Driver
spring.shardingsphere.datasource.ds_master.password=Your master DB password
spring.shardingsphere.datasource.ds_master.type=com.zaxxer.hikari.HikariDataSource
spring.shardingsphere.datasource.ds_master.jdbc-url=Your primary DB data sourceurl spring.shardingsphere.datasource.ds_master.username=Your primary DB username
# data source-slave
spring.shardingsphere.datasource.ds_slave_0.driver-class-name=com.mysql.jdbc.Driver
spring.shardingsphere.datasource.ds_slave_0.password= Your slave DB password
spring.shardingsphere.datasource.ds_slave_0.type=com.zaxxer.hikari.HikariDataSource
spring.shardingsphere.datasource.ds_slave_0.jdbc-url=Your slave DB data source url
spring.shardingsphere.datasource.ds_slave_0.username= Your slave DB username
# data source-slave
spring.shardingsphere.datasource.ds_slave_1.driver-class-name=com.mysql.jdbc.Driver
spring.shardingsphere.datasource.ds_slave_1.password= Your slave DB password
spring.shardingsphere.datasource.ds_slave_1.type=com.zaxxer.hikari.HikariDataSource
spring.shardingsphere.datasource.ds_slave_1.jdbc-url= Your slave DB data source url
spring.shardingsphere.datasource.ds_slave_1.username= Your slave DB username
# Routing Policy Configuration
spring.shardingsphere.masterslave.load-balance-algorithm-type=round_robin
spring.shardingsphere.masterslave.name=ds_ms
spring.shardingsphere.masterslave.master-data-source-name=ds_master
spring.shardingsphere.masterslave.slave-data-source-names=ds_slave_0,ds_slave_1
# sharding-jdbc configures the information storage mode
spring.shardingsphere.mode.type=Memory
# start shardingsphere log,and you can see the conversion from logical SQL to actual SQL from the print
spring.shardingsphere.props.sql.show=true

 

3.2.3 Test and verification process description

  • Test environment data initialization: Spring JPA initialization automatically creates tables for testing.

  • Write data to the master instance

As shown in the ShardingSphere-SQL log figure below, the write SQL is executed on the ds_master data source.

  • Data query operations are performed on the slave library.

As shown in the ShardingSphere-SQL log figure below, the read SQL is executed on the ds_slave data source in the form of polling.

[INFO ] 2022-04-02 19:43:39,376 --main-- [ShardingSphere-SQL] Rule Type: master-slave 
[INFO ] 2022-04-02 19:43:39,376 --main-- [ShardingSphere-SQL] SQL: select orderentit0_.order_id as order_id1_1_, orderentit0_.address_id as address_2_1_, 
orderentit0_.status as status3_1_, orderentit0_.user_id as user_id4_1_ from t_order orderentit0_ ::: DataSources: ds_slave_0 
---------------------------- Print OrderItem Data -------------------
Hibernate: select orderiteme1_.order_item_id as order_it1_2_, orderiteme1_.order_id as order_id2_2_, orderiteme1_.status as status3_2_, orderiteme1_.user_id 
as user_id4_2_ from t_order orderentit0_ cross join t_order_item orderiteme1_ where orderentit0_.order_id=orderiteme1_.order_id
[INFO ] 2022-04-02 19:43:40,898 --main-- [ShardingSphere-SQL] Rule Type: master-slave 
[INFO ] 2022-04-02 19:43:40,898 --main-- [ShardingSphere-SQL] SQL: select orderiteme1_.order_item_id as order_it1_2_, orderiteme1_.order_id as order_id2_2_, orderiteme1_.status as status3_2_, 
orderiteme1_.user_id as user_id4_2_ from t_order orderentit0_ cross join t_order_item orderiteme1_ where orderentit0_.order_id=orderiteme1_.order_id ::: DataSources: ds_slave_1 

Note: As shown in the figure below, if there are both reads and writes in a transaction, Sharding-JDBC routes both read and write operations to the master library. If the read/write requests are not in the same transaction, the corresponding read requests are distributed to different read nodes according to the routing policy.

@Override
@Transactional // When a transaction is started, both read and write in the transaction go through the master library. When closed, read goes through the slave library and write goes through the master library
public void processSuccess() throws SQLException {
    System.out.println("-------------- Process Success Begin ---------------");
    List<Long> orderIds = insertData();
    printData();
    deleteData(orderIds);
    printData();
    System.out.println("-------------- Process Success Finish --------------");
}

3.2.4 Verifying Aurora failover scenario

The Aurora database environment adopts the configuration described in Section 2.2.1.

3.2.4.1 Verification process description

  1. Start the Spring-Boot project

2. Perform a failover on Aurora’s console

3. Execute the Rest API request

4. Repeatedly execute POST (http://localhost:8088/save-user) until the call to the API failed to write to Aurora and eventually recovered successfully.

5. The following figure shows the process of executing code failover. It takes about 37 seconds from the time when the latest SQL write is successfully performed to the time when the next SQL write is successfully performed. That is, the application can be automatically recovered from Aurora failover, and the recovery time is about 37 seconds.

3.3 Testing table sharding-only function

3.3.1 Configuring Sharding-JDBC

application.properties spring boot master profile description

# Jpa automatically creates and drops data tables based on entities
spring.jpa.properties.hibernate.hbm2ddl.auto=create-drop
spring.jpa.properties.hibernate.dialect=org.hibernate.dialect.MySQL5Dialect
spring.jpa.properties.hibernate.show_sql=true
#spring.profiles.active=sharding-databases
#Activate sharding-tables configuration items
#spring.profiles.active=sharding-tables
#spring.profiles.active=sharding-databases-tables
# spring.profiles.active=master-slave
#spring.profiles.active=sharding-master-slave

application-sharding-tables.properties sharding-jdbc profile description

## configure primary-key policy
spring.shardingsphere.sharding.tables.t_order.key-generator.column=order_id
spring.shardingsphere.sharding.tables.t_order.key-generator.type=SNOWFLAKE
spring.shardingsphere.sharding.tables.t_order.key-generator.props.worker.id=123
spring.shardingsphere.sharding.tables.t_order_item.actual-data-nodes=ds.t_order_item_$->{0..1}
spring.shardingsphere.sharding.tables.t_order_item.table-strategy.inline.sharding-column=order_id
spring.shardingsphere.sharding.tables.t_order_item.table-strategy.inline.algorithm-expression=t_order_item_$->{order_id % 2}
spring.shardingsphere.sharding.tables.t_order_item.key-generator.column=order_item_id
spring.shardingsphere.sharding.tables.t_order_item.key-generator.type=SNOWFLAKE
spring.shardingsphere.sharding.tables.t_order_item.key-generator.props.worker.id=123
# configure the binding relation of t_order and t_order_item
spring.shardingsphere.sharding.binding-tables[0]=t_order,t_order_item
# configure broadcast tables
spring.shardingsphere.sharding.broadcast-tables=t_address
# sharding-jdbc mode
spring.shardingsphere.mode.type=Memory
# start shardingsphere log
spring.shardingsphere.props.sql.show=true

 

3.3.2 Test and verification process description

1. DDL operation

JPA automatically creates tables for testing. When Sharding-JDBC routing rules are configured, the client executes DDL, and Sharding-JDBC automatically creates corresponding tables according to the table splitting rules. If t_address is a broadcast table, create a t_address because there is only one master instance. Two physical tables t_order_0 and t_order_1 will be created when creating t_order.

2. Write operation

As shown in the figure below, Logic SQL inserts a record into t_order. When Sharding-JDBC is executed, data will be distributed to t_order_0 and t_order_1 according to the table splitting rules.

When t_order and t_order_item are bound, the records associated with order_item and order are placed on the same physical table.

3. Read operation

As shown in the figure below, perform the join query operations to order and order_item under the binding table, and the physical shard is precisely located based on the binding relationship.

The join query operations on order and order_item under the unbound table will traverse all shards.

3.4 Testing database sharding-only function

3.4.1 Setting up the database environment

Create two instances on Aurora: ds_0 and ds_1

When the sharding-spring-boot-jpa-example project is started, tables t_order, t_order_itemt_address will be created on two Aurora instances.

3.4.2 Configuring Sharding-JDBC

application.properties springboot master profile description

# Jpa automatically creates and drops data tables based on entities
spring.jpa.properties.hibernate.hbm2ddl.auto=create
spring.jpa.properties.hibernate.dialect=org.hibernate.dialect.MySQL5Dialect
spring.jpa.properties.hibernate.show_sql=true

# Activate sharding-databases configuration items
spring.profiles.active=sharding-databases
#spring.profiles.active=sharding-tables
#spring.profiles.active=sharding-databases-tables
#spring.profiles.active=master-slave
#spring.profiles.active=sharding-master-slave

application-sharding-databases.properties sharding-jdbc profile description

spring.shardingsphere.datasource.names=ds_0,ds_1
# ds_0
spring.shardingsphere.datasource.ds_0.type=com.zaxxer.hikari.HikariDataSource
spring.shardingsphere.datasource.ds_0.driver-class-name=com.mysql.jdbc.Driver
spring.shardingsphere.datasource.ds_0.jdbc-url= spring.shardingsphere.datasource.ds_0.username= 
spring.shardingsphere.datasource.ds_0.password=
# ds_1
spring.shardingsphere.datasource.ds_1.type=com.zaxxer.hikari.HikariDataSource
spring.shardingsphere.datasource.ds_1.driver-class-name=com.mysql.jdbc.Driver
spring.shardingsphere.datasource.ds_1.jdbc-url= 
spring.shardingsphere.datasource.ds_1.username= 
spring.shardingsphere.datasource.ds_1.password=
spring.shardingsphere.sharding.default-database-strategy.inline.sharding-column=user_id
spring.shardingsphere.sharding.default-database-strategy.inline.algorithm-expression=ds_$->{user_id % 2}
spring.shardingsphere.sharding.binding-tables=t_order,t_order_item
spring.shardingsphere.sharding.broadcast-tables=t_address
spring.shardingsphere.sharding.default-data-source-name=ds_0

spring.shardingsphere.sharding.tables.t_order.actual-data-nodes=ds_$->{0..1}.t_order
spring.shardingsphere.sharding.tables.t_order.key-generator.column=order_id
spring.shardingsphere.sharding.tables.t_order.key-generator.type=SNOWFLAKE
spring.shardingsphere.sharding.tables.t_order.key-generator.props.worker.id=123
spring.shardingsphere.sharding.tables.t_order_item.actual-data-nodes=ds_$->{0..1}.t_order_item
spring.shardingsphere.sharding.tables.t_order_item.key-generator.column=order_item_id
spring.shardingsphere.sharding.tables.t_order_item.key-generator.type=SNOWFLAKE
spring.shardingsphere.sharding.tables.t_order_item.key-generator.props.worker.id=123
# sharding-jdbc mode
spring.shardingsphere.mode.type=Memory
# start shardingsphere log
spring.shardingsphere.props.sql.show=true

 

3.4.3 Test and verification process description

1. DDL operation

JPA automatically creates tables for testing. When Sharding-JDBC’s library splitting and routing rules are configured, the client executes DDL, and Sharding-JDBC will automatically create corresponding tables according to table splitting rules. If t_address is a broadcast table, physical tables will be created on ds_0 and ds_1. The three tables, t_address, t_order and t_order_item will be created on ds_0 and ds_1 respectively.

2. Write operation

For the broadcast table t_address, each record written will also be written to the t_address tables of ds_0 and ds_1.

The tables t_order and t_order_item of the slave library are written on the table in the corresponding instance according to the slave library field and routing policy.

3. Read operation

Query order is routed to the corresponding Aurora instance according to the routing rules of the slave library .

Query Address. Since address is a broadcast table, an instance of address will be randomly selected and queried from the nodes used.

As shown in the figure below, perform the join query operations to order and order_item under the binding table, and the physical shard is precisely located based on the binding relationship.

3.5 Verifying sharding function

3.5.1 Setting up the database environment

As shown in the figure below, create two instances on Aurora: ds_0 and ds_1

When the sharding-spring-boot-jpa-example project is started, physical tables t_order_01, t_order_02, t_order_item_01,and t_order_item_02 and global table t_address will be created on two Aurora instances.

3.5.2 Configuring Sharding-JDBC

application.properties springboot master profile description

# Jpa automatically creates and drops data tables based on entities
spring.jpa.properties.hibernate.hbm2ddl.auto=create
spring.jpa.properties.hibernate.dialect=org.hibernate.dialect.MySQL5Dialect
spring.jpa.properties.hibernate.show_sql=true
# Activate sharding-databases-tables configuration items
#spring.profiles.active=sharding-databases
#spring.profiles.active=sharding-tables
spring.profiles.active=sharding-databases-tables
#spring.profiles.active=master-slave
#spring.profiles.active=sharding-master-slave

application-sharding-databases.properties sharding-jdbc profile description

spring.shardingsphere.datasource.names=ds_0,ds_1
# ds_0
spring.shardingsphere.datasource.ds_0.type=com.zaxxer.hikari.HikariDataSource
spring.shardingsphere.datasource.ds_0.driver-class-name=com.mysql.jdbc.Driver
spring.shardingsphere.datasource.ds_0.jdbc-url= 306/dev?useSSL=false&characterEncoding=utf-8
spring.shardingsphere.datasource.ds_0.username= 
spring.shardingsphere.datasource.ds_0.password=
spring.shardingsphere.datasource.ds_0.max-active=16
# ds_1
spring.shardingsphere.datasource.ds_1.type=com.zaxxer.hikari.HikariDataSource
spring.shardingsphere.datasource.ds_1.driver-class-name=com.mysql.jdbc.Driver
spring.shardingsphere.datasource.ds_1.jdbc-url= 
spring.shardingsphere.datasource.ds_1.username= 
spring.shardingsphere.datasource.ds_1.password=
spring.shardingsphere.datasource.ds_1.max-active=16
# default library splitting policy
spring.shardingsphere.sharding.default-database-strategy.inline.sharding-column=user_id
spring.shardingsphere.sharding.default-database-strategy.inline.algorithm-expression=ds_$->{user_id % 2}
spring.shardingsphere.sharding.binding-tables=t_order,t_order_item
spring.shardingsphere.sharding.broadcast-tables=t_address
# Tables that do not meet the library splitting policy are placed on ds_0
spring.shardingsphere.sharding.default-data-source-name=ds_0
# t_order table splitting policy
spring.shardingsphere.sharding.tables.t_order.actual-data-nodes=ds_$->{0..1}.t_order_$->{0..1}
spring.shardingsphere.sharding.tables.t_order.table-strategy.inline.sharding-column=order_id
spring.shardingsphere.sharding.tables.t_order.table-strategy.inline.algorithm-expression=t_order_$->{order_id % 2}
spring.shardingsphere.sharding.tables.t_order.key-generator.column=order_id
spring.shardingsphere.sharding.tables.t_order.key-generator.type=SNOWFLAKE
spring.shardingsphere.sharding.tables.t_order.key-generator.props.worker.id=123
# t_order_item table splitting policy
spring.shardingsphere.sharding.tables.t_order_item.actual-data-nodes=ds_$->{0..1}.t_order_item_$->{0..1}
spring.shardingsphere.sharding.tables.t_order_item.table-strategy.inline.sharding-column=order_id
spring.shardingsphere.sharding.tables.t_order_item.table-strategy.inline.algorithm-expression=t_order_item_$->{order_id % 2}
spring.shardingsphere.sharding.tables.t_order_item.key-generator.column=order_item_id
spring.shardingsphere.sharding.tables.t_order_item.key-generator.type=SNOWFLAKE
spring.shardingsphere.sharding.tables.t_order_item.key-generator.props.worker.id=123
# sharding-jdbc mdoe
spring.shardingsphere.mode.type=Memory
# start shardingsphere log
spring.shardingsphere.props.sql.show=true

 

3.5.3 Test and verification process description

1. DDL operation

JPA automatically creates tables for testing. When Sharding-JDBC’s sharding and routing rules are configured, the client executes DDL, and Sharding-JDBC will automatically create corresponding tables according to table splitting rules. If t_address is a broadcast table, t_address will be created on both ds_0 and ds_1. The three tables, t_address, t_order and t_order_item will be created on ds_0 and ds_1 respectively.

2. Write operation

For the broadcast table t_address, each record written will also be written to the t_address tables of ds_0 and ds_1.

The tables t_order and t_order_item of the sub-library are written to the table on the corresponding instance according to the slave library field and routing policy.

3. Read operation

The read operation is similar to the library split function verification described in section2.4.3.

3.6 Testing database sharding, table sharding and read/write splitting function

3.6.1 Setting up the database environment

The following figure shows the physical table of the created database instance.

3.6.2 Configuring Sharding-JDBC

application.properties spring boot master profile description

# Jpa automatically creates and drops data tables based on entities
spring.jpa.properties.hibernate.hbm2ddl.auto=create
spring.jpa.properties.hibernate.dialect=org.hibernate.dialect.MySQL5Dialect
spring.jpa.properties.hibernate.show_sql=true

# activate sharding-databases-tables configuration items
#spring.profiles.active=sharding-databases
#spring.profiles.active=sharding-tables
#spring.profiles.active=sharding-databases-tables
#spring.profiles.active=master-slave
spring.profiles.active=sharding-master-slave

application-sharding-master-slave.properties sharding-jdbc profile description

The url, name and password of the database need to be changed to your own database parameters.

spring.shardingsphere.datasource.names=ds_master_0,ds_master_1,ds_master_0_slave_0,ds_master_0_slave_1,ds_master_1_slave_0,ds_master_1_slave_1
spring.shardingsphere.datasource.ds_master_0.type=com.zaxxer.hikari.HikariDataSource
spring.shardingsphere.datasource.ds_master_0.driver-class-name=com.mysql.jdbc.Driver
spring.shardingsphere.datasource.ds_master_0.jdbc-url= spring.shardingsphere.datasource.ds_master_0.username= 
spring.shardingsphere.datasource.ds_master_0.password=
spring.shardingsphere.datasource.ds_master_0.max-active=16
spring.shardingsphere.datasource.ds_master_0_slave_0.type=com.zaxxer.hikari.HikariDataSource
spring.shardingsphere.datasource.ds_master_0_slave_0.driver-class-name=com.mysql.jdbc.Driver
spring.shardingsphere.datasource.ds_master_0_slave_0.jdbc-url= spring.shardingsphere.datasource.ds_master_0_slave_0.username= 
spring.shardingsphere.datasource.ds_master_0_slave_0.password=
spring.shardingsphere.datasource.ds_master_0_slave_0.max-active=16
spring.shardingsphere.datasource.ds_master_0_slave_1.type=com.zaxxer.hikari.HikariDataSource
spring.shardingsphere.datasource.ds_master_0_slave_1.driver-class-name=com.mysql.jdbc.Driver
spring.shardingsphere.datasource.ds_master_0_slave_1.jdbc-url= spring.shardingsphere.datasource.ds_master_0_slave_1.username= 
spring.shardingsphere.datasource.ds_master_0_slave_1.password=
spring.shardingsphere.datasource.ds_master_0_slave_1.max-active=16
spring.shardingsphere.datasource.ds_master_1.type=com.zaxxer.hikari.HikariDataSource
spring.shardingsphere.datasource.ds_master_1.driver-class-name=com.mysql.jdbc.Driver
spring.shardingsphere.datasource.ds_master_1.jdbc-url= 
spring.shardingsphere.datasource.ds_master_1.username= 
spring.shardingsphere.datasource.ds_master_1.password=
spring.shardingsphere.datasource.ds_master_1.max-active=16
spring.shardingsphere.datasource.ds_master_1_slave_0.type=com.zaxxer.hikari.HikariDataSource
spring.shardingsphere.datasource.ds_master_1_slave_0.driver-class-name=com.mysql.jdbc.Driver
spring.shardingsphere.datasource.ds_master_1_slave_0.jdbc-url=
spring.shardingsphere.datasource.ds_master_1_slave_0.username=
spring.shardingsphere.datasource.ds_master_1_slave_0.password=
spring.shardingsphere.datasource.ds_master_1_slave_0.max-active=16
spring.shardingsphere.datasource.ds_master_1_slave_1.type=com.zaxxer.hikari.HikariDataSource
spring.shardingsphere.datasource.ds_master_1_slave_1.driver-class-name=com.mysql.jdbc.Driver
spring.shardingsphere.datasource.ds_master_1_slave_1.jdbc-url= spring.shardingsphere.datasource.ds_master_1_slave_1.username=admin
spring.shardingsphere.datasource.ds_master_1_slave_1.password=
spring.shardingsphere.datasource.ds_master_1_slave_1.max-active=16
spring.shardingsphere.sharding.default-database-strategy.inline.sharding-column=user_id
spring.shardingsphere.sharding.default-database-strategy.inline.algorithm-expression=ds_$->{user_id % 2}
spring.shardingsphere.sharding.binding-tables=t_order,t_order_item
spring.shardingsphere.sharding.broadcast-tables=t_address
spring.shardingsphere.sharding.default-data-source-name=ds_master_0
spring.shardingsphere.sharding.tables.t_order.actual-data-nodes=ds_$->{0..1}.t_order_$->{0..1}
spring.shardingsphere.sharding.tables.t_order.table-strategy.inline.sharding-column=order_id
spring.shardingsphere.sharding.tables.t_order.table-strategy.inline.algorithm-expression=t_order_$->{order_id % 2}
spring.shardingsphere.sharding.tables.t_order.key-generator.column=order_id
spring.shardingsphere.sharding.tables.t_order.key-generator.type=SNOWFLAKE
spring.shardingsphere.sharding.tables.t_order.key-generator.props.worker.id=123
spring.shardingsphere.sharding.tables.t_order_item.actual-data-nodes=ds_$->{0..1}.t_order_item_$->{0..1}
spring.shardingsphere.sharding.tables.t_order_item.table-strategy.inline.sharding-column=order_id
spring.shardingsphere.sharding.tables.t_order_item.table-strategy.inline.algorithm-expression=t_order_item_$->{order_id % 2}
spring.shardingsphere.sharding.tables.t_order_item.key-generator.column=order_item_id
spring.shardingsphere.sharding.tables.t_order_item.key-generator.type=SNOWFLAKE
spring.shardingsphere.sharding.tables.t_order_item.key-generator.props.worker.id=123
# master/slave data source and slave data source configuration
spring.shardingsphere.sharding.master-slave-rules.ds_0.master-data-source-name=ds_master_0
spring.shardingsphere.sharding.master-slave-rules.ds_0.slave-data-source-names=ds_master_0_slave_0, ds_master_0_slave_1
spring.shardingsphere.sharding.master-slave-rules.ds_1.master-data-source-name=ds_master_1
spring.shardingsphere.sharding.master-slave-rules.ds_1.slave-data-source-names=ds_master_1_slave_0, ds_master_1_slave_1
# sharding-jdbc mode
spring.shardingsphere.mode.type=Memory
# start shardingsphere log
spring.shardingsphere.props.sql.show=true

 

3.6.3 Test and verification process description

1. DDL operation

JPA automatically creates tables for testing. When Sharding-JDBC’s library splitting and routing rules are configured, the client executes DDL, and Sharding-JDBC will automatically create corresponding tables according to table splitting rules. If t_address is a broadcast table, t_address will be created on both ds_0 and ds_1. The three tables, t_address, t_order and t_order_item will be created on ds_0 and ds_1 respectively.

2. Write operation

For the broadcast table t_address, each record written will also be written to the t_address tables of ds_0 and ds_1.

The tables t_order and t_order_item of the slave library are written to the table on the corresponding instance according to the slave library field and routing policy.

3. Read operation

The join query operations on order and order_item under the binding table are shown below.

3. Conclusion

As an open source product focusing on database enhancement, ShardingSphere is pretty good in terms of its community activitiy, product maturity and documentation richness.

Among its products, ShardingSphere-JDBC is a sharding solution based on the client-side, which supports all sharding scenarios. And there’s no need to introduce an intermediate layer like Proxy, so the complexity of operation and maintenance is reduced. Its latency is theoretically lower than Proxy due to the lack of intermediate layer. In addition, ShardingSphere-JDBC can support a variety of relational databases based on SQL standards such as MySQL/PostgreSQL/Oracle/SQL Server, etc.

However, due to the integration of Sharding-JDBC with the application program, it only supports Java language for now, and is strongly dependent on the application programs. Nevertheless, Sharding-JDBC separates all sharding configuration from the application program, which brings relatively small changes when switching to other middleware.

In conclusion, Sharding-JDBC is a good choice if you use a Java-based system and have to to interconnect with different relational databases — and don’t want to bother with introducing an intermediate layer.

Author

Sun Jinhua

A senior solution architect at AWS, Sun is responsible for the design and consult on cloud architecture. for providing customers with cloud-related design and consulting services. Before joining AWS, he ran his own business, specializing in building e-commerce platforms and designing the overall architecture for e-commerce platforms of automotive companies. He worked in a global leading communication equipment company as a senior engineer, responsible for the development and architecture design of multiple subsystems of LTE equipment system. He has rich experience in architecture design with high concurrency and high availability system, microservice architecture design, database, middleware, IOT etc.

How to Configure the Interceptor With Spring Boot Application

In the video in this article, we take a closer look at how to configure the interceptor with the Spring Boot application! Let’s take a look!

#spring boot #spring boot tutorial #interceptor #interceptors #spring boot interceptor #spring boot tutorial for beginners

Spring vs Spring BooDifference Between Spring and Spring Boot

As an extension of the Spring Framework, Spring Boot is widely used to make development on Spring faster, more efficient and convenient. In this article, we will look at some of the parameters were using Spring Boot can drastically reduce the time and effort required in application development.

What is Spring?

Spring Boot

Difference between Spring and Spring Boot

Advantages of Spring Boot over Spring

Conclusion

#full stack development #spring #spring and spring boot #spring boot

Sigrid  Farrell

Sigrid Farrell

1622601303

How to Configure log4j2 In a Spring Boot Application? | Spring Boot Logging [Video]

Configuring log4j2 is really quick and simple; this tutorial video explains the entire process in only 5 minutes, while you wait for your coffee to brew.

In the video below, we take a closer look at the How to configure log4j2 in the Spring boot application using log4j2.xml? | Spring Boot logging. Let’s get started!

#java #spring boot #video #log4j #spring boot tutorial #spring boot tutorial for beginners

Как начать работу с Spring Boot и SAML

Spring — давний друг корпоративных компаний по всему миру. Когда в 2014 году появился Spring Boot, он значительно упростил настройку приложения Spring. Это привело к широкому внедрению и продолжению инвестиций в связанные проекты Spring.

Один из моих любимых проектов Spring — Spring Security. В большинстве случаев это упрощает веб-безопасность до нескольких строк кода. HTTP Basic, JDBC, JWT, OpenID Connect/OAuth 2.0, что угодно — Spring Security делает это!

Вы могли заметить, что я не упомянул SAML как тип аутентификации. Это потому, что я не рекомендую это. Спецификация SAML 2.0 была опубликована в марте 2005 г., еще до появления смартфонов или интеллектуальных устройств. OpenID Connect Connect (OIDC) намного проще в использовании и понимании для разработчиков. Использование SAML в 2022 году похоже на реализацию веб-сервиса с использованием WS-* вместо REST.

Моя рекомендация: просто используйте OIDC.

Если вам необходимо использовать SAML с Spring Boot, это руководство поможет вам сделать это быстро и легко.

Что такое САМЛ?

Язык разметки утверждений безопасности — это основанный на XML способ выполнения веб-аутентификации и авторизации. Он работает между доменами, поэтому приложения SaaS и другое корпоративное программное обеспечение часто его поддерживают.

Добавить SAML-приложение на Okta

Для начала вам понадобится учетная запись разработчика Okta. Вы можете создать его на странице developer.okta.com/signup или установить Okta CLI и запустить okta register.

Затем войдите в свою учетную запись и перейдите в Приложения > Создать интеграцию приложений . Выберите SAML 2.0 и нажмите «Далее» . Назовите свое приложение примерно так Spring Boot SAMLи нажмите «Далее » .

Используйте следующие настройки:

  • URL-адрес единого входа:http://localhost:8080/login/saml2/sso/okta
  • Используйте это для URL-адреса получателя и URL-адреса назначения: ✅ (по умолчанию)
  • URI аудитории:http://localhost:8080/saml2/service-provider-metadata/okta

Затем нажмите «Далее» . Выберите следующие параметры:

  • Я клиент Okta, добавляющий внутреннее приложение
  • Это внутреннее приложение, которое мы создали

Выберите Готово .

Okta создаст ваше приложение, и вы будете перенаправлены на его вкладку « Вход ». Прокрутите вниз до сертификатов подписи SAML и выберите SHA-2 > Действия > Просмотреть метаданные IdP . Вы можете щелкнуть правой кнопкой мыши и скопировать ссылку этого пункта меню или открыть его URL-адрес. Скопируйте полученную ссылку в буфер обмена. Это должно выглядеть примерно так:

https://dev-13337.okta.com/app/<random-characters>/sso/saml/metadata

Перейдите на вкладку « Назначение » вашего приложения и назначьте доступ группе « Все ».

Создайте приложение Spring Boot с поддержкой SAML

Для Spring Boot 3 требуется Java 17. Вы можете установить его с помощью SDKMAN:

sdk install java 17-open

Самый простой способ сделать это руководство — клонировать существующий пример приложения Spring Boot, который я создал.

git clone https://github.com/oktadev/okta-spring-boot-saml-example.git

Если вы предпочитаете начать с нуля, вы можете создать совершенно новое приложение Spring Boot, используя start.spring.io . Выберите следующие параметры:

Проект: Градл

Весенняя загрузка: 3.0.0 (СНИМОК)

Зависимости: Spring Web , Spring Security , Thymeleaf

start.spring.io

Вы также можете использовать этот URL или HTTPie:

https start.spring.io/starter.zip bootVersion==3.0.0-SNAPSHOT \
  dependencies==web,security,thymeleaf type==gradle-project \
  baseDir==spring-boot-saml | tar -xzvf -

Если вы создали совершенно новое приложение, вам необходимо выполнить следующие шаги:

Добавить src/main/java/com/example/demo/HomeController.javaдля заполнения информации о аутентифицированном пользователе.

package com.example.demo;

import org.springframework.security.core.annotation.AuthenticationPrincipal;
import org.springframework.security.saml2.provider.service.authentication.Saml2AuthenticatedPrincipal;
import org.springframework.stereotype.Controller;
import org.springframework.ui.Model;
import org.springframework.web.bind.annotation.RequestMapping;

@Controller
public class HomeController {

    @RequestMapping("/")
    public String home(@AuthenticationPrincipal Saml2AuthenticatedPrincipal principal, Model model) {
        model.addAttribute("name", principal.getName());
        model.addAttribute("emailAddress", principal.getFirstAttribute("email"));
        model.addAttribute("userAttributes", principal.getAttributes());
        return "home";
    }

}

Создайте src/main/resources/templates/home.htmlфайл для отображения информации о пользователе.

<!DOCTYPE html>
<html xmlns="http://www.w3.org/1999/xhtml" xmlns:th="https://www.thymeleaf.org"
      xmlns:sec="https://www.thymeleaf.org/thymeleaf-extras-springsecurity6">
<head>
    <title>Spring Boot and SAML</title>
    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8"/>
</head>
<body>

<h1>Welcome</h1>
<p>You are successfully logged in as <span sec:authentication="name"></span></p>
<p>Your email address is <span th:text="${emailAddress}"></span>.</p>
<p>Your authorities are <span sec:authentication="authorities"></span>.</p>
<h2>All Your Attributes</h2>
<dl th:each="userAttribute : ${userAttributes}">
    <dt th:text="${userAttribute.key}"></dt>
    <dd th:text="${userAttribute.value}"></dd>
</dl>

<form th:action="@{/logout}" method="post">
    <button id="logout" type="submit">Logout</button>
</form>

</body>
</html>

Создайте src/main/resources/application.ymlфайл, содержащий URI метаданных, который вы скопировали в Добавление приложения SAML на Okta . Это значение должно заканчиваться на /sso/saml/metadata.

spring:
  security:
    saml2:
      relyingparty:
        registration:
          okta:
            assertingparty:
              metadata-uri: <your-metadata-uri>

Затем измените build.gradleиспользование thymeleaf-extras-springsecurity6вместо thymeleaf-extras-springsecurity5и добавьте зависимость Spring Security SAML:

implementation 'org.thymeleaf.extras:thymeleaf-extras-springsecurity6'
implementation 'org.springframework.security:spring-security-saml2-service-provider'

Если вы клонировали из GitHub, вам нужно только обновить application.yml, чтобы включить URI метаданных. Вы можете удалить другие свойства, так как они могут вызвать проблемы.

Запустите приложение и авторизуйтесь

Запустите приложение Spring Boot из IDE или с помощью командной строки:

./gradlew bootRun

Откройте http://localhost:8080в своем любимом браузере и войдите в систему с учетными данными, которые вы использовали для создания учетной записи.

Вы должны увидеть успешный результат в своем браузере.

Войти успешно

Если вы попытаетесь выйти из системы, это не сработает. Давайте исправим это.

Добавить функцию выхода

Поддержка SAML в Spring Security имеет функцию выхода из системы , для настройки которой требуется немного времени. Сначала отредактируйте свое приложение на Okta и перейдите в раздел « Основные » > «Настройки SAML » > « Редактировать » .

Перейдите к шагу « Настройка SAML » и « Показать дополнительные параметры» . Прежде чем вы сможете включить единый выход, вам необходимо создать и загрузить сертификат для подписи исходящего запроса на выход.

Вы можете создать закрытый ключ и сертификат с помощью OpenSSL. Ответьте хотя бы на один из вопросов со значением, и это должно сработать.

openssl req -newkey rsa:2048 -nodes -keyout local.key -x509 -days 365 -out local.crt

Скопируйте сгенерированные файлы в src/main/resourcesкаталог вашего приложения. Настроить signingи singlelogoutв application.yml:

spring:
  security:
    saml2:
      relyingparty:
        registration:
          okta:
            assertingparty:
              ...
            signing:
              credentials:
                - private-key-location: classpath:local.key
                  certificate-location: classpath:local.crt
            singlelogout:
              binding: POST
              response-url: "{baseUrl}/logout/saml2/slo"

Загрузите в local.crtсвое приложение Okta. Выберите « Включить единый выход» и используйте следующие значения:

Единый URL-адрес выхода:http://localhost:8080/logout/saml2/slo

Эмитент СП:http://localhost:8080/saml2/service-provider-metadata/okta

Завершите настройку приложения Okta, перезапустите приложение Spring Boot, и кнопка выхода должна работать.

Выйти успешно

Настройка полномочий с помощью Spring Security SAML

Вы можете заметить, что при входе в систему на появившейся странице показано, что у вас есть ROLE_USERполномочия. Однако, когда вы назначали пользователей приложению, вы давали доступ к файлам Everyone. Вы можете настроить приложение SAML на Okta для отправки групп пользователей в качестве атрибута. Вы также можете добавить другие атрибуты, такие как имя и адрес электронной почты.

Отредактируйте настройки SAML вашего приложения Okta и заполните раздел Заявления об атрибутах группы .

Имя:groups

Формат имени:Unspecified

Фильтр: Matches regexи использовать .*для значения

Чуть выше вы можете добавить другие операторы атрибутов. Например:

ИмяФормат имениЦенность
emailUnspecifieduser.email
firstNameUnspecifieduser.firstName
lastNameUnspecifieduser.lastName

Сохраните эти изменения.

Если вы ранее клонировали репозиторий, перезапустите приложение и войдите в систему, чтобы группы ваших пользователей отображались как авторитетные.

Если вы создали приложение Spring Boot с нуля, создайте SecurityConfigurationкласс, который переопределяет конфигурацию по умолчанию и использует преобразователь для преобразования значений groupsатрибута в полномочия Spring Security.

src/main/java/com/example/demo/SecurityConfiguration.java

package com.example.demo;

import java.util.HashSet;
import java.util.List;
import java.util.Set;

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.core.convert.converter.Converter;
import org.springframework.security.authentication.ProviderManager;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.saml2.provider.service.authentication.OpenSaml4AuthenticationProvider;
import org.springframework.security.saml2.provider.service.authentication.OpenSaml4AuthenticationProvider.ResponseToken;
import org.springframework.security.saml2.provider.service.authentication.Saml2AuthenticatedPrincipal;
import org.springframework.security.saml2.provider.service.authentication.Saml2Authentication;
import org.springframework.security.web.SecurityFilterChain;

import static org.springframework.security.config.Customizer.withDefaults;

@Configuration
public class SecurityConfiguration {

    @Bean
    SecurityFilterChain configure(HttpSecurity http) throws Exception {

        OpenSaml4AuthenticationProvider authenticationProvider = new OpenSaml4AuthenticationProvider();
        authenticationProvider.setResponseAuthenticationConverter(groupsConverter());

        // @formatter:off
        http
            .authorizeHttpRequests(authorize -> authorize
                .mvcMatchers("/favicon.ico").permitAll()
                .anyRequest().authenticated()
            )
            .saml2Login(saml2 -> saml2
                .authenticationManager(new ProviderManager(authenticationProvider))
            )
            .saml2Logout(withDefaults());
        // @formatter:on

        return http.build();
    }

    private Converter<OpenSaml4AuthenticationProvider.ResponseToken, Saml2Authentication> groupsConverter() {

        Converter<ResponseToken, Saml2Authentication> delegate =
            OpenSaml4AuthenticationProvider.createDefaultResponseAuthenticationConverter();

        return (responseToken) -> {
            Saml2Authentication authentication = delegate.convert(responseToken);
            Saml2AuthenticatedPrincipal principal = (Saml2AuthenticatedPrincipal) authentication.getPrincipal();
            List<String> groups = principal.getAttribute("groups");
            Set<GrantedAuthority> authorities = new HashSet<>();
            if (groups != null) {
                groups.stream().map(SimpleGrantedAuthority::new).forEach(authorities::add);
            } else {
                authorities.addAll(authentication.getAuthorities());
            }
            return new Saml2Authentication(principal, authentication.getSaml2Response(), authorities);
        };
    }
}
 Возможно, вы сможете удалить permitAll()значок значка, потому что это было недавно исправлено в Spring Security .

Наконец, измените свой build.gradleфайл, чтобы установить последнюю версию Open SAML, которая работает с Spring Security 6.

repositories {
    ...
    maven { url "https://build.shibboleth.net/nexus/content/repositories/releases/" }
}

dependencies {
    constraints {
        implementation "org.opensaml:opensaml-core:4.1.1"
        implementation "org.opensaml:opensaml-saml-api:4.1.1"
        implementation "org.opensaml:opensaml-saml-impl:4.1.1"
    }
    ...
}

Теперь, если вы перезапустите свое приложение и войдете в систему, вы должны увидеть группы ваших пользователей как авторитетные. Ура!

Группы как авторитеты

Добавить поддержку Auth0

Знаете ли вы, что Auth0 также поддерживает приложения SAML? Auth0 упрощает настройку, поскольку его веб-приложения по умолчанию поддерживают OIDC и SAML.

Зарегистрируйте учетную запись Auth0 или войдите в существующую. Перейдите в Приложения > Создать приложение > Обычные веб-приложения > Создать .

Выберите вкладку « Настройки » и измените имя на Spring Boot SAML. Добавить http://localhost:8080/login/saml2/sso/auth0в качестве разрешенного URL-адреса обратного вызова .

Прокрутите вниз, разверните Расширенные настройки и перейдите в Конечные точки . Скопируйте значение URL метаданных SAML . Вам это скоро понадобится. Выберите Сохранить изменения .

Если вы настроили свое приложение для использования этих значений, аутентификация будет работать, но вы не сможете выйти из системы. Прокрутите страницу вверх, выберите « Дополнения » и включите SAML.

Выберите вкладку « Настройки » и измените (с комментариями) JSON следующим образом:

{
  "logout": {
    "callback": "http://localhost:8080/logout/saml2/slo",
    "slo_enabled": true
  }
}

Прокрутите вниз и нажмите « Включить» .

Измените свой application.ymlна использование auth0вместо oktaи скопируйте в него URL-адрес метаданных SAML .

spring:
  security:
    saml2:
      relyingparty:
        registration:
          auth0:
            assertingparty:
              metadata-uri: <your-auth0-metadata-uri>
            signing:
              credentials:
                - private-key-location: classpath:local.key
                  certificate-location: classpath:local.crt
            singlelogout:
              binding: POST
              response-url: "{baseUrl}/logout/saml2/slo"

Перезапустите приложение, и вы сможете войти в систему с помощью Auth0.

Вход Auth0 выполнен успешно

Вы можете заметить, что адрес электронной почты и полномочия рассчитываются неправильно. Это связано с тем, что имена утверждений изменились с Auth0. Обновите SecurityConfiguration#groupsConverter(), чтобы разрешить имена Okta и Auth0 для групп.

private Converter<OpenSaml4AuthenticationProvider.ResponseToken, Saml2Authentication> groupsConverter() {

    ...

    return (responseToken) -> {
        ...
        List<String> groups = principal.getAttribute("groups");
        // if groups is not preset, try Auth0 attribute name
        if (groups == null) {
            groups = principal.getAttribute("http://schemas.auth0.com/roles");
        }
        ...
    };
}

Чтобы Auth0 заполнил группы пользователей, перейдите в Auth Pipeline > Rules и создайте новое правило. Выберите шаблон Пустое правило. Укажите значимое имя, например Groups claim, замените Scriptсодержимое следующим и сохраните .

function(user, context, callback) {
  user.preferred_username = user.email;
  const roles = (context.authorization || {}).roles;

  function prepareCustomClaimKey(claim) {
    return `${claim}`;
  }

  const rolesClaim = prepareCustomClaimKey('roles');

  if (context.idToken) {
    context.idToken[rolesClaim] = roles;
  }

  if (context.accessToken) {
    context.accessToken[rolesClaim] = roles;
  }

  callback(null, user, context);
}

Затем измените, HomeControllerчтобы разрешить имя атрибута электронной почты Auth0.

public class HomeController {

    @RequestMapping("/")
    public String home(@AuthenticationPrincipal Saml2AuthenticatedPrincipal principal, Model model) {
        model.addAttribute("name", principal.getName());
        String email = principal.getFirstAttribute("email");
        // if email is not preset, try Auth0 attribute name
        if (email == null) {
            email = principal.getFirstAttribute("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress");
        }
        model.addAttribute("emailAddress", email);
        model.addAttribute("userAttributes", principal.getAttributes());
        return "home";
    }

}

Перезапустите приложение, войдите в систему, и все должно работать как положено.

Auth0 группы

Поддержка Okta и Auth0

Вы также можете поддерживать как Okta, так и Auth0! Измените свой application.yml, чтобы он выглядел следующим образом, и Spring Security предложит вам, с каким из них войти в систему. Значения &nameи *nameиспользуются для установки и извлечения блоков YAML, чтобы избежать повторения.

spring:
  security:
    saml2:
      relyingparty:
        registration:
          auth0:
            assertingparty:
              metadata-uri: <your-auth0-metadata-uri>
            signing:
              credentials: &signing-credentials
                - private-key-location: classpath:local.key
                  certificate-location: classpath:local.crt
            singlelogout: &logout-settings
              binding: POST
              response-url: "{baseUrl}/logout/saml2/slo"
          okta:
            assertingparty:
              metadata-uri: <your-okta-metadata-uri>
            signing:
              credentials: *signing-credentials
            singlelogout: *logout-settings

Если вы перезапустите приложение с этими настройками, вам будет предложено ввести оба варианта при первом нажатии http://localhost:8080.

Okta И Auth0 войти!

Развертывание в рабочей среде

Один из быстрых способов увидеть, как это приложение работает в производственной среде, — развернуть его на Heroku. Установите интерфейс командной строки Heroku и создайте учетную запись, чтобы начать. Затем выполните следующие действия, чтобы подготовить и развернуть приложение.

  1. Создайте новое приложение на Heroku, используя heroku create.
  2. Создайте system.propertiesфайл в корневом каталоге вашего приложения, чтобы принудительно установить Java 17:
java.runtime.version=17

3. Создайте Procfile, указывающий, как запускать ваше приложение:

web: java -Xmx256m -jar build/libs/*.jar --server.port=$PORT

4. Зафиксируйте свои изменения:

git add .
git commit -m "Add Heroku configuration"

5. Установите задачу Gradle для сборки вашего приложения:

heroku config:set GRADLE_TASK="bootJar"

6. Разверните в рабочей среде с помощью Git:

git push heroku main

Чтобы аутентификация работала с SAML, вам необходимо обновить приложения Okta и Auth0, чтобы использовать URL вашего приложения Heroku вместо http://localhost:8080, где это применимо.

Узнайте больше о Spring Boot и Spring Security

Надеюсь, вам понравилось узнавать, как использовать Spring Security для добавления аутентификации SAML. Интеграция была такой же простой, как настройка URI метаданных, и стала еще сложнее, когда вы добавили функцию выхода из системы. Возможность преобразовывать группы из вашего поставщика удостоверений в авторитетные тоже очень удобна!

Ссылка: https://developer.okta.com/blog/2022/08/05/spring-boot-saml#what-is-saml

#springboot #java #saml